環簽名

假定有 n 個用戶，每一個用戶 擁有一個公鑰 和與之對應的私鑰 。環簽名是一個能夠實現簽名者無條件匿名的簽名方案，它主要由下述算法組成：
1）生成Gen。一個機率多項式時間（PPT）算法，輸入為安全參數k，輸出為公鑰和私鑰。這裡假定 Gen 為每一個用戶 ，產生一個公鑰 和私鑰 ，並且不同用戶的公私鑰可能來自不同的公鑰體制，如有的來自RSA，有的來自DL。

2）簽名Sign。一個PPT 算法，在輸入訊息m和 n 個環成員的公鑰 L={ y1 , y2 ,⋯, yn }以及其中一個成員的私鑰xs 後，對訊息 m產生一個簽名 R，其中R 中的某個參數根據一定的規則呈環狀。

3）驗證Verify。一個確定性算法，在輸入(m,R)後，若R 為m 的環簽名則輸出“True”，否則為“False”。

環簽名因為其簽名隱含的某個參數按照一定的規則組成環狀而得名。而在之後提出的許多方案中不要求籤名的構成結構成環形，只要簽名的形成滿足自發性、匿名性和群特性，也稱之為環簽名。

一個好的環簽名必須滿足以下的安全性要求：

1）無條件匿名性。攻擊者即使非法獲取了所有可能簽名者的私鑰，他能確定出真正的簽名者的機率不超過1/n，這裡n 為環成員（可能簽名者）的個數。

2）不可偽造性。外部攻擊者在不知道任何成員私鑰的情況下，即使能夠從一個產生環簽名的隨機預言者那裡得到任何訊息m 的簽名，他成功偽造一個合法簽名的機率也是可以忽略的。

3）環簽名具有良好的特性。可以實現簽名者的無條件匿名；簽名者可以自由指定自己的匿名範圍；構成優美的環形邏輯結構；可以實現群簽名的主要功能但無需可信第三方或群管理員等。

環簽名是一種特殊的群簽名，沒有可信中心，沒有群的建立過程，對於驗證者來說，簽名人是完全正確匿名的。環簽名提供了一種匿名泄露秘密的巧妙方法。環簽名的這種無條件匿名性在對信息需要長期保護的一些特殊環境中非常有用。例如，即使RSA被攻破也必須保護匿名性的場合。
有以下特性：
1）正確性：如果按照正確的簽名步驟對訊息進行簽名，並且在傳播過程中簽名沒被篡改，那么環簽名滿足簽名驗證等式。
2）無條件匿名性：攻擊者即使非法獲取了所有可能簽名者的私鑰，他能確定出真正的簽名者的機率不超過1/N，這裡N為所有可能簽名者的個數。
3）不可偽造性：外部攻擊在不知道任何成員私鑰的情況下，即使能從一個產生環簽名的隨機預言者那裡得到任何訊息m的簽名，他成功偽造一個合法簽名的機率也是可以忽略的。

（1）無條件匿名性:攻擊者無法確定簽名是由環中哪個成員生成,即使在獲得環成員私鑰的情況下,機率也不超過1/n。

（2）正確性:簽名必需能被所有其他人驗證。

（3）不可偽造性:環中其他成員不能偽造真實簽名者簽名,外部攻擊者即使在獲得某個有效環簽名的基礎上,也不能為訊息m偽造一個簽名。

1. 環簽名的發展經歷了以下三個階段：

2001-2002年，以Rivest提出的環簽名定義為標誌，這一階段的工作主要是參考Rivest的方案，而提出的簽名方案。

2003-2004年，經過兩年對環簽名的概念和模型的認識與理解後，許多密碼界專業人士開始對環簽名進行深入研究。由此，在這一階段引出了許多新的環簽名方案，及其一些新的環簽名思想。這一階段是環簽名發展的關鍵時期。2005年到現在，在這個階段業界人士更加注重對環簽名的安全性、效率及其實用性等方面進行研究。除了湧現出許多安全高效的環簽名方案之外，許多密碼界人士，將環簽名與其他特殊數字簽名方案相結合提出了許多新的環簽名方案，如代理環簽名、向前安全性的環簽名等，與此同時還對環簽名進行功能擴展，出現了許多實用性較強的環簽名方案。在這個階段，業界更加注重了對環簽名的實用性的研究。

2.根據環簽名所擁有的不同屬性將環簽名分為4類：

（1）門限環簽名

（2）關聯環簽名

（3）可撤銷匿名性的環簽名

（4）可否認的環簽名