超级会员免费看
带分数的匿名凭证技术解析
1. 带分数匿名凭证的基础原理
在带分数匿名凭证的体系中,证明者对 (x_{\pi(i)}) 进行承诺,并运用多指数运算论证,以表明存在一个 (\rho) 使得:
(\prod_{i = 1}^{N} C_{i}^{x_{i}} = E_{pk}(1; \rho) \prod_{i = 1}^{N} C_{i}^{x_{\pi(i)}})
由于加密算法 (E) 具有同态性,验证者能够推断出对于某个置换 (\pi),有 (\prod_{i = 1}^{N} M_{i}^{x_{i}} = \prod_{i = 1}^{N} M_{i}^{x_{\pi(i)}})。因为 (x) 是验证者随机选择的挑战,所以在绝大多数情况下可以保证洗牌操作的正确性。
在实现过程中,需要在轮复杂度、通信复杂度以及用户和服务提供者(SP)的计算时间之间进行权衡。原则上,可以采用任何关于洗牌的零知识论证方法。为了提高效率,要求洗牌操作和对会话标识符的承诺处于同一群组中。对于构建过程,可以使用同态 ElGamal 加密算法对消息 (M) 进行加密,公钥 (pk = (h, u)),加密结果为 ((Mu^{\rho}, h^{\rho})),这种加密方式适用于 Bayer - Groth 论证。由于在当前场景中不需要解密操作,因此可以将票据 (t) 编码为 (M = h^{t}),并且只包含密文的第一部分,这样可以保持同态性质。
2. 使用批量 BBS + 和范围证明进行身份验证
当阈值分数 (s_{th}) 和最大分数 (s_{max}) 较短(例如,(\ell_{b}) 位整数,(\ell_{b} = 10))时,基于签名的范围证明可以实
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
