一些密码学应用

1. Key Escrow秘钥托管

涉及的参与方有：

• T方：可信第三方。公私钥对$(P{K}_t,S{K}_t)$
• A方：将自身的私钥$S{K}_a$通过非对称加密算法用可信第三方T的公钥$P{K}_t$进行加密，输出密文$\psi =En{c}_{p{k}_t}(S{K}_a)$和proof证明$\psi$确实是$S{K}_a$的加密密文。此时可使用verfiable encryption protocol来生成相应的proof。
  同时，A可以在密文$\psi$中添加一些label来指明只有满足特定要求的情况下，$\psi$才可以被解密。添加的label信息科为A的身份或者是过期日期。若使用不符合生成密文时预添加的label信息，则解密结果将reveal no information about the original encrypted message，从而实现chosen ciphertext security。
• B方：根据verfiable encryption proof验证密文加密正确，同时调用verifiable decryption protocol验证T解密正确。

整个流程无法阻止可信第三方T将私钥泄露给非授权方。

2. ptimistic fair exchange乐观公平交互

A、B对一些有价值的数字资料（如合约签名、e-cash）以公平的方式进行交换：要么A获得了B的数据且B也获得了A的数据，要么A/B双方均未能拥有对方的数据。【感觉适合用于跨链数据交互？】

实现方式之一是：引入可信第三方T，为了保证效率，T仅参与关键的环节，A/B双方均以verifiable encryption方式对己方所拥有数据采用T的公钥进行加密，A验证B的数据通过后，A将数据reveal给B，B将数据reveal给A。若有任意一方反悔，则另一方可直接通过T获取到相应的数据。

以公平交互Schnorr签名为例：【实际交换的即为$s$值】

• T：公钥私钥对 $(P{K}_t,S{K}_t)$。

• A：私钥$x$，公钥$\alpha ={\gamma }^x$。
  1）A对消息$m$进行Schnorr签名，流程为：
  – （1）取随机数$r$，计算$\beta ={\gamma }^r$。
  – （2）计算challenge值$c=H(\beta ,m)$。
  – （3）计算response值$s=r+xc\mathrm{m}\mathrm{o}\mathrm{d}\rho$，其中$\rho$为group size。
  – （4）发送给B的Schnorr签名信息一般为$(\beta ,s)$，此处为$(\beta ,c,\delta )$，其中$\delta ={\gamma }^s$。【不直接发送$s$值（$s$值即为对消息$m$的签名。），而改为发送${\gamma }^s$。而且$c$值可不发送，对应B其已知$\beta ,m$，可自行计算相应的$c=H(\beta ,m)$值。】
  2）A对response值$s$用T的公钥加密 $\psi =En{c}_{p{k}_t}(s)$。A发送$\psi$给B。
  3）A生成proof用于证明$\psi$ is an encryption of ${\log }_{\gamma }\delta$，将该proof发送给B。

• B：收到$(\beta ,c,\delta ),\psi ,proof$，同时具有common input $\gamma ,$，B需做以下验证工作：
  1）check the proof that $\psi$ is a correct encryption of ${\log }_{\gamma }\delta$；
  2）check $\delta =\beta {\gamma }^c$成立。
  若以上两项验证通过，若A反悔不发送$s$值给B，B可以根据之前收到的$\psi$值发送给T，T可以用私钥$S{K}_t$成功解密出A的签名信息$s$。
  而verifiable decryption protocol可以保证T做出正确的解密。

3. publicly verifiable secret and signature sharing可公开验证的密码和签名共享

主要参与方有：（采用Shamir秘密共享机制）

• dealer：秘密$s$拥有方。
• proxies：秘密共享分。每个proxy $P_i$ 拥有秘密的一部分$s_i$。每个$P_i$使用其公钥对$s_i$进行加密，$E_i=En{c}_{{p_i}_{pk}}(s_i)$，同时计算commitment $C_i=Com(s_i;r_i)$。将$E_i，C_i$以及commitments to the coefficients of the blinding polynomial 和 proof for $E_i$ encrypt opening of the commitment to $s_i$ 发送给第三方。
• 第三方：除了dealer和proxies之外的第三方。

4. universally composable commitments通用组合承诺

universally composable commitment的概念，由 Canetti and Fischlin 在2001年论文《Universally composable commitments》中首次提出。

参与方：

• T：理想化的可信第三方，在现实世界中并不存在。
• A：拥有$x$，将$x$发送给T，计算commitment $c=Com(x;r)$发送给B，计算密文$\psi =Enc(x,r)$，以及生成proof证明$\psi$ indeed decrypts to a representation of $c$，将$c,\psi ,proof$均发送给B。为了避免中间人攻击man in the middle attacks，需要在密文$\psi$中附加A的identity label信息。
• B：当A open commitment时，T将$x$ 发送给B。在理想情况下，no information about $x$ is revealed to B prior to opening，且A is forced to fix the value committed to when the commitment protocol runs。

以上协议仅在具有common reference string的情况下存在。

5. Confirmer Signatures确认人签名

参与方：

• A：对消息$m$创建opaque signature透明签名$\psi$。该透明签名仅可由指定的可信第三方才可verify。可生成proof证明$\psi$的有效性，并将$(\psi ，proof)$发送给B。
• T：可信第三方。可将透明签名$\psi$转换为普通签名，该普通签名可be verified by anybody。
• B：验证$(\psi ，proof)$。

confirmer signature的可实现方式之一有：

• A：对消息$m$构建普通签名$\sigma$，用T的公钥加密$\psi =En{c}_{p{k}_t}(\sigma )$。采用verifiable encryption机制，A可生成proof证明$\psi$ indeed encrypts a valid signature on $m$。
• T：采用verifiable decryption机制，T可confirm or deny $\psi$的validity，或者decrypt $\psi$ 将其转换为普通签名$\sigma$。
• B：验证$(\psi ，proof)$。

6. Group Signatures and Anonymous Credentials

Group Signatures群签名参与方：

• group manager：管理group membership。
• user：group成员。可以以group成员角色对消息签名，而不会reveal his individual identity。而在特别情况下，对特定消息的实际签名人身份信息是可被reveal的。可用anonymity revocation manager的公钥对签名进行加密，当需要公开实际签名人身份时，直接对该加密信息进行解密。（To prove that this information correctly identifies the signer, he makes a Pedersen commitment to this information, proves that the committed value identifies the user, encrypts the opening of the commitment, and proves that the ciphertext decrypts to an opening of the commitment.）
• anonymity revocation manager：可reveal特定消息的实际签名人身份信息。

Credential systems are a generalization of group signatures that allow users to show credentials to various organizations, and obtain new credentials, without revealing their identity, execept through the use of an anonymity revocation manager.

参考资料

[1] 2003年论文《Practical Verifiable Encryption and Decryption of Discrete Logarithms》