TW201505412A

TW201505412A - 用於可追踪群組加密之裝置及方法

Info

Publication number: TW201505412A
Application number: TW103115629A
Authority: TW
Inventors: Marc Joye; Benoit Libert
Original assignee: Thomson Licensing
Priority date: 2013-04-30
Filing date: 2014-04-30
Publication date: 2015-02-01
Also published as: US20160105287A1; EP2992641A1; WO2014177610A1

Abstract

本發明揭示一種群組加密系統(100)，其包括至少一個群組成員裝置(110)、一群組管理器裝置(120)、一打開權限裝置(130)、一發送器裝置(140)及一追蹤代理裝置(150)。該發送器裝置(140)經組態以使用一群組成員之公開金鑰來加密一明文。該群組成員裝置(110)經組態以接收且使用對應之私密金鑰來解密該密文，且亦宣稱或否認一密文。該打開權限裝置(130)經組態以揭示至少一個使用者專用陷門，該陷門能夠藉由該追蹤代理裝置(150)而為該指定使用者追蹤所有該等密文且僅追蹤該等密文。

Description

用於可追踪群組加密之裝置及方法

本發明大體上係關於密碼學且特定言之係關於群組加密。

此部分旨在向讀者介紹可與在下文中描述及/或主張之本發明之各種樣態相關之技術之各種樣態。據信此討論有助於向讀者提供背景資訊以促進對本發明之各種樣態之一更佳理解。因此，應理解應以此教示閱讀此等陳述，而非作為先前技術之認可。

群組加密方案涉及一發送器、一驗證器、管理接收者之群組之一群組管理器(GM)及能夠揭開密文之接收者之識別之一打開權限(OA)。一群組密碼系統GE係由一關係R之描述以及演算法及協定之一集合正式地規定：SETUP、JOIN、(G _r 、R、sample _R)、ENC、DEC、(P、V)、OPEN、REVEAL、TRACE、CLAIM/DISCLAIM、CLAIM-VERIFY、DISCLAIM-VERIFY。在此等之中，SETUP係一組初始化程序SETUP_init(λ)，其將(明確地或不明確地)一安全參數λ作為輸入。該程序可分為產生一組公開參數param(一共同參考字串)之一程序，其中一個用於所謂的群組管理器GM之SETUP_GM(param)及用於所謂的打開權限OA之另一SEPUP_OA(param)。後兩個程序用於產生用於GM之一金鑰對(pk_GM,sk_GM)及用於OA之一金鑰對(pk_OA,sk_OA)。在下文中，為簡化該描述，參數param並不始終明確地陳述為至演算法之輸入。

JOIN=(J_user,J_GM)係介於GM與一預期使用者之間的一互動協定。如藉由Kiayias及Yung展示[見在Springer 2005年出版之Eurocrypt’05中之Lecture Notes in Computer Science 3494第198-214頁之A.Kiayias及M.Yung.著作之Group signatures with efficient concurrent join。]，此協定可具有最小互動且僅由兩個訊息構成：第一訊息包括由J_user發送至J_GM之使用者之公開金鑰pk且後者之回應包括用於pk以使使用者之群組有效之一證書cert_pk。因此不需使用者(例如)證明知道其私密金鑰sk。在執行JOIN之後，GM使用公開金鑰pk之證書cert_pk儲存公開金鑰pk及在一公開目錄database中之對話之整個轉錄transcript。假定任何人可藉由一確定性演算法DATABASE-CHECK(其取決於認為公開目錄是否有效而返回1或0)檢查公開目錄之良好形成(例如，不存在兩個不同使用者共用相同公開金鑰之事實)。

演算法sample允許樣本對(x,w)R(由使用由G_r產生之金鑰(pk_R,sk_R)之一公開值x及一見證w組成)。取決於該關係，sk_R可為空字串。當(x,w)R，測試程序R(x,w)返回1。為加密一見證w以使(x,w)R(對於一些公開x)，發送器從公開目錄獲得對(pk,cert_pk)且運行一隨機化加密演算法，其將w、一標記L、接收者之對(pk,cert_pk)以及公開金鑰pk_GM及pk_OA作為輸入。其之輸出係一密文ψ←ENC(pk_GM,pk_OA,pk,cert_pk,w,L)。在相同元素之輸入上，證書cert_pk、密文ψ及用於產生其之隨機投幣coins_ψ、非互動演算法P產生存在一證明接收者(其之公開金鑰登記於公開目錄中)且能夠解密及獲得一見證w以使(x,w)R之一證明π_ψ。驗證演算法V將密文ψ、公開金鑰pk_GM、pk_OA、證明π_ψ及R之描述作為輸入及輸出0或1。給出密文ψ、標記L及接收者之私密金鑰sk，DEC之輸出係一見證w以使(x,w)R或一拒絕符號⊥。

