BLS门限签名介绍及实现

文章目录

基础知识
传统BLS - 实现步骤
- 1.初始化
- 2.密钥生成
- 3.签名
- 4. 验签
BLS门限签名 - 实现步骤
- 原理
- 门限签名定义
- 实现步骤
- - 1. 初始化（一样）
  - 2. 密钥生成
  - 3.签名
  - 4.验证
代码实现

基础知识

参考：BLS数字签名算法介绍及拓展

传统BLS - 实现步骤

1.初始化

G1,G2G_1,G_2G1,G2 是阶为 ppp 的乘法循环群。生成元分别是 g1,g2g_1, g_2g1,g2
eee 是双线性映射:G1 * G2 -> GT ,
安全hashhashhash函数:h:{0,1}*-> G1
公开参数是(G1,G2,GT,e,g1,g2,p,h)(G_1, G_2, G_T, e, g_1, g_2,p,h)(G1,G2,GT,e,g1,g2,p,h)

2.密钥生成

(1) 选择一个随机数x∈ZPx∈Z_Px∈ZP，私钥SK=xS_K=xSK=x (secret key),计算公钥PK=v=g2x∈G2P_K=v=g_2^x∈G_2PK=v=g2x∈G2

3.签名

对消息MMM签名：sig=h(M)∗xsig=h(M)*xsig=h(M)∗x

4. 验签

验证等式是否成立：
e(sig,g2)=e(h(M),v)e(sig,g_2)=e(h(M),v)e(sig,g2)=e(h(M),v)

BLS门限签名 - 实现步骤

原理

最简单的实现门限签名的方式就是：SSS（Shamir Secret Share）

SSS 的核心是：拉格朗日插值法

拉格朗日插值法：
已知一条n−1n-1n−1次曲线上的nnn个点(x1,y1),(x2,y2),....,(xn,yn)(x_1,y_1), (x_2,y_2), ...., (x_n,y_n)(x1,y1),(x2,y2),....,(xn,yn) .可以使用拉格朗日插值法恢复这条曲线方程，具体如下:
y=(x−x2)(x−x3)...(x−xn)(x1−x2)(x1−x3)...(x1−xn)y1+(x−x1)(x−x3)...(x−xn)(x2−x1)(x2−x3)...(x2−xn)y2+...+(x−x1)(x−x2)...(x−xn−1)(xn−x1)(xn−x2)...(xn−xn−1)yny = \dfrac{(x-x_2)(x-x_3)...(x-x_n)}{(x_1-x_2)(x_1-x_3)...(x_1-x_n)}y_1+\dfrac{(x-x_1)(x-x_3)...(x-x_n)}{(x_2-x_1)(x_2-x_3)...(x_2-x_n)}y_2+...+\dfrac{(x-x_1)(x-x_2)...(x-x_{n-1})}{(x_n-x_1)(x_n-x_2)...(x_n-x_{n-1})}y_ny=(x1−x2)(x1−x3)...(x1−xn)(x−x2)(x−x3)...(x−xn)y1+(x2−x1)(x2−x3)...(x2−xn)(x−x1)(x−x3)...(x−xn)y2+...+(xn−x1)(xn−x2)...(xn−xn−1)(x−x1)(x−x2)...(x−xn−1)yn

举个现实例子：要实现 m of n 秘密分享。取 m=3，n=4 。

1. 先任意选择一条 t -1=2 次曲线，以这条曲线在 x=0 处的值作为秘密。
2. 然后任意取出曲线上的 n = 4 个点 (1,2),(2,5), (3,10),(4,17) 后，任选其中三个点后恢复出来的曲线是一样的。
3. 因此，我可以将这四个点（横坐标分别是 1、2、3、4）发送给四个不同的人，这样就是一个 3-of-4 的秘密分享了。

有了以上知识，应该可以理解基于 BLS 签名的门限签名算法。

门限签名定义

门限签名的通俗理解是:在一个签名者群体中，有超过 m (门限) 个签名者对一条消息进行签名就可以得到这个群体对这条消息的签名，并且认为这个群体对这条消息进行了验证。

