A Survey of Two Signature Aggregation Techniques學習筆記

1. 引言

Standford大學Dan Boneh等人2003年論文《A Survey of Two Signature Aggregation Techniques》。

針對的場景主要爲：
Given $n$ signatures on $n$ distinct messages from $n$ distinct users, it is possible to aggregate all these signatures into a single signature.
This single signature (and all $n$ original messages) will convince any verifier that the $n$ users signed the $n$ original messages (i.e., for $i=1,\cdots,n$, user $i$ signed message number $i$).

實際應用有：

• in a Public Key Infrastructure (PKI) of depth $n$, user signatures are accompanied by a chain of $n$ certificates. The chain contains $n$ signatures by $n$ Certificate Authorities (CAs) on $n$ distinct certificates.
• in the Secure BGP protocol (SBGP) each router receves a list of $n$ signatures attesting to a certain path of length $n$ in the network. A router signs its own segment in the path and forwards the resulting list of $n+1$ signatures to the next router. The number of signatures in routing messages is linear in the length of the path.

以上兩種應用場景，都將受益於a method for compressing the list of signatures on distinct messages issued by distinct parties. 而aggregate signature可實現這樣的compression壓縮。

1.1 aggregate signature與multisignature的關係

multisignature是多個用戶對 同一消息$m$ 進行簽名，最終結果爲a single signature。

而aggregate signature 是需要combine signatures on distinct messages into an aggregate。

本論文中，主要調查了2套簽名方案：

• general aggregation: short signature scheme of Boneh, Lynn, and Shacham.
• sequential aggregation: Micali, Ohta, and Reyzin的multisignature scheme——built from any trapdoor permutation.

假設$n$個users的公私鑰對分別爲$(PK_i,SK_i)$，User $i$希望簽名的消息爲$M_i$。

2. General aggregate signatures

在general aggregate signature機制中，user $i$ 對它的消息$M_i$生成簽名$\sigma_i$。
將$n$個不同的簽名$\sigma_1,\cdots,\sigma_n$通過a public aggregation algorithm來壓縮爲a single signature $\sigma$。同時存在aggregate verification algorithm，根據$PK_1,\cdots,PK_n,M_1,\cdots,M_n以及\sigma$，來驗證aggregate signature是否有效。

aggregation algorithm和aggregate verification algorithm：

• aggregation algorithm：輸入爲signatures $\sigma_1,\cdots,\sigma_n$ on respective messages $M_1,\cdots, M_n$ under respective public keys $PK_1,\cdots,PK_n$。輸出爲a single aggregate signature $\sigma$。
• aggregate verification algorithm：輸入爲an aggregate signature $\sigma$，messages $M_1,\cdots,M_n$以及public keys $PK_1,\cdots,PK_n$，驗證$\sigma$ is a valid aggregate signature on the given messages under the given keys。

an aggregate signature可提供non-repudiation不可抵賴性at once on many different messages by many users。

general aggregate signature之所以爲general，是因爲public aggregation algorithm可由任何人執行，且不需要與簽名者進行交互。

Boneh, Lynn, and Shacham等人2003年論文《Aggregate and verifiably encrypted signatures from bilinear maps》中利用bilinear maps form algebraic geometry 實現了a general aggregate signature scheme。

2.1 Bilinear Maps

general aggregate signature的底層數學基礎主要有：

• Gap Diffie-Hellman groups：arise from a separation between Computational Diffie-Hellman and Decision Diffie-Hellman；
• bilinear groups：arise from the presence of a bilinear map, a function with certain properties。

Consider a multiplicative cyclic group $G$ of prime order $p$, with generator $g$。

• Computational Diffie-Hellman(CDH)：Given $g,g^a,h\in G$，計算$h^a\in G$。CDH assumption是指計算$h^a$爲computationally infeasible。
• Decision Diffie-Hellman(DDH)：Given $g,g^a,h,h^b\in G$, decide whether $a$ equals $b$. Tuples of this form——$(g,g^a,h,h^b)$——are termed Diffie-Hellman tuple。DDH assumption是指在不知道的$a$或者$b$的情況下，很難判斷$a$是否等於$b$。【但是，參見2.2.2節，藉助bilinear group 可使DDH assumption不成立。】（參見博客 基於Sigma protocol實現的零知識證明protocol集錦 2.7節 Inequality of discrete logs中，若知道witness $a$或$b$，則可判斷$a\neq b$是否成立。）

