[科普中国]-环签名

环签名(ring signature)是一种数字签名方案，最初由Rivest等人提出，环签名是一种简化的群签名,环签名中只有环成员没有管理者,不需要环成员间的合作。

环签名的定义假定有 n 个用户，每一个用户 拥有一个公钥 和与之对应的私钥 。环签名是一个能够实现签名者无条件匿名的签名方案，它主要由下述算法组成：
1）生成Gen。一个概率多项式时间（PPT）算法，输入为安全参数k，输出为公钥和私钥。这里假定 Gen 为每一个用户 ，产生一个公钥 和私钥 ，并且不同用户的公私钥可能来自不同的公钥体制，如有的来自RSA，有的来自DL。

2）签名Sign。一个PPT 算法，在输入消息m和 n 个环成员的公钥 L={ y1 , y2 ,⋯, yn }以及其中一个成员的私钥xs 后，对消息 m产生一个签名 R，其中R 中的某个参数根据一定的规则呈环状。

3）验证Verify。一个确定性算法，在输入(m,R)后，若R 为m 的环签名则输出“True”，否则为“False”。

环签名因为其签名隐含的某个参数按照一定的规则组成环状而得名。而在之后提出的许多方案中不要求签名的构成结构成环形，只要签名的形成满足自发性、匿名性和群特性，也称之为环签名。

环签名的安全性要求与特性一个好的环签名必须满足以下的安全性要求：

1）无条件匿名性。攻击者即使非法获取了所有可能签名者的私钥，他能确定出真正的签名者的概率不超过1/n，这里n 为环成员（可能签名者）的个数。

2）不可伪造性。外部攻击者在不知道任何成员私钥的情况下，即使能够从一个产生环签名的随机预言者那里得到任何消息m 的签名，他成功伪造一个合法签名的概率也是可以忽略的。

3）环签名具有良好的特性。可以实现签名者的无条件匿名；签名者可以自由指定自己的匿名范围；构成优美的环形逻辑结构；可以实现群签名的主要功能但无需可信第三方或群管理员等。

环签名是一种特殊的群签名，没有可信中心，没有群的建立过程，对于验证者来说，签名人是完全正确匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。例如，即使RSA被攻破也必须保护匿名性的场合。
有以下特性：
1）正确性：如果按照正确的签名步骤对消息进行签名，并且在传播过程中签名没被篡改，那么环签名满足签名验证等式。
2）无条件匿名性：攻击者即使非法获取了所有可能签名者的私钥，他能确定出真正的签名者的概率不超过1/N，这里N为所有可能签名者的个数。
3）不可伪造性：外部攻击在不知道任何成员私钥的情况下，即使能从一个产生环签名的随机预言者那里得到任何消息m的签名，他成功伪造一个合法签名的概率也是可以忽略的。

环签名满足的性质（1）无条件匿名性:攻击者无法确定签名是由环中哪个成员生成,即使在获得环成员私钥的情况下,概率也不超过1/n。

（2）正确性:签名必需能被所有其他人验证。

（3）不可伪造性:环中其他成员不能伪造真实签名者签名,外部攻击者即使在获得某个有效环签名的基础上,也不能为消息m伪造一个签名。

环签名的发展及其分类1. 环签名的发展经历了以下三个阶段：1

2001-2002年，以Rivest提出的环签名定义为标志，这一阶段的工作主要是参考Rivest的方案，而提出的签名方案。

2003-2004年，经过两年对环签名的概念和模型的认识与理解后，许多密码界专业人士开始对环签名进行深入研究。由此，在这一阶段引出了许多新的环签名方案，及其一些新的环签名思想。这一阶段是环签名发展的关键时期。2005年到现在，在这个阶段业界人士更加注重对环签名的安全性、效率及其实用性等方面进行研究。除了涌现出许多安全高效的环签名方案之外，许多密码界人士，将环签名与其他特殊数字签名方案相结合提出了许多新的环签名方案，如代理环签名、向前安全性的环签名等，与此同时还对环签名进行功能扩展，出现了许多实用性较强的环签名方案。在这个阶段，业界更加注重了对环签名的实用性的研究。

2.根据环签名所拥有的不同属性将环签名分为4类：

（1）门限环签名

（2）关联环签名

（3）可撤销匿名性的环签名

（4）可否认的环签名

本词条内容贡献者为:

李嘉骞 - 博士 - 同济大学