В схеме групповой подписи, основанной на Пойнчеваль-Сандерс (PS) подпись одного сообщения, анонимные учетные данные $(\сигма_1,\сигма_2)$ выдается менеджером группы (GM) с секретным ключом $sk = (x,y) \in \mathbb{Z}_p^2$ и открытый ключ $pk = (\тильда X,\тильда Y) \leftarrow (\тильда g^x,\тильда g ^y )$ пользователю $\mathcal{U}_i$ с одним секретным ключом $sk_i \in \mathbb{Z}_p $ вычисляется как $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x.\tau^y)^\mu)$, куда $\тау = г^{sk_i}$ это обязательство и $\mu \in \mathbb{Z}_p$.
Точно так же мы могли бы построить схему групповой подписи на основе подписи нескольких сообщений PS. В этом случае анонимные учетные данные $(\сигма_1,\сигма_2)$ выдается GM с секретным ключом $sk = (x,y_1,...,y_n) \in \mathbb{Z}_p^{n+1}$ и открытый ключ $pk = (\тильда X,\тильда Y_1,...,\тильда Y_n) \leftarrow (\тильда g^x,\тильда g ^{y_1},...,\тильда g^{y_n})$ пользователю $\mathcal{U}_i$ с несколькими секретными ключами $sk_1,...,sk_n \in \mathbb{Z}_p^n $ вычисляется как $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x\cdot\tau_1^{y_1}\cdot...\cdot\tau_n^{y_n})^\mu)$, куда $\tau_i = g^{sk_i}$ является приверженность $sk_i$ и $\mu \in \mathbb{Z}_p$.
Я хотел бы создать новую схему групповой подписи, в которой пользователи системы доказывают владение анонимными учетными данными, действительными в общеизвестном сообщении. $м$ плюс их соответствующие секретные ключи. Похоже, я мог бы использовать настройку нескольких сообщений PS для достижения своей цели. Выдавая учетные данные для пользователя, GM просто вычислял $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x\cdot\tau_1^{y_1}\cdot...\cdot\tau_{n-1}^{y_{n-1} }\cdot g^{my_n})^\mu)$.
Будет ли такая схема придерживаться таких понятий безопасности, как анонимность, отслеживаемость и отсутствие фреймов?
