Я ищу схему, поддерживающую групповые подписи и в то же время позволяющую ослеплять пару сообщение-подпись. Позволь мне объяснить.
Существует схема сертификации, предложенная Verheul: если у нас есть сообщение, которое является открытым ключом, скажем $\texttt{пк}(А)$, и подпись $\texttt{sig}(\texttt{pk}(A), s)$ сделано с секретным ключом $s$, Схема Verheul учитывает ослепление: $$\texttt{verify}(\left<\texttt{pk}(A), \texttt{sig}(\texttt{pk}(A), s)\right>, \texttt{pk}(s)) =\texttt{OK} \Longleftrightarrow \texttt{verify}(\left<x\cdot\texttt{pk}(A), x\cdot\texttt{sig}(\texttt{pk}(A), s )\right>, \texttt{pk}(s))=\texttt{OK}$$
куда $х$ является ослепляющим фактором. Я ищу аналогичную схему, которая также поддерживает групповые подписи, т.е. $s_i$, $i \в I$ может подписать, но проверка выполняется против общего $\texttt{pk}(\vec{s})$ для группы $I$:
$$\texttt{verify}(\left<\texttt{pk}(A), \texttt{sig}(\texttt{pk}(A), s_i)\right>, \texttt{pk}(s)) =\texttt{OK} \Longleftrightarrow \texttt{verify}(\left<x\cdot\texttt{pk}(A), x\cdot\texttt{sig}(\texttt{pk}(A), s )\right>, \texttt{pk}(\vec{s}))=\texttt{OK}$$
Не могли бы вы поделиться своими мыслями или указать мне направление, в котором я должен смотреть? Возможность подписать общее сообщение тоже хорошо, но для моей цели достаточно сертификата на открытый ключ.