接下來三個演算法提供明確及隱含追蹤能力。首先，OPEN將一密文/標記對(ψ,L)及OA之密輪sk_OA作為輸入且返回一接收者之識別i及其之公開金鑰pk。演算法REVEAL將使用者i之連接轉錄transcript作為輸入且允許OA使用其之私密金鑰sk_OA擷取一追蹤陷門trace_i。此追蹤陷門可隨後用於判定一給定密文-標記對(ψ,L)是否為在使用者i之公開金鑰pk_i之下之一有效加密：亦即，演算法TRACE接收公開金鑰pk_GM及pk_OA以及與使用者i相關之密文-標記對(ψ,L)及追蹤陷門trace_i。若且僅若密文-標記對(ψ,L)據信為用於使用者i之一有效加密，則演算法返回1。應尤其注意，追蹤陷門trace_i僅允許測試接收者是否為使用者i：特定言之，其不允許密文-標記對(ψ,L)之解密且其不顯示接收者之識別。

最後三個演算法(CLAIM/DISCLAIM、CLAIM-VERIFY、DISCLAIM-VERIFY)實施允許使用者令人信服地宣稱或否認為一給定匿名密文之合法接收者之功能性。具體地，CLAIM/DISCLAIM將公開金鑰(pk_GM、pk_OA、pk)、一密文-標記對(ψ,L)及一私密金鑰sk作為輸入。其顯示密文-標記對(ψ,L)係或不係在公開金鑰pk之下之一有效加密之一項公開可驗證之證據τ。接著，演算法CLAIM-VERIFY及DISCLAIM-VERIFY用於驗證由證據τ建立之判定。其等將公開金鑰、密文-標記對(ψ,L)及一宣稱/否認τ作為輸入及輸出1或0。

Kiayias、Tsiounis及Yung(KTY)[見在Springer 2007年出版之Asiacrypt’07中之Lecture Notes in Computer Science 4833第181-199頁之A.Kiayias、Y.Tsiounis及M.Yung.著作之Group encryption。]使群組加密之概念生效且提供一適當之安全模式(包含四個性質稱為「正確性」、「訊息安全性」、「匿名性」及「穩固性」)。其等提出GE系統之一模組化設計且證明超出零知識證明，具有適合之選擇密文(CCA2)安全性、數位簽章及歧義承諾之匿名公用鑰匙加密對實現原語係必要的。其等亦使用Paillier密碼系統來展示如何有效樣例化其等大體構造[見在Springer 1999年出版之Eurocrypt’99中之Lecture Notes in Computer Science 1592第223-238頁之P.Paillier著作之Public-key cryptosystems based on composite degree residuosity classes。]。雖然有效率，但該方案並非一單一訊息加密方案，因為其需要發送器在一線上3步對話(或Σ協定)中與驗證器互動以確信上述性質被滿足。可使用Fiat-Shamir典範[見在Springer 1986年出版之Crypto’86第186-194頁之Lecture Notes in Computer Science 263中之A.Fiat及A.Shamir著作之How to prove yourself：Practical solutions to identification and signature problems](及從而使用隨機預言模式[見ACM Press 1993年出版之ACM CCS’93第62-73頁中之M.Bellare及P.Rogaway著作之Random oracles are practical：A paradigm for designing efficient protocols])來移除互動，但僅啟發式論點[見IEEE Press 2003年出版之FOCS’03第102-115頁中S.Goldwasser及Y.Tauman-Kalai著作之On the(In)security of the Fiat-Shamir Paradigm]及亦[2004年Journal of the ACM卷51(4)第557-594頁之R.Canetti、O.Goldreich及S.Halevi著作之The random oracle methodology,revisited]根據安全性接著係可能的。

單獨而言，Qin等人[Springer 2008年出版之Inscrypt’08第72-83頁之Lecture Notes in Computer Science 5487中之[B.Qin、Q.Wu、W.Susilo、Y.Mu、Y.Wang著作之Publicly Verifiable Privacy-Preserving Group Decryption。]考慮具有非互動證明及短密文之一密切相關之原語。然而，其等藉由明確地採用一隨機預言避免互動且亦依賴強大之互動式設想。

最近，El Aimani及Joye[2012年Cryptology ePrint Archive：Report 2012/155之L.El Aimani、M.Joye著作之Toward Practical Group Encryption]考慮使用各種優化之更有效之互動及非互動構造。

