门罗币CrptoNote的环签名

作者: appleThree | 来源:发表于2021-11-26 14:26 被阅读0次

1.涉及函数及参数

$P$ ：每次交易时根据接收方的两个公钥，外加一个随机数，生成的一次性随机公钥

$x$ ： $P$ 所对应的私钥

$I$ ： keyImage，防双花标识

$m$ : 待签名内容

$P_i$ : $\{ P_i｜i = 1,2\cdots s \cdots n \}$ ，共n个，用于生成的环的公钥集合

$H_s$ : 哈希函数，如Keccak

$H_p$ : Keccak后再转为椭圆曲线上的点

$P$ 与 $x$ 如何生成会在其它文章介绍，以上定义具有如下数学关系：

$P=xG\quad 椭圆曲线生成点，私钥生成公钥原理\tag{1}$ $I=xH_P(P)\quad 防双花标识，利用对P求哈希保证唯一性，用x保证私密性\tag{2}$ $P_s=P\quad容易迷惑，特别列出，本次的输入用的是上一次输出\tag{3}$

2.准备

假设用于生成环的账户共有n个，其中真实签名账户所在序号为s

生成第一组随机数，共n个，记为 $\{ q_i｜i = 1,2,\cdots s-1,s,s+1,\cdots n \}$

生成第二组随机数，共n-1个，记为 $\{w_i｜i = 1,2,\cdots s-1,s+1,\cdots n ，且i\neq s \}$

3.签名

1> 生成 $L$ 集合,共n个，记为 $\{ L_i｜i = 1,2, \cdots s-1,s,s+1,\cdots n \}$

$L_i=\begin{cases}q_iG+w_iP_i &(i\not=s)\\q_iG & (i=s)\quad\quad不存在w_s,因此与i\not=s的情况有所区别 \\ \end{cases}\tag{4}$

这样就得到n个 $L$ ，为了直观，将 $L_i$ 的值分别列出如下：

$\begin{cases}\begin{align}L_1 & = q_1G+w_1P_1\\L_2 & = q_2G+w_2P_2\\ &\ \ \vdots\\L_{s-1} & = q_{s-1}G+w_{s-1}P_{s-1}\\L_{s} & = q_{s}G\\L_{s+1} & = q_{s+1}G+w_{s+1}P_{s+1}\\& \ \ \vdots\\L_{n} & = q_{n}G+w_{n}P_{n}\end{align}\end{cases}$

2>生成 $R$ 集合,共n个，记为 $\{ R_i｜i = 1,2, \cdots s-1,s,s+1,\cdots n \}$

$R_i = \begin{cases}q_iH_p(P_i)+w_iI & (i\not=s) \\q_iH_p(P_i) & (i=s) \\\end{cases}\tag{5}$

这样就得到n个 $R$ ，为了直观，将 $R_i$ 的值分别列出如下：

$\begin{cases}\begin{align}R_1&= q_1H_p(P_1)+w_1I\\R_2&= q_2H_p(P_2)+w_2I\\ &\ \ \vdots\\R_{s-1}&= q_{s-1}H_p(P_{s-1})+w_{s-1}I\\R_{s}&= q_{s}H_p(P_{s})+w_{s}I\\R_{s+1}&= q_{s+1}H_p(P_{s+1})+w_{s+1}I\\& \ \ \vdots\\R_{n}&= q_{n}H_p(P_{n})+w_{n}I\end{align}\end{cases}$

3>.组合出一个非交互式的挑战： $Challenge=H_s(m, L_1,L_2,\cdots L_{s-1},L_s,L_{s+1},\cdots L_n, R_1,R_2,\cdots R_{s-1},R_s,R_{s+1},\cdots R_n) \tag{6}$

4>计算 $c$ 集合与 $r$ 集合：

$\{ c_i｜i = 1,2,\cdots s-1,s,s+1,\cdots n \}$

$c_i=\begin{cases}w_i & (i\not=s) \\Challenge-\sum_{i=0,i\not=s}^n c_i& (i=s)\\\end{cases} \quad \iff \quad c_i=\begin{cases}w_i & (i\not=s) \\Challenge-\sum_{i=0,i\not=s}^n w_i& (i=s)\\\end{cases}\tag{7}$ 在这里要注意到所有 $c_i$ 的和是式（6）的挑战值，即 $\sum_{i=1}^{n}c_i = Challenge$

$\{ r_i｜i = 1,2,\cdots s-1,s,s+1,\cdots n \}$

$r_i=\begin{cases}q_i & (i\not=s) \\q_s - c_sx& (i=s)\\\end{cases} \tag{8}$

5>组合 $I,c_i,r_i$ 得到签名结果：

$\sigma = （I,c1,\cdots,c_n,r_1,\cdots,r_n)\tag{9}$

4.验签

1>计算 $\dot{L}$ 与 $\dot{R}$ 集合：

$\begin{cases}\dot{L_i}=r_iG+c_iP_i \\\dot{R_i}=r_iH_p(P_i)+c_iI \\\end{cases} \tag{10}$

2>验证：

$\sum_{i=1}^{n}c_i = = H_s(m,\dot{L_1} ,\cdots,\dot{L_n},\dot{R_1} ,\cdots,\dot{R_n}) \tag{11}$

5.验证原理

1> 式（11）的右边，主要是集合 $\dot{L}$ 与集合 $\dot{R}$ 的值

将（7）与（8）代入（10）,又因为 $P_s=P=xG$ （参考式（1）、式（3）），同时 $I=xH_P(P)$ （参考式（2））

$\dot{L_i} =\begin{cases}(q_s-c_sx)G+c_sP_s = q_sG-c_sxG+c_sP_s= q_sG-c_sP_s+c_sP_s = q_sG= q_iG\quad(i=s)\\r_iG+c_iP_i = q_iG+w_iP_i \quad (i\not=s)\\\end{cases} \tag{12}$

$\dot{R_i} =\begin{cases}(q_s-c_sx)H_p(P_s)+c_sI = q_sH_p(P_s)-c_sxH_p(P_s)+c_sI= q_sH_p(P_s)-c_sI+c_sI = q_sH_p(P_s) = q_iH_p(P_i)\quad(i=s)\\r_iH_p(P_i)+c_iI = q_iH_p(P_i)+w_iI\quad (i\not=s)\\\end{cases} \tag{13}$