2.我们的建设
系统是在 Pointcheval‑Sanders (PS) 签名方案的基础上构建的,用于 n 条消息的块,通过将编辑的消息聚合在一个元素中,然后通过一个附加元素证明后者是诚实的产生。不幸的是,这是通过在公钥中添加元素的二次数(以 n 为单位)来完成的,这很快就会变得低效。
我们的方法与有一些相似之处,但在几个重要方面有所不同。我们的第一个区别是我们不是从原始的 PS 签名方案开始,而是从一个特定的实例开始。
其中密钥仅包含两个标量 x 和 y 并且其中签名 (σ1, σ2) ∈ G2 yi · mi ) ,对于一些随机元素 h ∈ G1。是(h, hx n i=1 set of messages { mi } n方案。
在这个阶段,我们有一个不可伪造的可编辑签名方案。为了实现不可链接性,我们使用与中完全相同的技巧,即我们在虚拟公钥下聚合随机消息 t 上的签名,然后编辑 t 以完美隐藏集合{mi}i∈I。连同 PS 签名(我们的变体继承)的可重新随机化性,这导致了不可链接的可编辑签名方案。
我们在这里证明,对于 Sign 或 Derive 算法返回的任何 sig nature σ,Verify 算法都会返回。首先,在没有导出 σ 的情况下,我们注意到第二个验证方程很容易满足,因为σ3和 σ 分别是G1和G2的中性元素。此外,在这种情况下,我们有 e(σ2, g) = e(σx n i=1包括证明。
