Текущий статус кольцевых подписей/доказательство членства в наборе

Я понимаю исходную реализацию O (n) кольцевой подписи, но я пытаюсь выяснить, где находится современное состояние при подписании сообщения в качестве анонимного члена специальной группы, не раскрывая, какой член группы подписал Это. Кажется, существуют сублинейные реализации, но я не очень хорошо разбираюсь в их компромиссах, и годы спустя некоторые из них оказались небезопасными. Например, я нашел: http://diyhpl.us/~bryan/papers2/bitcoin/Practical%20constant-size%20ring%20signature.pdf, который, кажется, требует, чтобы доверенная третья сторона собирала открытые ключи, но последующая проверка пару лет спустя показала, что его можно подделать. Я также знаю о документах о «нулевом подтверждении членства в наборе», что звучит похоже, но я не уверен, что это то же самое, что кольцевая подпись.

Я был бы очень признателен за обзор текущих реализаций.

Что касается криптографии, работающей сейчас (или в ближайшее время), я думаю, что три кандидата на этот уровень техники — это Lelantus Spark от Firo (ранее Zcoin), Triptych и Seraphis (из окружения Monero): Triptych был раньше, но, похоже, у него были проблемы с мультиподписью. поэтому были разработаны два других:

Извините, у меня еще не было времени углубиться в них, но вот некоторые точки входа:

• https://eprint.iacr.org/2020/018.pdf
• https://eprint.iacr.org/2019/373.pdf
• https://eprint.iacr.org/2021/1173.pdf
• https://github.com/UkoeHB/Серафис
• https://firo.org/guide/privacy-coin-comparison.html