群簽名

群簽名方案是一種類似於數字簽名的密碼原語，其目的在於允許用戶代表群簽名消息，並在該群內保持匿名。也就是說，看到簽名的人可以用公鑰驗證該消息是由該群成員發送的，但不知道是哪一個。同時，用戶不能濫用這種匿名行為，因為群管理員可以通過使用秘密信息(密鑰)來消除（惡意）用戶的匿名性。例如，大公司里的雇員可以使用群簽名方案對消息進行簽名，其中驗證者知道消息是由他們公司里的雇員簽名的就足夠了，不需要知道是由哪個特定雇員簽名的；該方案的另一個應用：通過識別卡(keycard)認證進入受限區域，在受限區域中不適合跟蹤單個成員的移動，但必須確保只有該群的成員才能進入。

群簽名方案的關鍵是「群管理員」，它負責添加群成員，並能夠在發生爭議時揭示簽名者身份。在一些系統中，添加成員和撤銷簽名匿名性的責任被分開，並分別賦予給群管理員和撤銷管理員。雖然學術界已經提出了許多群簽名方案，但所有方案都應該滿足基本的安全性要求^[1]

歷史

1991年，Chaum 和 Heyst首次提出群簽名的概念^[2]。從那時起，越來越多的協議被引入，並在這個模型上加入了類似於數字簽名的非偽造性的概念，當然也包括更具體的概念，如廢除^[3]。直到Bellare，Micciancio和Warinschi才提出了一個更精確的正式模型，這個模型如今被用於群簽名方案的工程實現^[4]

定義

群簽名方案實現一般由下列四個可行的算法組成：初始化，簽名，驗證和打開。

1. 初始化過程：系統參數選取，輸入安全參數λ和N，返回公鑰gpk和私鑰gsk以及私鑰對${\displaystyle {\mathsf {gsk}}[d]}$,對應於用戶d的私鑰和打開密鑰ok。
2. 簽名過程： 輸入密鑰${\displaystyle {\mathsf {gsk}}[d]}$和消息m，返回簽名σ。
3. 驗證過程： 以公鑰gpk和消息m，簽名σ作為輸入，以布爾值返回驗證結果
4. 打開過程： 以打開密鑰 ok，消息m，簽名 σ作為輸入，返回用戶身份d或者錯誤結果錯誤。

真實的消息簽名的驗證將返回true，如下所示：

${\displaystyle \forall m,(gpk,gsk)\gets Init(\lambda ,N):{\mathsf {Verify}}\left(gpk,m,{\mathsf {Sign}}({\mathsf {gsk}}[d],m)\right)={\mathsf {true}}}$

安全性要求[5]

• 完整性： 群成員的有效簽名始終驗證正確，無效簽名則始終驗證失敗。
• 不可偽造性： 只有群成員才能創建有效的群簽名。
• 匿名性： 給定一個群簽名後，如果沒有群管理員的密鑰，則無法確定簽名者的身份，至少在計算上是不可行的。
• 可跟蹤性： 給定任何有效的簽名，群管理員應該能夠確定簽名者的身份。 (這也暗示了只有群管理員才能破壞其匿名性) 
• 不關聯性： 給定兩個消息及其簽名，我們無法判斷簽名是否來自同一簽名者。
• 無框架： 即使所有其他群成員相互串通(包括和管理員串通)，他們也不能為非群成員偽造簽名。
• 不可偽造的跟蹤驗證： 撤銷管理員不能錯誤地指責簽名者創建了他本沒有創建的簽名。
• 抗合謀攻擊： 即使所有群成員相互串通，他們也不能產生一個合法的不能被跟蹤的群簽名。

最新研究

目前最新的群簽名方案技術包括：ACJT 2000^[6]、BBS04^[7]和BS04（在CCS中）。（非完整列表）

Boneh，Boyen和Shacham於2004年發表的 短群簽名 描述了一種基於雙線性映射的新型群簽名方案。^[7] 該方案中的簽名大約是標準RSA簽名的大小(約200字節)。其安全性在隨機預言機中得到證明，並依賴於強Diffie-Hellman假設(SDH) 和一個在雙線性群(bilinear groups)中的新假設：Decision Linear assumption（英語：Decision Linear assumption） (DLin)。

Bellare, Micciancio 和Warinschi給出了針對可證明安全性（英語：Provable_security）的更加正式的定義^[8]。