Lattice-Based Blind Signatures: Short, Efficient, and Round-Optimal
CCS 2023

笔记

该文档提出了一种基于格子密码学的2轮盲签名协议。该协议是四舍五入最优的，签名大小为 22 KB，使其比其他基于格的方案更短。该文档还引入了一种“密钥验证”盲签名方案，其签名大小较小，为 48 字节。这些协议使用零知识证明，非常适合预先知道要签名的消息的应用程序。讨论了协议的效率，尽管尚未实现拟议的框架。

大意：

• 基于格子密码学的2轮盲签名协议的提出
• 签名大小为 22 KB 的圆形最优协议
• 引入签名大小为 48 字节的“密钥验证”盲签名方案
• 在协议中使用零知识证明
• 非常适合事先知道要签名的消息的应用
• 讨论协议的效率，但尚未实现。

后续的创新方向

后续行动的可能创新方向可包括：

1.提高效率：目前资料中描述的方案有一定的计算成本，特别是在第一轮签约过程中。探索优化和降低这些成本的方法可以使该计划更加实用和高效。

2. 安全分析：对方案进行彻底的安全分析，包括形式证明和潜在攻击分析，可以更深入地了解其优势和劣势。这种分析可以帮助识别任何潜在的漏洞，并提出改进建议，以增强方案的安全性。

3. 实施和评估：实施方案并评估其在实际场景中的性能，可以为其实用性和效率提供有价值的见解。这可能涉及将方案与现有的盲签名方案进行基准测试，并分析其在计算时间、内存使用和通信开销方面的性能。

4. 后量子安全性：研究该方案的后量子安全性可能是未来研究的重要方向。考虑到量子计算机对基于格的密码学的潜在影响，并探索增强该方案对量子攻击的抵抗力的方法可能很有价值。

5. 可用性和用户体验：考虑该方案的可用性和用户体验方面对于其在实际应用中的采用至关重要。探索简化用户界面、提高用户理解度和增强整体用户体验的方法，可以使方案更加用户友好和易于访问。

6. 形式化验证：应用形式化方法和自动定理证明等形式化验证技术来验证方案的正确性和安全性，可以提供强有力的保证，增加对其可靠性的信心。

7. 可扩展性和互操作性：研究该方案的可扩展性和互操作性对于其在大规模系统中的采用以及与现有加密协议的集成非常重要。探索处理大量用户的方法，确保与不同平台和系统的兼容性，并实现无缝集成，可能是未来研究的宝贵方向。

这些只是根据所提供的信息进行后续研究的几个可能方向。根据具体的目标和要求，可能还有其他创新方向可供探索。

摘要

我们提出了一种基于随机预言机启发式和标准格问题（环/模块SIS/LWE和NTRU）的2轮盲签名协议，签名大小为22KB。该协议是全面优化的，并且具有小到60KB的转录本大小。该盲签名比基于del Pino和Katsumata的标准假设的最紧凑的基于格的方案（Crypto 2022）短约4倍，比Agrawal等人的方案短约2倍。（CCS 2022）基于他们新提出的又一个ISIS假设。我们还提出了一种“密钥验证”盲签名方案，其中验证器和签名者需要共享一个密钥。该方案的签名大小较小，仅为48字节，但还需要进一步的工作来探索其签名生成协议的效率。

引言

盲签名是一种协议，在该协议中，用户从签名者那里获得消息的签名，而签名者不需要了解消息的任何信息，是基于隐私的密码学的基本原理之一[13]。由于数字货币的出现和人们日益增长的隐私期望，它们的重要性正在稳步增加。根据各种假设，已经有许多实际的实例对这个原语进行了实例化，目前有在国家层面部署这些原语以创建中央银行数字货币的具体建议（例如[14]）。

最近的另一个重要发展是，基于因子分解和离散对数等假设的密码学正在向基于推测量子安全假设的密码学过渡。经过6年的NIST量子后标准化工作，最近产生了四种公钥方案（一种加密和三种数字签名），将在明年进行标准化[31]，美国国家安全局现在要求必须在2030年代初全面过渡到量子安全密码学[32]。这一时间线很可能与盲签名和其他即将推出的基于隐私的加密方案的大规模部署密切吻合；这强烈地意味着这些也需要是量子安全的。但是，尽管有许多基于经典假设的非常有效的盲签名，但缺乏对量子安全盲签名的研究。【[14]标题中的“量子安全”仅指特定的安全属性——然而，整个方案并不量子安全，因为它基于RSA。】

最近，两项基于格的盲签名提案改善了这一现状，尽管其效率不如经典签名，但肯定处于实用领域。[16]的方案是基于标准格假设【我们讨论的所有格假设和本文中的格假设都是多项式结构的上格。】的盲签名，签名大小约为100KB，总通信量低于1兆字节。[2]中的方案基于该文提出的新的一个多ISIS假设，其优点是该方案更高效，大小约为45KB，并且创建签名所需的通信更少。

在我们的工作中，我们改进了现有技术，提出了一种基于标准格假设的实用盲签名，将签名大小缩小到大约22KB。我们还提出了一种密钥验证盲签名方案，其中签名只有48字节，但后者的缺点是签名的生成效率较低，并且验证需要签名者的密钥。

我们的方案是轮最优的，这意味着签名是在两轮之后生成的。圆优化在实践中是有用的，因为通信延迟通常是交互式协议中的主要瓶颈。它还可以非常有用，因为它允许其中一方离线预计算协议的整个部分，这甚至可以允许相当低功率的用户参与协议。此外，2轮盲签名不必担心涉及签名协议的并发执行的微妙问题，这可能会使多轮盲签名的设计复杂化，并在过去导致具体的攻击[7]。

我们的协议使用两种不同类型的零知识证明。签名验证中使用的零知识证明是[26]证明格关系知识的一种有效的基于格的证明。然而，在用户和签名者之间的第一轮交互中，我们需要证明加密哈希函数的输入知识。由于此类函数的结构不如格关系，因此这一部分的计算成本更高，尽管并不令人望而却步（请参阅第1.1节中的讨论）。由于签名过程中最昂贵的部分发生在第一个流期间，因此我们的协议特别适合于提前知道要签名的消息的应用，从而可以离线地预先计算这些证明。一个这样的应用程序是电子现金（在[13]中激发盲签名的应用程序），其中用户要求随机消息的签名，可以在与签名者（即银行）的交互开始之前选择。

下面我们给出了我们的结构的详细草图。我们假设读者对基本的格密码术有些熟悉。