然而，事實證明上文之構造均不能夠追蹤一特定使用者之密文且僅該等構造不能。在此等構造中，若對一特定不當使用者加密之訊息需要在(例如)n=10000密文之一集合內被識別，則接著該開放之權限需要打開所有此等密文以找到其尋找之該等。此對誠實使用者之隱私而言係明顯有害的。Kiayias、Tsiounis及Yung[見Springer 2004年出版之Eurocrypt 2004第571-589頁之Lecture Notes in Computer Science 3027中之A.Kiayias，、Y.Tsiounis及M.Yung著作之Traceable signatures]提議一技術來在群組簽章之背景內容中解決此顧慮，但目前未提供其等原語之任何實際加密類似者。

解決此問題之最接近之著作係Izabachène、Pointcheval及Vergnaud之著作[Springer 2010出版之Latincrypt’08第40-60頁之Lecture Notes in Computer Science 6212中之M.Izabachène、D.Pointcheval、D.Vergnaud著作之Mediated Traceable Anonymous Encryption]。然而，其等「Mediated Traceable Anonymous Encryption」原語有所受限。首先，其等方案僅提供針對在任何時間均不可存取加密預言之被動惡意程式之訊息機密性及匿名性。其次，雖然其等構造使個別使用者能夠追蹤，但其等不提供容許該權限來識別在O(1)時間中之一密文之接收者之一機制。若其等方案係為多達n個使用者之群組設立，則其等之打開演算法在最壞的情況下需要O(n)個操作。最後，其等方案不提供容許使用者在不揭示其等之私密金鑰的情況下宣稱或否認其等係密文之收件者之方法。

因此，將瞭解需要克服Izabachène等人之方案之至少一些缺點之一解決方案，尤其需要一解決方案同時：(i)容許追蹤特定使用者之密文且僅追蹤之；且(ii)提供可在O(1)時間中識別該接收者之一明確打開演算法。本發明提供此一解決方案。

在一第一態樣中，本發明係關於用於加密發往具有一公開金鑰之一使用者之一明文之一裝置。該裝置包括一處理器，其經組態以：藉由計算複數個值產生一元組可追蹤分量，其中藉由將該公開金鑰之一母元或一元素帶至涉及至少一個隨機數字之一值之冪而獲得各值；藉由選擇加密指數，藉由在該明文與公開金鑰之元素(各元素對應於一加密指數之冪)之間的乘積產生一第一值而在一標籤下加密該明文以獲得一第一中介密文；產生承諾至該加密指數；藉由使用一一次性驗證金鑰在一打開權限之一公開金鑰下加密該公開金鑰之一元素而產生至少一個第二中介密文；及遍於一簽章金鑰、可追蹤分量之該元組、該第一中介密文、該至少一個第二中介密文及該標籤之上產生一一次性簽章。該裝置進一步包括經組態以輸出包括可追蹤分量之該元組、該第一中介密文、該至少一個第二中介密文、該標籤及該一次性簽章之一密文之一介面。