超过 m个签名者的不同子集生成的签名是一样的，且任何人都可以验证。
由门限签名的性质可知，少于 t 个签名者的群体是得不到群体签名的。

实现步骤

1. 初始化（一样）

G1,G2G_1,G_2G1,G2 是阶为 ppp 的乘法循环群。生成元分别是 g1,g2g_1, g_2g1,g2
eee 是双线性映射:G1 * G2 -> GT ,
安全hashhashhash函数:h:{0,1}*-> G1
公开参数是(G1,G2,GT,e,g1,g2,p,h)(G_1, G_2, G_T, e, g_1, g_2,p,h)(G1,G2,GT,e,g1,g2,p,h)

2. 密钥生成

这步由密钥生成中心完成

（1）密钥生成中心，选择系统主私钥，计算系统主公钥。

系统主私钥：MSK=xMSK=xMSK=x，其中xxx为系统选择的随机数；
系统主公钥：MPK=v=g2x∈G2MPK=v=g_2^x ∈G_2MPK=v=g2x∈G2

（2）分别计算节点的私钥和公钥。

随机选择一个 ZPZ_PZP上的 t−1t-1t−1 阶多项式 PPP, 满足 P(0)=xP(0)=xP(0)=x, 计算xi=P(i)x_i = P(i)xi=P(i)，
签名者uiu_iui的私钥：xix_ixi,
签名者uiu_iui的公钥：vi=g2x2v_i=g_2^{x_2}vi=g2x2

（3）公开主公钥MPKMPKMPK 及所有用户的公钥

3.签名

（1）用户uiu_iui计算对消息MMM签名：σi=h(M)xi\sigma_i=h(M)^{x_i}σi=h(M)xi；
（2）广播σi\sigma_iσi；
（3）用户间签名验证：用户uiu_iui收到了来自uju_juj的签名 σj\sigma_jσj后，首先验证签名的正确性:e(σj,g2)=e(h(M),vj)e(\sigma_j,g_2)=e(h(M),v_j)e(σj,g2)=e(h(M),vj),如果签名正确则记录下来；
（4）待收集到 t 个不同用户的正确签名后，用户计算完整的签名:
由拉格朗日差值公式可知，任意 t 个用户所产生的完整签名相同

4.验证

e(σ,g2)?=e(h(M),MPK)e(σ, g_2)? = e(h(M), MPK)e(σ,g2)?=e(h(M),MPK)

代码实现

关于JPBC库安装，可在B站看到相关视频

package com.CYQ.signatures.bls;import it.unisa.dia.gas.jpbc.Element;
import it.unisa.dia.gas.jpbc.Field;
import it.unisa.dia.gas.jpbc.Pairing;
import it.unisa.dia.gas.plaf.jpbc.pairing.PairingFactory;//BLS签名（单个）
public class BLS {public static void main(String[] args){// 初始化Pairing bp = PairingFactory.getPairing("a.properties");Field G1 = bp.getG1();Field Zr = bp.getZr();Element g = G1.newRandomElement();Element x = Zr.newRandomElement();//私钥Element g_x = g.duplicate().powZn(x);//公钥//签名String m = "message";//签名的消息！byte[] m_hash = Integer.toString(m.hashCode()).getBytes();Element h = G1.newElementFromHash(m_hash, 0, m_hash.length);Element sig = h.duplicate().powZn(x);//签名//验证Element pl = bp.pairing(g, sig);//g ,sig均为公共参数Element pr = bp.pairing(h, g_x);//h,公钥均为公共参数if (pl.isEqual(pr))System.out.println("Yes");elseSystem.out.println("No");}
}

此文章参考了CSDN上多位博主的文章，可以看作一篇总结文章，此处难以一一列举，望见谅。

如若侵权，请联系，会删除的！

参考：
1、拉格朗日中值定理