# VLRGS 2.1 ###### tags: `VLRGS` `paper` ### A Fully Anonymous VLR-GS Scheme 把前面的東西兜好之後就要進入Fully Anonymous的環節了。 這裡有個前提是time period j = 1,應該是方便討論。 看到這裡其實我心中一直有個問題,既然以前有這麼多paper研究VLRGS但為何沒有人提出Fully Anonymous的想法?因為這裡用到的工具其實算滿常見的。我有兩個想法: 1. **Fully Anonymous重要性不高或容易被忽略** 可能前面研究的人沒注意到,或是這個性質對於他們來說並沒有甚麼研究的價值。 畢竟隨便抓個有在挖礦的人搞不好都能跟你解釋什麼是公私鑰加密或是數位簽章,比較有難度的也就零知識證明。但構成Fully Anonymous的主體應該在PKE和OTS,NIZK只是把他建構的更完備。 2. **建構的方法極為巧妙** 也有可能前人有嘗試過但兜不出來,而本篇的作者靈光一閃,用很基本的工具完成高難度的工程。 但礙於我資質魯鈍,就算他的手法再怎麼高超在我眼裡只不過是做完HASH的明文罷了QQ。 雖然講了這麼多但猜測作者動機並非當務之急,只是剛好腦中有些想法所以講了些題外話。 --- 回到正題,這篇大致參考了BMW construction ~~我拿去GOOGLE只會給我車廠的照片~~,往後看才發現是2003年提出的,這群簽名的歷史比我想像中的古老阿。 後面大概就是介紹他怎麼改的我就不贅述了,不的不說學長講的真是好啊,整個scheme很簡單的就被勾勒出來了。重點是**把跟user有關的資料通通包起來再做一次加密,來達到Fully Anonymous(即使user signing key洩露也沒辦法從簽章推回去user)。** --- ### 3.3 Security Analysis 這裡大概是說因為我們的PKE和NIZK很安全而且不會透露corresponding signing key (eki,vki,ski, certi)的資訊,所以這個是full anonymity。 反過來說要是沒有把signing key包好或是manager直接洩露資料整組就會歹廖廖。 接著就是一段落落長的證明 >$\mathrm {Adv}^{anon}_{\prod_1,\mathcal A}(\lambda,n)\le\sum_{i=0}^3|\mathrm {Pr}[\mathtt {Suc}_i]-\mathrm {Pr}[\mathtt {Suc}_{i+1}]|+|\mathrm {Pr}[\mathtt {Suc_4}]-{1/2}|$ $=Adv^{zk}_{P_L,\mathcal B_1}(\lambda)+2·Adv^{ind-cpa}_{\mathcal P\mathcal K\mathcal E,\mathcal B_2}(\lambda)+2n·Adv^{ind-cpa}_{\mathcal P\mathcal K\mathcal E,\mathcal B_3}(\lambda)+2n·Adv^{key-priv}_{\mathcal P\mathcal K\mathcal E,\mathcal B_4}(\lambda)$ 在NIZK滿足zero-knowledgeness且PKE滿足IND-CPA security和key privacy的情況下$\prod_1$滿足full anonymity (上面這段我用*LaTeX*刻出來,刻了快半小時) 這裡給出4個Game 1. Game 0 使用最基本的$\mathrm {Exp}^{anon}_{\prod_1,\mathcal A}(\lambda,n)$並加入一個 challenge bit b。 2. Game 1 跟Game0很像但在NIZK上做一點修改。 3. Game 2 對plaintext做修改。 4. Game3 對簽章σ做修改。 5. Game4 使用隨機的ek∗取代原來的$\mathrm {ek_{ib}}$。 接著探討兩個相鄰的Game最後得出證明,繁複的過程在此就略過了。 --- 下一周將會從Traceability開始看。