100‧‧‧群組加密系統

110‧‧‧群組成員裝置

111‧‧‧處理器

112‧‧‧RAM記憶體

113‧‧‧使用者介面

114‧‧‧第二介面

115‧‧‧介面

120‧‧‧群組管理器裝置

121‧‧‧處理器

122‧‧‧RAM記憶體

123‧‧‧使用者介面

124‧‧‧第二介面

125‧‧‧介面

130‧‧‧打開權限(OA)裝置

131‧‧‧處理器

132‧‧‧RAM記憶體

133‧‧‧使用者介面

134‧‧‧第二介面

135‧‧‧介面

140‧‧‧發送器裝置

141‧‧‧處理器

142‧‧‧RAM記憶體

143‧‧‧使用者介面

144‧‧‧第二介面

145‧‧‧介面

150‧‧‧追蹤代理裝置

151‧‧‧處理器

152‧‧‧RAM記憶體

153‧‧‧使用者介面

154‧‧‧第二介面

155‧‧‧介面

現將藉由非限制性實例之方式參考隨附圖式描述本發明之較佳特徵，在圖式中圖1繪示可實施本發明之一例示性系統。

圖1繪示可實施本發明之一例示性系統100。系統包括具有一群組成員(「group member」)之一裝置110、一群組管理器裝置120、一打開權限(OA)裝置130、一發送器裝置140及一追蹤代理裝置150。應理解一般存在超過一個群組成員裝置，但在圖中僅繪示一個。此等裝置可係能夠執行計算之任何類型之適當電腦或裝置(諸如一標準個人電腦(PC)或工作站)。各裝置較佳地包括至少一個處理器111、121、131、141、151，RAM記憶體112、122、132、142、152，用於與一使用者互動之一使用者介面113、123、133、143、153，及用於與其他裝置(諸如在圖中展示之該等)透過一些連接(未展示)互動之一第二介面114、124、134、144、154。群組成員裝置110經組態以如下文描述(尤其)加入一群組，接收及解密密文且宣稱或否認一密文。群組管理器裝置120經組態以執行下文描述之群組管理功能。打開權限裝置130經組態以揭示使用者專用之陷門。發送器裝置140經組態以如下文描述使用一群組成員之一公開金鑰來加密一明文且將產生之密文輸出至群組成員。追蹤代理裝置150經組態以使用使用者專用陷門來為指定使用者追蹤密文。裝置亦較佳地包括用於自儲存當由一處理器執行時執行下文描述之對應方法之指令之一非暫時數位資料支援讀入一軟體程式之一介面(各自為115、125、135、145及155)。熟習者將瞭解繪示之裝置為闡明之原因而十分簡化且另外，實際裝置將包括諸如永久儲存之特徵。

本發明之一主發明構想係使OA能夠揭示使用者專用之陷門，其使追蹤為該使用者加密之所有密文且僅追蹤該等密文成為可能。為此，一對(Γ₁,Γ₂)包含於各成員證書中：，其中係使用者之私密金鑰之部分。當使用者加入群組時，其等因此被要求產生一對，對於此，將充當一追蹤陷門。由於不可公開透露，故對一可驗證加密機制做出請求[見Springer 2003年出版之Crypto 2003第126-144頁之Lecture Notes in Computer Science 2729中之J.Camenish、V.Shoup著作之Practical Verifiable Encryption and Decryption of Discrete Logarithms]，如由Benjumea等人[見Springer 2008年出版之Financial Cryptography 2008第231-246頁之Lecture Notes in Computer Science 5143中之V.Benjumea、S.-G.Choi、J.Lopez、M.Yung著作之Fair Traceable Multi-Group Signatures。]在一相關上下文中建議：即，預期使用者為GM提供在OA之公開金鑰下之之一加密Φ_venc且產生一非互動式證明，加密之值確實係一元素，使得(g,,,)係一Diffie-Hellman元組。因此，REVEAL演算法使用OA之私密金鑰來解密Φ_venc以曝露。配備有資訊，一追蹤代理可測試是否如下為使用者i 準備一密文。各密文含有具有(其中由發送器選擇)形式之可追蹤元素係需要的。由於，故若，則TRACE演算法斷定使用者i確實係接收者。同時，可展示在不追蹤i的情況下識別為使用者i加密之密文係與解決3方Diffie-Hellman(D3DH)問題[在2003年SIAM Journal of Computing第32卷第3號第586-615頁之D.Boneh及M.Franklin著作之Identity-Based Encryption from the Weil Pairing之第8段中稱為BDDH。其延伸摘要在Springer 2001年出版之Crypto 2001第213-229頁之Lecture Notes in Computer Science 2139中]。

一額外可追蹤分量T₄經引入至密文中；，其中Λ₀,Λ₁ G係共用公開參數之部分且VK係一一次性簽章之驗證金鑰。為此之原因係為證明在考慮之模式中之匿名性，元素(T₁,T₂,T₃)需要以一不可延展之方式依附於一次性驗證金鑰VK。否則，一匿名惡意程式將能夠藉由使用一CLAIM/DISCLAIM預言而破壞匿名性。

為使用者i證明或反駁其係一給定密文標籤對(ψ,L)之預期接收者，使用者可使用密文ψ之形式之可追蹤元素及其私密金鑰γ₁來計算(甚至在未知δ之情況下)，其容許任何人明白(g,T₁,Γ₁,)形成一Diffie-Hellman元組且。此足以證明(ψ,L)係為公開金鑰pk=(X₁,X₂,Γ₁,Γ₂)而產生。為確保僅使用者能夠計算非互動式請求，亦需要使用者提供滿足之已知之一非互動式證明。再者，宣稱藉由產生非互動式Groth-Sahai證明[見Springer 2008年出版之Eurocrypt’08第415-432頁之Lecture Notes in Computer Science 4965中之J.Groth及A.Sahai著作之Efficient non-interactive proof systems for bilinear groups。]根據取決於(ψ,L)之一共用參考串(CRS)不可延展地依附於(ψ,L)(此技術最初在[Springer 2011年出版之TCC’11第6597卷第89-106頁之Lecture Notes in Computer Science之T.Malkin、I.Teranishi、Y.Vahlis、M.Yung著作之Signatures resilient to continual leakage on memory and computation]中描述)。

