作为最近的密码学论文,我们只考虑具有类型配对的素数阶双线性群,这意味着在G1和G2之间没有已知的有效可计算同态、计算假设。我们协议的安全分析将使用以下两个假设。
EDDH 假设是通用 BBG 假设的一个实例,在完整版的通用组模型中研究了潜在问题的难度,但它直观地基于以下比率 nale。
非随机 z 是两个单项式 a·b· cn2和 b·d 的和,它们都是 b 的倍数。由于 b 仅在G1中提供且{gb·ci }n−1 i=0 ,因此任何将 z 与随机性区分开来的尝试都将直观地要求将此元素配对。
1.不可链接的可编辑签名
构造之前,我们使用中的符号回顾中不可链接的可编辑签名 (URS) 的概念。这个原语的核心思想是在一组消息{mi}n上发布的签名 σ可以被公开编辑以便仅在子集{mi}i∈I 上有效,对于一些 I ⊂ [1, n] 。
出于效率和隐私原因,此功能很重要,编辑后的消息集是{mi}i∈I,其中 I = [1, n] \ I。与任何签名一样,可编辑签名必须是不可伪造的,这意味着不可能在未签名的消息集(或子集)上输出有效签名。
然而,如果我们将新派生签名的生成视为一种攻击,就会出现微妙之处,即使后者仅对已签名的消息子集有效。按照标准签名方案的术语,防止生成新签名的结构被认为是高度不可伪造的。顾名思义,强不可伪造性意味着不可伪造性,如图所示:
这些实验使用了以下定义计数器 c 和三个表Q1、 Q2和Q3 的预言机:
