群签名方案是一种类似于数字签名的密码原语,其目的在于允许用户代表群签名消息,并在该群内保持匿名。也就是说,看到签名的人可以用公钥验证该消息是由该群成员发送的,但不知道是哪一个。同时,用户不能滥用这种匿名行为,因为群管理员可以通过使用秘密信息(密钥)来消除(恶意)用户的匿名性。例如,大公司里的雇员可以使用群签名方案对消息进行签名,其中验证者知道消息是由他们公司里的雇员签名的就足够了,不需要知道是由哪个特定雇员签名的;该方案的另一个应用:通过识别卡(keycard)认证进入受限区域,在受限区域中不适合跟踪单个成员的移动,但必须确保只有该群的成员才能进入。
群签名方案的关键是“群管理员”,它负责添加群成员,并能够在发生争议时揭示签名者身份。在一些系统中,添加成员和撤销签名匿名性的责任被分开,并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案,但所有方案都应该满足基本的安全性要求
1991年,Chaum 和 Heyst首次提出群签名的概念。从那时起,越来越多的协议被引入,并在这个模型上加入了类似于数字签名的非伪造性的概念,当然也包括更具体的概念,如废除。直到Bellare,Micciancio和Warinschi才提出了一个更精确的正式模型,这个模型如今被用于群签名方案的工程实现
群签名方案实现一般由下列四个可行的算法组成:初始化,签名,验证和打开。
真实的消息签名的验证将返回true,如下所示:
目前最新的群签名方案技术包括:ACJT 2000、BBS04和BS04(在CCS中)。(非完整列表)
Boneh,Boyen和Shacham于2004年发表的 描述了一种基于双线性映射的新型群签名方案。 该方案中的签名大约是标准RSA签名的大小(约200字节)。其安全性在随机预言机中得到证明,并依赖于强Diffie-Hellman假设(SDH) 和一个在双线性群(bilinear groups)中的新假设:Decision Linear assumption(英语:Decision Linear assumption) (DLin)。
Bellare, Micciancio 和Warinschi给出了针对可证明安全性(英语:Provable_security)的更加正式的定义。