較佳實施例

如由Cathalo-Libert-Yung[Springer 2009年出版之Asiacrypt’09第179-196頁之Lecture Notes in Computer Science 5912中之J.Cathalo、B.Libert、M.Yung著作之Group Encryption：Non-Interactive Realization in the Standard Model]，較佳實施例係對於Diffie-Hellman關係R={(A,B),M}(其中e(g,M)=e(A,B))之一非互動式群組加密方案。

然而與Cathalo-Libert-Yung之方案不同，本方案提供延伸之追蹤能力且進一步容許各使用者非互動式地宣稱或否認其係一密文之預期接收者。

本發明方案建立於Cramer-Shoup[見在Springer 2012年出版之TCC 2012第75-93頁之Lecture Notes in Computer Science 7194中之B.Libert、M.Yung著作之Non-Interactive CCA2-Secure Threshold Cryptosystems with Adaptive Security：New Framework and Constructions中描述之Cramer-Shoup密碼系統之臨限變量]之公開驗證變量上。利用觀察，若公開金鑰分量由所有使用者分享為共用公開參數，則方案可同時提供接收者匿名性及公開驗證密文。換言之，任何人可公開驗證在未知接收者是誰的情況下一密文係一有效密文。當對群組加密密文產生證明時，此保護證明者使之不必提供證據密文係有效的且因此產生較短之證明。

訊息使用Libert-Yung之方案在接收者之公開金鑰下加密。同時，接收者之公開金鑰之最後兩個分量使用Kiltz之加密方案[見Springer 2006年出版之TCC’06第581-600頁之Lecture Notes in Computer Science 3876中E.Kiltz著作之Chosen-ciphertext security from tag-based encryption]在打開權限之公開金鑰下加密。此方案係較佳的，因為其係最有效之基於線性決策(DLIN)之CCA2安全密碼系統，其中密文之有效性係公開可驗證的，且其不需要隱藏其所由產生之公開金鑰。

當新使用者加入群組時，GM為其等提供由在其等之公開金鑰(X₁,X₂,Γ₁,Γ₂)上之一結構保留簽章組成之一成員證書。在此情況下，使用Abe-Haralambiev-Ohkubo(AHO)簽章[在Annexe中詳細描述；亦見Cryptology ePrint Archive：Report 2010/133 2010年之M.Abe、K.Haralambiev、M.Ohkubo著作之Signing on Elements in Bilinear Groups for Modular Protocol Design及在Springer 2010年出版之Crypto’10第209-236頁之Lecture Notes in Computer Science 6223中M.Abe、G.Fuchsbauer、J.Groth、K.Haralambiev、M.Ohkubo著作之Structure-Preserving Signatures and Commitments to Group Elements]，因為當產生非互動式證明時其容許專門與線性配對產品之等式一起運行(且因此獲得一較佳之效率)。

SETUP_init(λ)：使1poly(λ)係一多項式，其中λN係安全參數。如下產生公開參數：

1.用選擇素序數p>2^λ之雙線性群組(G,G_T)。用界定向量、及，其形成一萬無一失之Groth-Sahai公用參考串。

2.對於i=1至l，選擇及設定，以獲得一組l+1向量。

3.選擇且計算，以形成又一Groth-Sahai CRS 。

4.隨機選擇。

5.選擇一強不可偽造(如在[Springer,2002年出版Eurocrypt’02第83-107頁之Lecture Notes in Computer Science 2332中J.H.An、Y.Dodis及T.Rabin著作之On the security of joint signature and encryption]中界定)之一次性簽章方案Σ=(G,S,V)及一抗碰撞雜湊族之一隨機成員H：{0,1}*→{0,1}¹。(G係產生一一次性簽章金鑰對之一演算法，S係一簽章演算法且V係一簽章驗證演算法。)

自SETUP_init(λ)產生之公開參數param包括。

SETUP_GM(param)：用n=4運行AHO保留結構簽章之設置演算法。獲得之公開金鑰包括

同時對應私密金鑰係。

SETUP_OA(param)：依照Kiltz加密方案之一公開金鑰產生，且依照sk_OA=(y₁,y₂,y₃,y₄)產生私密金鑰。

JOIN：潛在使用者U_i及GM運行下列協定：

1.使用者U_i隨機選擇且計算一公開金鑰pk=(X₁,X₂,Γ₁,Γ₂)G⁴，其中

對應私密金鑰界定為sk=(x₁,x₂,z,γ₁,γ₂)。於此，(X₁,X₂)對已提及之Libert-Yung加密方案形成一公開金鑰，而(Γ₁,Γ₂)將用於提供使用者之可追蹤性。

