环签名（Ring signature）

参考自

环签名指的是在n个公钥中隐藏自己拥有私钥的那个公钥，具体应用就在于区块链上隐藏交易发送人（地址/公钥）。

准备

首先定义以下函数，其中$E_k$为对称加密算法，k为$E_k$对应的对称密钥

$C_{k,v}(y_1,y_2,\dots ,y_n)=E_k(y_n\oplus E_k(y_{n-1}\oplus E_k(\cdots \oplus E_k(y_1\oplus v)\dots )))=v$

情景

对消息m的环签名（公钥$P_1...P_n$）。我拥有$P_s$对应的私钥，下面的例子假设s为3。

利用公钥$P_i$对$x_i$进行加密可以表示为$y_i=g_i(x_i)$，利用对应私钥对$y_i$进行解密可以表示为$x_i=g_i^{-1}(yi)$。

过程

• 生成环签名

1. 令k=hash(m)，k未来作为$E_k$对应的对称密钥
2. 随机选取一个值v
3. 随机选取n-1个值$\{x_1,x_2,x_4,...,x_n\}$，并通过$y_i=g_i(x_i)$计算得到相应的$\{y_1,y_2,y_4,...,y_n\}$
4. 令$C_{k,v}(y_1,y_2,\dots ,y_n)=v$，计算得到令等式成立的$y_3$
5. 我们可以把$y_3$看作是通过公钥$P_3$加密得到，而我拥有$P_3$对应的私钥，所以我们可以通过$x_i=g_i^{-1}(yi)$，解密$y_3$得到$x_3$
6. 最后我们得到了关于消息m的环签名，是一个2n+1元组$(P_1,P_2,\dots ,P_n;v;x_1,x_2,\dots ,x_n)$，透过这个签名，我们不能获知我真正拥有私钥的是$P_3$，因为看不出区别。

• 验证签名

7. 通过公钥$\{P_1,...,P_n\}$通过$y_i=g_i(x_i)$相应地对$\{x_1,...,x_2\}$ 进行加密得到$\{y_1,...,y_n\}$
8. 计算$E_k$用的对称密钥，即$k=Hash(M)$
9. 验证等式$C_{k,v}(y_1,y_2,\dots ,y_n)=v$是否成立