2.1.1 GDH Groups (Gap Diffie-Hellman groups)

對於大多數的cyclic group $G$來說，如subgroups of $\mathbb{Z}_q^*$，CDH和DDH assumption均成立。
但是，on certain elliptic-curve groups【如存在bilinear map的groups】，DDH problem is easy to solve, whereas CDH is believed hard [6,22]. CDH assumption成立而DDH assumption不成立的groups 稱爲 Gap Diffie-Hellman (GDH) groups。

2.1.2 Bilinear groups

目前，the only known examples of GDH groups have additional structure, namely, a bilinear map.
A bilinear map is a map $e:G\times G\rightarrow G_T$，其中$G_T$爲another multiplicative cyclic group of prime order $p$。具有如下屬性：

• Computable可計算性：即存在有效的算法用於計算$e(u,v)$，for all $u,v\in G$。
• Bilinear：對於所有的$u,v\in G和a,b\in \mathbb{Z}_q$，$e(u^a,v^b)=e(u,v)^{ab}$成立。
• Non-degenerate：即$e(g,g)\neq 1$。

以上屬性還可衍生爲：【參見Boneh, Lynn, and Shacham等人2003年論文《Aggregate and verifiably encrypted signatures from bilinear maps》】

• for any $u_1,u_2,v\in G$，$e(u_1u_2,v)=e(u_1,v)\cdot e(u_2,v)$成立。
• for any $u,v\in G$，$e(\psi(u),v)=e(\psi(v),u)$成立。

任何擁有map $e$（滿足如上屬性）且CDH assumption成立的group，都可稱爲bilinear group。

bilinear map $e$可用於解決DDH問題，如已知$(g,g^a,h,h^b)$有：
$a=b\mod p \Leftrightarrow e(h,g^a)=e(h^b,g)$
從而使得DDH assumption不成立。

結論爲：
若group $G$爲bilinear group，則$G$也爲GDH group。

假設 $E/\mathbb{F}_q$爲an elliptic curve，設置$G$爲 a subgroup (of prime order $p$) of the curve’s group of points $E(\mathbb{F}_q)$。
On certain cuves, the Weil pairing和modified Tate pairing可生成a bilinear map $e:G\times G\rightarrow G_T$，其中group $G_T$爲a subgroup of $\mathbb{F}_{q^{\alpha}}$，$\alpha$爲a security multiplier that depends on the curve and on the group $G$。

multiplier $\alpha$的取值需要權衡efficiency和security。$\alpha$值越小，bilinear map的運算越快；而$\alpha$值越大，則安全係數更高，the more difficult is the CDH problem on $G$。
目前的CDH algorithms on $G$ require solving the discrete logarithm problem either in the generic group $G$ (of order $p$) or in the finite field $\mathbb{F}_{q^{\alpha}}$。

MNT 家族curves具有large subgroups with security multiplier $\alpha=6$，可滿足要求。

2.2 BLS Signature Scheme

（可參見博客 ECDSA VS Schnorr signature VS BLS signature 第3節內容。）

BLS short signature scheme works in any Gap Diffie-Hellman group $G$，同時額外需要a hash function from the message space onto the group $G$。

假設$G=<g>$爲a GDH group of prime order $p$，with a hash function $H:\{0,1\}^*\rightarrow G$（可被認爲是a random oracle）。
任何string可都被前面，BLS signature爲 a single element of $G$，整個BLS signature的流程如下：

• Key Generation：選擇隨機數$x\overset{R}{\leftarrow}\mathbb{Z}_p$，計算$v=g^x$。公鑰爲$v\in G$，私鑰爲$x\in \mathbb{Z}_p$。
• Signing：輸入爲私鑰$x$和消息$M\in\{0,1\}^*$，計算$h\leftarrow H(M)其中h\in G, \sigma\leftarrow h^x$。BLS簽名爲$\sigma\in G$。
• Verification：輸入爲公鑰$v$，消息$M$以及a signature $\sigma$，計算$h\leftarrow H(M)$，驗證$(g,v,h,\sigma)$爲a valid Diffie-Hellman tuple。（其實即是驗證$e(g,\sigma)=e(v,h)$是否成立。）

Its security against existential forgery under a chosen message attack can be shown based on the CDH assumption in $G$ [6].