2.使用者U_i界定且在pk_OA產生Γ₀之一可驗證加密。為此，使用者選擇且計算。

使用者U_i接著產生一非互動式零知識(NIZK)證明π_venc，Φ_venc加密Γ₀ G使得e(Γ₀,g)=e(Γ₁,Γ₂)。即，使用者U_i使用CRS 來各自產生Groth-Sahai承諾、至群組元素及且非互動式地證明e(Φ₀,g)=e(Γ₁,Γ₂)．e(g,W₁)．e(g,W₂) e(Φ₁,g)=e(Y₁,W₁) e(Φ₂,g)=e(Y₂,W₂)

此等三個等式係線性配對乘積等式。然而，由於其等證明必須係NIZK證明，故其等花費16個群組元素來共同證明(由於證明者事實上引入一輔助變量X來證明e(Φ₀,g)=e(X,Γ₂)．e(g,W₁)．e(g,W₂)且X=Γ₁)。π_venc表示產生之NIZK證明。潛在使用者U_i接著將包括之驗證請求發送至群組管理器GM。

3.若資料庫已含有一紀錄transcript_j(對其驗證開放金鑰pk_j=(X_j,1,X_j,2,Γ_j,1,Γ_j,2)係使得e(Γ_j,1,Γ_j,2)=e(Γ₁,Γ₂)，則GM返回至⊥。否則，GM為pk產生一驗證cert_pk=(Z,R,S,T,U,V,W)G⁷，其由在4元組(X₁,X₂,Γ₁,Γ₂)上之一AHO簽章組成。接著，GM將整個互動轉錄

儲存在資料庫中。DATABASE-CHECK係容許在資料庫中運行一合理性檢查之一演算法。若資料庫含有兩個不同紀錄transcript_i及transcript_j(對其公開金鑰pk_i=(X_i,1,X_i,2,Γ_i,1,Γ_i,2)及pk_j=(X_j,1,X_j,2,Γ_j,1,Γ_j,2)係使得e(Γ_i,1,Γ_i,2)=e(Γ_j,1,Γ_j,2)，則此演算法返回0(意謂資料庫並非結構良好)。否則，其返回至1。

ENC(pk_GM,pk_OA,pk,cert_pk,M,L)：以加密MG使得((A,B),M)R_dh(對於公開元素A,BG)，推導pk_GM、pk_OA及pk為(X₁,X₂,Γ₁,Γ₂)G⁴。接著：

1.產生一一次性簽章金鑰對(SK,VK)←G(λ)。

2.藉由選擇及計算

而產生可追蹤分量之一元組(T₁,T₂,T₃,T₄)G⁴。

3.在標籤L下計算M之一Libert-Yung加密。為此：

a．選擇且計算

b．構建一向量且使用作為一Groth-Sahai CRS來產生一NIZK證明，(g,g₁,g₂,C₁,C₂,C₃)藉由產生承諾 ,至加密指數θ₁,θ₂ Z_p(換言之，計算，其中對應各i{1,2})及一其等滿足之證明π_LIN而形成一有效元組

整個證明由、組成且π_LIN獲得為

c.界定部分Libert-Yung密文。

4.對於i=1,2，選擇且使用如步驟一中使用相同一次性驗證金鑰VK之Kiltz加密方案在pk_OA下加密Γ_i。使係產生之密文。

5.設定GE密文ψ為，其中σ係獲取為之一一次性簽章。[在SETUP_init(λ)步驟5中描述S]

返回(ψ,L)且coins_ψ由δ,,{z_i,1,z_i,2}_i=1,2及(θ₁,θ₂)組成。若使用由Groth[見J.Groth.Simulation-sound NIZK proofs for a practical language and constant size group signatures.In Asiacrypt’06,Lecture Notes in Computer Science 4284,pages 444-459,2006.13]描述之一次性簽章，則VK及σ各自佔用3個及2個群組元素，使得ψ由35個群組元素G組成。

P(pk_GM,pk_OA,pk,cert_pk,(X,Y),M,ψ,L,coins_ψ)：如描述推導pk_GM、pk_OA、pk及ψ。使用作為一Groth-Sahai CRS，為密文ψ產生一非互動式證明π_ψ。在下文之程序中，所有承諾及證明係使用CRS 而產生。

1.推導驗證cert_pk為(Z,R,S,T,U,V,W)G⁷且再隨機化其以獲得(Z',R',S',T',U',V',W')←ReRand(pk_GM,(Z,R,S,T,U,V,W))。接著，將Groth-Sahai承諾產生至Z'、R'及U'。產生至cert_pk之總承諾由組成。

