超级会员免费看
带分数的匿名凭证:原理、认证流程与安全保障
1. 引言
在当今数字化时代,匿名性与安全性在许多应用场景中至关重要。带分数的匿名凭证(Scored Anonymous Credentials)为实现用户匿名认证并结合分数机制提供了一种有效的解决方案。本文将详细介绍带分数的匿名凭证的相关原理、认证流程以及安全保障措施。
2. 证明者承诺与多指数论证
证明者对 (x_{\pi(i)}) 进行承诺,并利用多指数论证来表明存在一个 (\rho),使得:
(\prod_{i = 1}^{N} C_{x_i}^i = E_{pk}(1; \rho) \prod_{i = 1}^{N} C_{x_{\pi(i)}}^i)
由于加密 (E) 具有同态性,验证者可以推断出对于某个置换 (\pi),有 (\prod_{i = 1}^{N} M_{x_i}^i = \prod_{i = 1}^{N} M_{x_{\pi(i)}}^i)。由于 (x) 是验证者选择的随机挑战,因此在绝大多数情况下可以保证洗牌的正确性。
在实现过程中,需要在轮复杂度、通信复杂度以及用户和服务提供者(SP)的计算时间之间进行权衡。原则上,可以应用任何洗牌的零知识论证。为了提高效率,要求洗牌和对会话标识符的承诺处于同一组中。对于本文的构造,可以使用同态 ElGamal 加密,消息 (M) 用公钥 (pk = (h, u)) 加密后的结果为 ((Mu^{\rho}, h^{\rho})),这与 Bayer - Groth 的论证相契合。由于在本文的情况下不需要解密,因此可以将票据 (t) 编码为 (M = h^t),并且只包含密文的第一部分,这样很容易看出它保留了同态性质。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