BLS簽名$\sigma=(x,y)\in G$，可只取$x$座標表示（BLS remains valid and secure even if only the x-coordinate of every signature point $\sigma\in G$ is transimitted.）。

對於MNT curve (with $\alpha=6$) over a 170-bit field, BLS簽名的長度爲170bits，同時provide security comparable to that of 1024-bit RSA或者是320-bit DSA。
BLS signatures are half the size of DSA with comparable security。

BLS signature可擴展爲threshold signature, multisignature以及blind signature。

2.3 Bilinear Aggregate Signatures

bilinear aggregate signature要求group $G$爲a bilinear group，而僅僅爲general GDH group是不夠的。

bilinear aggregate signature中引入了a random oracle hash function，輸入爲a string和an element of $G$：$H:G\times\{0,1\}^*\rightarrow G$。

bilinear aggregate signature可支持general aggregation，可允許任何人來combine pre-existing signatures into an aggregate，對aggregated elements的順序無要求，如果確實需要的話，可在待簽名消息上附加index numbers。

Bilinear Aggregate Signatures在BLS Signature Scheme的基礎上，增加了Aggregation和Aggregate Verification算法：

• Key Generation：選擇隨機數$x\overset{R}{\leftarrow}\mathbb{Z}_p$，計算$v=g^x$。公鑰爲$v\in G$，私鑰爲$x\in \mathbb{Z}_p$。
• Signing：輸入爲私鑰$x$、消息$M\in\{0,1\}^*$和公鑰$v$，計算$h\leftarrow H(v,M)其中h\in G, \sigma\leftarrow h^x$。BLS簽名爲$\sigma\in G$。
• Verification：輸入爲公鑰$v$，消息$M$以及a signature $\sigma$，計算$h\leftarrow H(v,M)$，驗證$(g,v,h,\sigma)$爲a valid Diffie-Hellman tuple。（其實即是驗證$e(g,\sigma)=e(v,h)$是否成立。）
• Aggregation：Arbitrarily assign to each user whose signature will be aggregated an index $i$, ranging from $1$ to $n$. Each user $i$ provides a signature $\sigma_i\in G$ on a message $M_i\in\{0,1\}^*$ of her choice. 計算$\sigma\leftarrow \prod_{i=1}^{n}\sigma_i$。The aggregate signature is $\sigma\in G$。
• Aggregation Verification：輸入爲an aggregate signature $\sigma\in G$ for a set of users indexed as before，original messages $M_i\in\{0,1\}^*$ and public keys $v_i\in G$。計算$h_i\leftarrow H(v_i,M_i)$ for $1\leq i\leq n$，驗證$e(\sigma,g)=\prod_{i=1}^{n}e(h_i,v_i)$是否成立。（根據2.1.2節衍生屬性可知其應成立。）

Bilinear Aggregate Signatures的安全性：當僅僅知道messages，public keys和the aggregate signature $\sigma$時，從$\sigma$中恢復各個單獨的signatures $\sigma_1,\cdots,\sigma_n$爲hard。其安全性等價爲CDH assumption，詳細可參見Coron等人2003年論文《k-element aggregate extraction assumption is equivalent to the Diffie-Hellman assumption》。

Bilinear Aggregate Signatures支持incremental aggregation，即：
已知一個基於消息$M_1,\cdots,M_n$ under public keys $v_1,\cdots,v_n$的aggregate signature $\sigma$。

• 增加一個簽名$\sigma_{n+1}$ (on a message M_{n+1} under public key $v_{n+1}$) 可以aggregate爲：$\sigma'\leftarrow \sigma\cdot \sigma_{n+1}$。
• 若$\sigma$中的某個signature $\sigma_j$已知，則可從aggregate中移除：$\sigma'\leftarrow \sigma/\sigma_j$。

