949846567
021-917534046
导航

Borromean环签名是如何实现匿名转账的?

发布日期:2021-05-28 00:45

本文摘要:本文由Gregory Maxwell和Andrew Poelstra联合编写,详尽讲解了Borromean环亲笔签名的算法、用于方法及现存的一些问题。Borromean环亲笔签名是区块链中最常用的一种的环亲笔签名算法,在Monero等Confidential Assets中都有用于。以下为原文译文:概要2002年,Abe, Ohkbo和Suzuki基 于线性对数问题研发了一种新型的环亲笔签名,其用于精致的允诺结构明显节省了环亲笔签名的大小和检验时间。

亚博app买球信誉靠谱

本文由Gregory Maxwell和Andrew Poelstra联合编写,详尽讲解了Borromean环亲笔签名的算法、用于方法及现存的一些问题。Borromean环亲笔签名是区块链中最常用的一种的环亲笔签名算法,在Monero等Confidential Assets中都有用于。以下为原文译文:概要2002年,Abe, Ohkbo和Suzuki基 于线性对数问题研发了一种新型的环亲笔签名,其用于精致的允诺结构明显节省了环亲笔签名的大小和检验时间。的环亲笔签名是一种用于n个密钥牵头的亲笔签名,签名者必须告诉其中一个密钥所对应的私钥。

可以将它们视作一种lambda表达式的亲笔签名:“ 我告诉x1 OR我告诉x2 OR ..’..我们对它们的结构展开了总结以处置牵头表达式“我告诉{x1,x2,x...}中的一个AND我告诉{x4,...中的一个..”,从而有能力传达对亲笔签名密钥的任何单调布尔函数的理解。这可以通过用于多个独立国家的环亲笔签名来精彩已完成。通过在各个独立国家的环之间分享允诺,我们的结构可以节省存储空间。

我们还用“因果的环’'叙述了-种关于这些的环亲笔签名和普通Schnorr亲笔签名的新思维方式,这可以为更进一步概括获取框架。1. 随机应验和Schnorr亲笔签名在整个过程中,我们假设正在一个循环加性群g中工作,对于该群而言,线性对数问题很难解决问题,并且G是该群中某个相同的未知生成器。1.1 Schnorr检验考虑到以下由Claus Schnorr在1989年研发的交互式身份验证协议,该协议容许一个公钥两组元素P=xG的秘密 线性对数x的拥有者,需要证明他理解x但不揭发任何信息:1.证明者自由选择一个随机标量k并 将kG递交给检验者2.检验者号召恢复一个随机挑战标量e。

3.证明者恢复标量值s←-k+xe检验者不告诉k,因为解决问题线性对数问题是艰难的,但是他可以检验s是真实情况计算出来的,因为s=k+xe等 同于sG=kG+ex-G,并且检验者告诉s, e, kG和xG。从直觉上说道,这是零科学知识,因为如果检验者不小心泄漏给证明者e值是什么,则证明者有可能在他显然不告诉x的情况下分解一-个合法的s。(具体来说, 她不会随机自由选择s,然后自由选择“kG"为“sG -exG")在这种情况下,证明者/检验者交互的记录与真诚游戏中的记录在统计资料上是无法区分的;因此,如果不诚实的游戏没透漏任何有关x的信息(甚至没用于x),那么真诚的游戏也会。

凭直觉,它证明了证明者告诉x,因为e是随机均匀分布自由选择的。如果无论e是什么她都能输掉,那么非常简单地“末端”她,并为每个末端彰显有所不同的e值,例如e,和e2。那么,两个叉将产生s-=k+xe,和s2=k+Xe2,这将x曝露为x=(s-s2)/(e,-e2)。

换句话说,无论e值是什么均可获得胜利的检验者可用作萃取x的值,因此她必需具备x的科学知识。1.2 随机应验和Fiat-Shamir上述方案不是公开发表可验证的,原因与零科学知识完全相同。

就是说,证明者和检验者之间的交互记录与他们指使在一起以防止有人告诉x是无法区分的。因此,在真诚游戏中,证明者只向检验者证明x的科学知识,而不向其他任何人证明。

幸运地的是,由于检验方除了产生号召挑战的随机值外没其他用途,因此它具备非常简单的数学叙述:称作随机函数。随机函数是数学函数,可在每个输出上回到独立国家均匀分布的随机值。“评估”这样的函数在功能上等同于在每个新的输出上递交发言值并接管新的随机值。因此,随机函数一般来说被称作随机应验。

亚博app

随机函数具备无限的Kolmogorov复杂度,无法在一台机器中展开实例化,但是我们将其替换成称作哈希函数的非常简单函数,网卓新闻网,并没未知的方法能将它们与随机函数区分开。这给了我们所谓的随机应验模型,其中我们有效地享有了一个不存在于柏拉图形式世界中的挑战者,我们将其称作随机应验。