2.產生Groth-Sahai承諾至公開金鑰pk=(X₁,X₂,Γ₁,Γ₂)之分量且獲得組，其由12個群組元素組成。

3.產生一證明，對於含有在com_pk中之公開金鑰係至一有效驗證之一承諾。證明係一非互動式證明承諾之群組元素(Z'、R'、U')滿足關係式

其各花費3個元素。整個證明因此佔據6個群組元素。

4.產生一NIZK證明π_T，(T₁,T₂,T₃)對於一些滿足。為此，產生一承諾至群組元素且產生一NIZK證明e(Y,T₃)=e(T₁,Γ₂)且e(T₂,g)=e(Γ₁,Y)。

由於π_T必須包括且必須係一NIZK證明，故其需要21個群組元素。特定言之，3個元素足夠用於第一線性等式，而第二線性等式需要使用一輔助變量X_T=g來證明e(T₂,X_T)=e(Γ₁,Y)及e(X_T,g)=e(g,g)。

5.對於i=1,2，產生NIZK證明π_eq-key,i，(其係com_pk之部分)及係相同Γ_i之加密。若包括

且係推導為，其中且，此相當於證明已知值，使得

對指數z_i,1,z_i,2,ρ_i1,ρ_i2,ρ_i3之承諾引入30個群組元素，而上述僅關係各需要兩個元素。連同其等對於{z_i,1,z_i,2,ρ_i1,ρ_i2,ρ_i3}_i=1,2之對應承諾，證明元素π_eq-key,i承擔42個元素。

6.產生一NIZK證明π_R，密文π_LY加密一群組元素MG，使得((A,B),M)R。為此，產生一承諾

且證明基礎M係與在ψ_LY中之之一者相同。換言之，證明已知指數θ₁,θ₂,ρ₁,ρ₂,ρ₃，使得。

對θ₁,θ₂,ρ₁,ρ₂,ρ₃之承諾佔據15個元素。證明等式之第一四個關係需要8個元素，而最後一個係二次的，且其證明係9個元素。證明在NIZK中線性配對乘積之關係e(g,M)=e(A,B)需求9個元素。(其需要引入一輔助變數A及對於變數M、A及常量g、A、B證明e(g,M)=e(A,B)及A=A。兩個證明各佔據3個元素，且3元素為對A之承諾所需。)由於π_R包含com_M，故其需要總量34個元素。

整個證明最終佔據128個元素。

V(param,ψ,L,π_ψ,pk_GM,pk_OA)：如已描述推導pk_GM、pk_OA、pk,ψ及 π_ψ。若且僅若下列條件均被滿足，則返回1。

1.。

2.滿足等式且ψ_LY係一有效Libert-Yung密文。

3.所有證明核實且、係有效Kiltz加密w.r.t.VK。

DEC(sk,ψ,L)：推導ψ為。若：(i) ，(ii)或ψ_LY及並非皆為有效密文，則返回⊥。否則，使用sk來解密(ψ_LY,L)。

REVEAL(transcript_i,sk_OA)：推導transcript_i為

推導Φ_venc,i為(Φ_i,0,Φ_i,1,Φ_i,2)G³且核實(,,π _venc,i)形成對於在JOIN中之線性配對乘積狀態之一有效證明。若非，則返回上。否則，使用sk_OA=(y₁,y₂,y₃,y₄)來計算。返回產生之明文trace_i=Γ_i,0 G，其可為使用者i充當一追蹤陷門，由於其具有之形式。

TRACE(pk_GM,pk_OAψ,trace_i)：推導ψ為且追蹤陷門trace_i為一群組元素Γ_i,0 G。若等式e(T₁,Γ_i,0)=e(T₂,T₃)成立，則其返回1(意謂確實為使用者i預期)。否則，其輸出0(即，非為使用者i預期)。

OPEN(sk_OA,ψ,L)：推導ψ為。若ψ_K並非一有效密文w.r.t.VK或若，則返回⊥。否則，解密以獲得群組元素Γ₁,Γ₂ G且查找資料庫來找到含有一公開金鑰pk_i=(X_i,1,X_i,2,Γ_i,1,Γ_i,2)之一紀錄轉錄i，使得(Γ_i,1,Γ_i,2)=(Γ₁,Γ₂)-(應注意除非資料庫不合規範，否則此一紀錄若存在則係唯一)。若找到此一紀錄，則輸出匹配i。否則，輸出⊥。

CLAIM/DISCLAIM(pk_GM,pk_OA,ψ,L,sk)：推導ψ為且私密金鑰為sk=(x₁,x₂,z,γ₁,γ₂)，以為ψ產生一宣稱/否認τ。計算，其中δ=log_g(T₁)。接著，計算一抗碰撞雜湊v=H(ψ,L,pk){0,1}¹。接著，推導v為v[1]...v[1]{0,1}¹ 且集合向量。使用作為一Groth-Sahai CRS，產生一承諾及Γ_-1滿足e(T_δ,1,Γ_-1)=e(T₁,g)之一NIZK證明。為此，為等式產生一承諾至輔助變量χ_τ=g及非互動式證明π_τ,1、π_τ,2e(T_δ,1,Γ_-1)=e(T₁,χ_τ) e(g,χ_τ)=e(g,g)。