3. Sequential aggregate signature

在sequential aggregation signature機制中，signature aggregation僅能在簽名過程中實現。每個簽名者依次在current aggregate的基礎上添加自己的簽名。在aggregate signature中有明確的順序要求，簽名者之間在aggregation過程中must communicate with each other。

sequential aggregation signature是分層構建的，像洋蔥依樣，第一各簽名aggregate後在最裏層。基本流程爲：

• User 1 signs $M_1$ to obtain $\sigma_1$;
• User 2 then combines $\sigma_1$ and $M_2$ to obtain $\sigma_2$;（aggregate和簽名操作是在一起進行的。）
• $\cdots$
• The final signature $\sigma_n$ binds user $i$ to $M_i$ for all $i=1,\cdots,n$。

sequential aggregation signature的最終長度與ordinary signature的長度一樣。

可基於類似RSA的homomorphic trapdoor permutation來實現sequential aggregate signature。
Micali, Ohta, and Reyzin 1999年論文《Provable subgroup signatures》（手稿，未發表）中的multisignature scheme可實現sequential aggregate signature，且Shacham 在其2003年論文《Sequential aggregate signatures from trapdoor homomorphic permutations》中進行了分析。

儘管general aggregation is more powerful than sequential aggregation，但是sequential aggregation可基於標準的primitives如RSA等來構建。

general aggregation和sequential aggregation均可用於compressing signatures in a certificate chain。

3.1 Trapdoor Homomorphic Permutations

sequential aggregation signature是基於trapdoor homomorphic permutation構建的。

permutation family $\Pi$ 定義：
a collection of permutations of some domain $D$. 每個$\Pi$中的permutation均有a description $s\in S$。Anyone given a description $s$ can evaluate the corresponding permutation。

permutation family $\Pi$ 具有one-way屬性，即給定permutation description $s$, it’s infeasible to invert the corresponding permutation.

permutation family $\Pi$ 具有trapdoor屬性，若每個description $s$ 都有相應的trapdoor $t\in T$ 使得it’s easy to invert the permutation corresponding to $s$ with $t$，而infeasible without $t$。
trapdoor permutation family肯定是one-way的。

permutation family $\Pi$主要由Generate,Evaluate和Invert算法組成：

• Generate：輸出description $s\in S$ of a permutation along with the corresponding trapdoor $t\in T$。
• Evaluate$(s,\cdot)$：輸入爲description $s$和a value $x\in D$，輸出爲$a\in D$，$a$爲the image of $x$ under the permutation。
• Invert：輸入爲description $s$，trapdoor $t$和a value $x\in D$，輸出爲the preimage of $a$ under the permutation。

以上算法需滿足：$Evaluate(s,\cdot)$ be a permutation of $D$ for all $(s,t)\overset{R}{\leftarrow} Generate$，而$Invert(s,t,Evaluate(s,x))=x$ hold for all $(s,t)\overset{R}{\leftarrow} Generate$ and for all $x\in D$。

trapdoor permutation具有homomorphic屬性，若在group內滿足：若$a=\pi(x),b=\pi(y)$，則有$a*b=\pi(x*y)$。
可將Generate算法的輸出理解爲a probability distribution $\Pi$ on permutations，表示爲$(\pi,\pi^{-1})\overset{R}{\leftarrow} \Pi$，其中$\pi$對應爲the permutation $Evaluate(s,\cdot)$，而$\pi^{-1}$爲the inverse permutation $Invert(s,t,\cdot)$。

permutation family 中的每個permutation可對應different domain $D$。

3.2 Full-domain signatures

Full-domain signatures scheme中引入了一個random-oracle hash function $H:\{0,1\}^*\rightarrow D$。該hash函數可maps bit strings into the entire domain $D$ (rather than some subset of $D$)。

Full-domain signatures算法流程爲：

• Key Generation：對於特定用戶，選擇隨機$(s,t)\overset{R}{\leftarrow} Generate$。該用戶的公鑰爲$s$，私鑰爲$(s,t)$。
• Signing：對於特定用戶，輸入爲私鑰$(s,t)$，message $M\in\{0,1\}^*$，計算$h\leftarrow H(M)$，其中$h\in D$，計算$\sigma\leftarrow Invert(s,t,h)$。The signature is $\sigma\in D$。
• Verification：輸入爲特定用戶的公鑰$s$，message $M$和a signature $\sigma$，計算$h\leftarrow H(M)$，驗證$h=Evaluate(s,\sigma)$是否成立。

