摘要

我们重新审视了著名的匿名证书轻（ACL）方案（Baldimtsi和Lysyanskaya，CCS’13）的并发安全保证。该方案最初被证明在按顺序执行时是安全的，其并发安全性仍然是一个悬而未决的问题。Benhamouda等人后来的工作（EUROCRYPT’21）在同时执行时对ACL进行了有效的攻击，似乎一劳永逸地解决了这个问题。

在这项工作中，我们指出了Benhamouda等人对ACL的攻击中的一个微妙缺陷，并表明，尽管有流行的观点，但它可以同时被证明是安全的。我们在代数群模型中的模证明使用ID方案作为中间步骤，并导致Kastner等人（PKC’22）对Abe盲签名方案的复杂安全性论证的重大简化。

引言

盲签名[21，22，51]是一种基本的密码原语，它位于隐私保护应用程序的核心，如匿名证书[5，7，13，15，16，18，20]和eCash[21]。在非正式情况下，盲签名构成了签名者之间的交互协议𝑆和用户𝑈 ,目标是𝑆对的消息进行签名𝑈 '的选择。盲签名的关键特性是它的盲目性：𝑆不应获得有关的信息𝑈 's消息𝑚它正在签署。相反，安全性来自𝑆’的观点认为𝑈在没有帮助的情况下对消息进行签名𝑆.在一定程度上，由于区块链领域的发展[40]，盲签名最近重新引起了人们的兴趣[19，25，33，38，39，43，55]。

在这项工作中，我们重新审视了Baldimtsi和Lysyanskaya[5]提出的匿名证书轻（ACL）盲签名方案的安全性。它们简洁优雅的结构源自Abe的盲签名方案，避免了计算量大的零知识证明和配对运算。因此，ACL可以变成一种非常有效的一次性凭证，允许用户嵌入并稍后显示任意属性，例如年龄或性别。凭据仅由9个组元素组成，可以使用大约十几个组操作进行颁发和验证。限制其方案实用性的一个问题是，只有在执行签名会话时，他们的方案才被证明是安全的按顺序。这不是一个理论问题：正如Benhamouda等人[12]最近的一项工作所示，即使同时运行对数数量的会话，也会对ACL方案进行有效的攻击。这似乎没有留下关于ACL安全保障的进一步问题的余地。然而，与此相反，我们证明了ACL的可证明的安全属性几乎得到了解决：

我们首先指出Benhamouda等人工作中的一个微妙缺陷。这使得他们的攻击效率低下。（我们强调，这并不影响他们对各种其他方案的攻击的正确性。）

受这些发现的启发，我们在代数群模型（AGM）[32]中给出了ACL方案的第一个并发安全性证明。为了降低我们分析的复杂性，我们采用了模块化方法，将ACL方案解释为源自适当的识别方案。我们的技术还大大简化了Abe方案的证明，该方案最近被Kastner等人证明是安全的。[42]。