宣稱/否認τ由組成。

熟習者將瞭解僅使用可追蹤性分量之群組成員能夠宣稱或否認一密文；當然，Γ_-1係為此目的。

CLAIM-VERIFY(pk_GM,pk_OA,ψ,L,pk,τ)：推導ψ為及公開金鑰pk為(X₁,X₂,Γ₁,Γ₂)。推導τ為(T _δ,1,,,π _τ,1,π _τ,2)。若且僅若等式e(T_δ,1,Γ₂)=e(T₂,T₃) e(T₁,Γ₁)=e(g,T_δ,1)

成立且π_τ,1、π_τ,2係對於等式e(T_δ,1,Γ_-1)=e(T₁,χ_τ)及e(g,χ_τ)=e(g,g) w.r.t.the CRS 之有效證明，則返回1，其中且v=H(ψ,L,pk){0,1}¹。

DISCLAIM-VERIFY(pk_GM,pk_OA,ψ,L,pk,τ)：推導ψ為且公開金鑰pk為(X₁,X₂,Γ₁,Γ₂)。推導τ為 (T _δ,1,,,π _τ,1,π _τ,2)。若且僅若其成立e(T_δ,1,Γ₂)≠e(T₂,T₃) e(T₁,Γ₁)=e(g,T_δ,1)

且π_τ,1、π_τ,2係對於等式e(T_δ,1,Γ_-1)=e(T₁,χ_τ)及e(g,χ_τ)=e(g,g)及Groth-Sahai CRS 之有效證明，則返回1，其中及 v=H(ψ,L,pk){0,1}¹。

自有效觀點來看，密文之長度在使用具有一512位元代表個群組元素之均勻配對(處於128位元之安全等級)之一實施方案中係約2.18kB，其比Kiayias-Tsiounis-Yung之基於Paillier之系統中使用1024位元模已佔據2.5kB(且因此處於80位元安全等級)之密文更緊湊。再者，證明僅需要8kB(針對在Cathalo-Libert-Yung中之相同安全性之大致32kB)，其比Kiayias-Tsiounis-Yung之初始GE方案顯著便宜，其中互動式證明達到一通信成本70kB以實現一2^-50之認知誤差。

在實施方式及(在適當情況下)申請專利範圍及附圖中揭示之各特徵可獨立或以任何適當之組合提供。描述為在硬體中實施之特徵亦可在軟體及等等中實施。出現在申請專利範圍中之元件符號係僅藉由繪示之方式，且並不限制申請專利範圍之範疇。

ANNEXE-AHO保留結構簽章方案

描述假定公開參數pp=((G,G_T),g)由素序數p>2^λ之雙線性群組(G,G_T)組成，其中λN及一母元gG。

Keygen(pp,n)：在每一符號訊息之群組元素之數目上給定一上界nN，選擇母元。為i=1至n，挑選及。接著，對各i{1,...,n}計算及。最後，選擇且界定及。公開金鑰界定為

同時私密金鑰係。

Sign(sk,(M₁,...,M_n))：使用sk來簽一向量(M₁,...,M_n)Gⁿ，選擇且計算Z=g^ζ以及

簽章由σ=(Z,R,S,T,U,V,W)G⁷組成。

Verify(pk,σ,(M₁,...,M_n))：給定σ=(Z,R,S,T,U,V,W)，若下列等式成立

則返回1。

已證明該方案在所謂q-SFP假定下之選定訊息攻擊之情况下係實際上不可偽造的，其中q係簽字查詢之數目。

同樣地，簽章分量可經公開隨機化以在(M₁,...,M_n)上獲得一不同簽章(Z',R',S',T',U',V',W')←ReR及(pk,σ)。在隨機化後，Z'=Z同時(R',S',T',U',V',W')均勻分配於值，使得e(G_r,R')．e(S',T')=e(G_r,R)．e(S,T)且e(H_u,U')．e(V',W')=e(H_u,U)．e(V,W)。此再隨機化藉由選擇且計算 ,,T'=T ^μ ,,W'=W ^v.

而執行。

因此，(S,T,V,W)係統計獨立於(M₁,...,M_n)及簽章之剩餘部分。此意味著，在隱私保留協定中，再隨機化(S',T',V',W')可穩定地發出，只要(M₁,...,M_n)及(Z',R',U')給定具有承諾之形式。