即，用戶通過$\sigma=\pi^{-1}(H(M))$來簽名，通過判斷$\pi(\sigma)=H(M)$來驗籤。

若$\Pi$爲a trapdoor permutation family，則對當前已存在的existential forgery under a chosen message attack是安全的；若$\Pi$同時具有Homomorphic屬性，則其security reduction將更有效。

3.3 Sequential Aggregate Signatures

Sequential Aggregate Signatures是基於具有homomorphic屬性trapdoor permutation的full-domain hash signature scheme構建的。

以下Sequential Aggregate Signatures scheme是基於Micali, Ohta, and Reyzin 1999年論文《Provable subgroup signatures》（手稿，未發表）中的multisignature scheme來實現的。

論文中用到的向量基本定義如下：

Sequential Aggregate Signatures算法流程爲：

• Key Generation：對於特定用戶，選擇隨機$(s,t)\overset{R}{\leftarrow} Generate$。該用戶的公鑰爲$s$，私鑰爲$(s,t)$。
• Aggregate Signing：輸入爲私鑰$(s,t)$，待簽名message $M\in\{0,1\}^*$以及a sequential aggregate signature $\sigma'$ on a vector of messages $M$ under a vector of public keys $s$。 No key may appear twice in $\vec{s}$，同時要求vectors $M$和$s$的長度應該相同。當$|M|=0$時，$\sigma'$值必須爲1（即the unit of $D$）。
  計算$h\leftarrow H(\vec{s}||s,\vec{M}||M)$，其中$h\in D$，計算$\sigma\leftarrow Invert(s,t,h*\sigma')$。The sequential aggregate signature is $\sigma\in D$。
• Aggregate Verification：輸入爲a sequential aggregate signature $\sigma$ on messages $\vec{M}$ under public keys $s$，其中$|\vec{M}|=|\vec{s}|=i$。驗證時，首先設置$\sigma_i\leftarrow \sigma$，然後 for $j=i,\cdots,1$，依次計算$\sigma_{j-1}\leftarrow Evaluate(\vec{s}_j,\vec{\sigma}_j)*H(\vec{s}|_1^j,\vec{M}|_1^j)^{-1}$，驗證$\sigma_0$是否等於$1$。

以$\pi-$理念表示的話，sequential aggregate signature可表示爲：

其中$h_j=H(\vec{s}|_1^j,\vec{M}|_1^j)$。

若$\Pi$爲homomorphic trapdoor permutation family，則 trapdoor sequential aggregate signature scheme也是安全的。同時認爲，只要forger沒有獲取到所有的私鑰（如有1個私鑰是安全的），則該forger無法frame the remaining honest user。

3.4 Aggregating with RSA

RSA算法可參見博客 密碼學算法——RSA。

具體爲：

• $N=pq$，$p,q$爲2個large primes。
• $ed=1\mod \phi(N)$，其中$t=(d)$爲私鑰，$s=(N,e)$爲公鑰。
• $\pi(x)=x^e\mod N$爲a permutation on $\mathbb{Z}_N^*$，$\pi^{-1}(x)=x^d\mod N$爲其inverse。

難點在於，兩個用戶無法共享相同的modulus $N$，有2種方法來解決：
（假設$n$個用戶的moduli分別爲$N_1,\cdots, N_n$，要求這些moduli具有接近的size，即$\left \lfloor\log_2{N_1} \right \rfloor=\left \lfloor\log_2{N_2} \right \rfloor=\cdots=\left \lfloor\log_2{N_n} \right \rfloor$，假設$N$爲所有$N_1,\cdots, N_n$中的最小值。The hash function $H$ maps into the set $\{1,\cdots, N-1\}$，對於無法map進去的，可iterating the hash（參見Bellare and Rogaway 1993論文《A paradigm for designing efficient protocols》第4章方法）。）

• 第一種方法：約束$N_1<N_2<\cdots<N_n$。
  
• 第二種方法：對moduli無約束。
  

第一種方法對signing keys的選擇限制更多。而第二種方法生成的aggregate signatures grow by one bit per signature。兩種方法都不再是full-domain hash signature schemes，但是由於所有的moduli具有幾乎相同的size, Coron的partial-domain hash anayasis [9]可適用。