与传统的挑战者模式比起,随机应验有两个益处: (a) 应验的不道德是公开发表可验证的,如果不道德不诚实是可以被找到的。因此通过“向应验证明”对线性对数的科学知识,实质上可以向所有人证明这一-科学知识; (b) 应验是通过哈希函数建模的,任何人都可以计算出来该哈希函数以新的创立交互记录,因此需要展开任何实际交互。用随机应验替换实际挑战者的点子被称作Fiat- -Shamir转换,它是第一个用于该点子将交互式方案改变为非交互式可公开发表检验方案的。

将Fiat- -Shamir转换应用于上述交互方案,可以获得Schnorr亲笔签名方案,其工作原理如下:1.证明者自由选择一个随机标量k,并计算出来e=H(kG)。2.证明者计算出来标量值s←-k+xe并且公开发表(s,e)。由于H对于有所不同的输出回到有所不同的e,因此可以在其输出中加到内容。

例如,为消息m计算出来H(mllkG)。结果是包括m的记录,如果不告诉x则无法变更m。因此,这是m. 上的“科学知识亲笔签名”。

任何人都可以再行计算出来kG=sG- -eP来检验亲笔签名的合法性,并且检查这显然是允诺的值,即e马与H(kG)。检验过程中用于了P=xG这样的事实,使得该亲笔签名与x是有联系的。

2.的环亲笔签名2.1 时间旅行和变色龙哈希上述身份验证方案的关键要素是时间顺序。我们仔细观察到,如果证明者可以预测未来并在自由选择kG之前确认e,则他可以在不告诉x的情况下顺利展开身份验证。

在随机应验模型中,仍然有交互过程,也就仍然有时间的先后。但是,随机应验H获取了自己的时间顺序:由于对于任何输出y,如果不对其展开揭发就不有可能告诉H(y)(除非猜测它,但顺利的可能性很低),因此我们可以说道H(y)在y之后确认。因此,尽管我们对时间的定义早已转变,但我们保有了时间至关重要的思想。

时间的这种定义容许通过用于密码学的一些技巧,使得秘密科学知识的拥有者可以已完成反败为胜。它的工作方式是调整我们的哈希函数H,使其沦为变色龙哈希。变色龙哈希不仅所取一个输出e,还取一个随机值s作为输出。

某些秘密“陷门信息”的拥有者将需要调整s,从而在不变更哈希输入的情况下变更e。但普通人仍不受时间定律的约束:一旦计算出来了e的哈希,e就早已沦为过去了,并且无法变更。

亚博APP安全有保障

如下右图,我们从一个普通的哈希函数H来定义变色龙哈希。这里的G和P是群内的生成器。陷门信息是x,使得P=xG。我们的哈希函数是: H' (m,e,s)=H(ml|sG-eP)(这实质上是一个“半变色龙哈希”:具备陷门信息的人可以通过必要地变更s来变更e的值,但是没有人可以在不变更哈希函数输入的情况下变更m。

)我们注意到如果s=k+xe,s来自Schnorr亲笔签名的值,则可以在不预先告诉e的情况下计算出来e=H’(m,e,s)=H(m||kG)。因此,我们可以将Schnor亲笔签名叙述为一对(s,e), 其中e既是变色龙哈希的输出和输入,s是其随机输出。

由于哈希的输入是随机并且独立国家于其输出的,因此强迫输出相等输入必须陷门信息,因此证明了签名者具备此信息。这个结果称作科学知识亲笔签名。

换句话说,我们可以指出Schnorr投 名的工作方式如下:为了在不告诉密钥x的情况下分解Schnorr亲笔签名,必需预测随机应验H的输入,从而有效地“时光倒流”。亲笔签名的结构本质上包括其自身的哈希,从而构成因果循环并被迫签名者告诉陷阱门信息。

在下一节中,我们将概括这种因果循环并认识到它们是一种简单的抽象化工具。2.2 Abe-Ohkubo- Suzuki环亲笔签名的环亲笔签名是数字签名的- -种变体,其中,检验密钥被一组检验密钥所替换。每个检验密钥都有-个对应的私钥,只必须一个私钥才可分解一个的环亲笔签名。

然而,所有的检验密钥在检验亲笔签名的过程中扮演者某种程度的角色,因此被用作亲笔签名的那个检验密钥依然是秘密的。Rivest,Shamir和Tauman在2001年明确提出 了环亲笔签名。他们建议的运用案例是检举:一个各方相连较好的的组织内,举报人可以用于其他各方的检验密钥来建构的环,然后亲笔签名消息以检举一些阴谋。

检验者不会看见是的组织内的人早已签订了此检举,以保证其真实性,但他们不告诉明确是谁做到的,从而防止了对个人的一些不良后果。


本文关键词:亚博app买球信誉靠谱,Borromean,环,签名,是,如何,实现,匿名,转账,的

本文来源:亚博app-www.fujiejiaju.com