日前,在由海南省科技厅、海南省金融局、三亚市政 府 联合主办,海南省区块链协会、欧科集团承办的海南国际离岸创新创业示范区建设暨区块链·数字资产交易技术创新高端论坛上,受邀做“后量子密码时代 ——基于格理论的群签名技术简介”的主题演讲。

在本次论坛上,郑志勇表示区块链如果是一件洋务运动时期的“火炮”,那我们不仅仅只关注区块链“打”到哪去,而忽略了到区块链自身技术革新特别是安全隐患。他希望,将来在底层架构上面要用到新型的技术,而在服务经济的时候再谈安全性、监管以及如何基于区块链大范围提高效益。以下内容整理自郑志勇现场演讲的精彩观点。

大约在2500年前的孔子时代,古希腊数学家认为人一生遵循的标准应是“万物皆数字”,然而我们的当前数学知识却是欠缺的。例如以前数学老师常常把我们封在象牙塔里面,实际上这也是一种数学知识欠缺的表现。以及我们常常谈宗教,宗教是一种情怀,但最主要的原因就是数学太落后了。

数学落后就导致工程技术落后,可以说现在的区块链时代,与上一百年前的洋务活动与有惊人相似。今天时代改革开放,无论从思想解放程度还是工程技术发展,都是不可同日而语的。但是有类似的问题:“大炮”很厉害,一下把城门打开,可是我们从来不关注弹道原理、爆炸理论,所以这就会导致当“火炮”一革新,我们还是落后的。

所以,区块链如果是一件“火炮”的话,我们关注区块链“打”到哪去,却常常忽略到区块链自身技术革新特别是安全隐患。

纯签名技术是后量子密码技术的一种,其实就是潜在量子计算。潜在的量子计算能力将对当前普遍使用的密码系统构成颠覆性威胁,加密算法都是建立在特定数学难题的基础之上,但是这些数学问题的困难性会因新型计算能力或者算法的出现而削弱。由于量子计算机技术取得出人意料的快速发展,大量仅能抵御经典计算机破解的密码算法面临提前淘汰的困境。

从计算安全性角度来说,密码系统正常运行实际上安全是前提。比如IBM公司,开发了使用56位密钥的DES密码系统,需要在256位的楼所空间内寻找可能的密钥当时几乎不可能。现在超级计算机安全性至少用到128位密钥来取代,这就是安全的问题。

后量子密码技术的内涵,是指可以抵抗量子计算机攻击的密码算法。包括我们提到的资产证券化问题,是因为这种计算能力大幅度提升,特别是量子计算机的可能出现,资产可以无限切割。后量子密码主要将面对这套系统,在区块链底层链怎么抗击量子时代,只有基于这个安全性,数字交易都可以进行。

从分类上来说,目前基本还处于理论研究,没有到具体应用时代。大致可以分为基于格的密码体制、基于编码的密码体制、基于多变量的密码体制以及基于哈希的数字签名。

值得一提的是,IBM的研究员于2009年利用格构造出了全同态密码方案。全同态密码方案是指这样一个加密方案:即,在密文上进行某个函数操作并解密,其结果等同于在明文上的相同函数操作。全同态加密的概念在上世纪60年代就已经提出,直到2009年才有了解决方案并得以发展。

基于格的理论应用主要是格的基本理论和复杂的数学问题。比格的最近向量问题、二维格的应用问题。传统群签名技术在Chaum和Heyst首次提出群签名,传统的签名技术应用非常广泛。

格理论作为后量子密码理论中的一种,是一种线性结构,其上的运算大多是线性运算,且其有更好的渐进有效性。因此将基于格的困难问题用于群签名上,即可以保持其原有的安全性质,同时也可以抵御量子攻击,成为研究的热点,因此有必要对近年来基于格的群签名成果进行整理。

2004年,第一个可以撤销的群签名由Boneh et al.在ACM上提出,验证者可以时事更新群消息。

2005年,Bellare et al.正式提出了动态群签名方案的安全模型和它的形式化定义。

2005年,Kiayias et al.等人提出了第一个可以允许用户加入的有效的群签名。

2006年,Delerablee et al.提出了动态的完全匿名的短的群签名;Khader提出了第一个基于属性的群签;Nakanishi et al.[17]等提出了签名和验证都保持常数复杂度的群签名方案;

2006年,Sakai et al.提出了依赖消息才可打开的群签名,很好的平衡了可追责及隐私保护的关系。

2016年,Bootle et al.提出了完全动态的群签名方案。

这里面值得提的是英国人提到了方案,这是一些关于多项式的数学描述,静态群里面有一些进展,这些进展都做了数学上的描述。2014年我们收集到了最近的一篇文章,这些工作基本上是弱的攻击性的前提下做出来的,相对来说比较容易一点.

我们如果把后量子密码中的群签名这种技术,能够应用到区块链中,或者运用到其他实际应用场景地面,是非常有意义。因为静态群签名和动态群签名要求成员可以撤销、动态加入实用性较强。所以应用前景非常大。

基于格理论的群签名方案在理论、实用价值方面都有很大的潜力,但是基于格上的困难问题来构造群签名方案比较困难,进展并不快,目前仅有少数改进的基于格的群签名方案被提出,仍需要更多学者进行完善和发展。

我们如果从基于格的群签名自身,横向对比来看:

第一,目前的基于格的群签名方案大多数是在基于随机预言模型下构造的方案,探讨基于更弱的安全性假设的条件下,即标准模型下的构建高效的、简单的基于格上的群签名方案也是一个亟待解决的问题。

第二,群签名在经济等方面都有应用,但已有的格的群签名在效率方面不足,使得其应用受到很多限制,研究如何提高效率,同时兼顾功能性、安全性,成为该领域值得深入研究的问题。

将基于格的群签名与其他密码体系联系,纵向对比来看:

研究其与其他密码体系之间的关系,如基于格的盲签名、环签名等,探究提高效率、安全性、实用性的方法能否共通,可以相互借鉴和促进。探索如何把其放在一个大的框架中定义、构建也是很值得研究的方向。