Theshold BBS+

BBS+方案流程

给定消息向量 $m = (m_{1}, m_{2}, \dots, m_{ℓ})$
产生随机数 $e, s \overset{$}{\leftarrow} Z_{p}$
计算 $A := (x + e)^{- 1} \cdot (G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1})$
输出签名： $σ \leftarrow (A, e, s)$

e (A, X + e \cdot G_{2}) \overset{?}{=} e (G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1}, G_{2})

\begin{aligned} L H S & = e (A, X + e \cdot G_{2}) \\ = e ((x + e)^{- 1} \cdot (G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1}), x \cdot G_{2} + e \cdot G_{2}) \\ = e (G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1}, G_{2}) \\ = R H S \end{aligned}

只需通过秘密分享把 $x$ 分成 $n$ 份，任意 $t$ 份可以重构出 $x$ 即可，签名时运用 MPC 计算出 $(x + e)^{- 1}$ 即可。

BBS+ 可以支持选择性披露，既用户可以选择性地向验证者披露部分消息内容，同时保持其他消息的隐私。

给定 $(G_{1}, x \cdot G_{1}, x^{2} \cdot G_{1}, \dots, x^{q} \cdot G_{1})$ , 计算出 $(c, \frac{1}{x + c} \cdot G_{1})$ 是不可行的，其中 $c \overset{$}{\leftarrow} Z_{p}$

可以把 BBS+ 签名视为对以下“承诺”的签名：

\begin{aligned} C & = G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1} \\ = (x + e) \cdot A \end{aligned}

用户知道 $(A, e, s, m)$ ，希望向验证者证明：

我们的目标是构建一个证明，对于知道 $(A, e, s, m)$ 的用户，披露 $(e, s, m_{r e v e a l})$ , 使得以下条件成立：

$(x + e) A = G_{1} + s \cdot H_{1} + \sum_{i = 1}^{ℓ} m_{i} \cdot H_{i + 1}$ , 但是用户不知道 $x$ ，需要转换为如下形式

e (A, X + e G_{2}) = e (G_{1} + s H_{1} + \sum_{i \in r e v e a l} m_{i} H_{i + 1} + \sum_{j \in h i d d e n} m_{j} H_{j + 1}, G_{2})

由于输出证明时每次都使用随机数 $r \overset{$}{\leftarrow} Z_{p}$ ，所以每次生成的证明都是不可链接的。