Într-o schemă de semnătură de grup bazată pe Pointcheval-Sanders (PS) semnătura cu un singur mesaj, acreditările anonime $(\sigma_1,\sigma_2)$ eliberat de managerul de grup (GM) cu cheie secretă $sk = (x,y) \in \mathbb{Z}_p^2$ și cheie publică $pk = (\tilde X,\tilde Y) \leftarrow (\tilde g^x,\tilde g ^y )$ unui utilizator $\mathcal{U}_i$ cu o singură cheie secretă $sk_i \in \mathbb{Z}_p $ se calculează ca $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x.\tau^y)^\mu)$, Unde $\tau = g^{sk_i}$ este angajamentul şi $\mu \in \mathbb{Z}_p$.
În mod similar, am putea construi o schemă de semnătură de grup bazată pe semnătura cu mai multe mesaje PS. În acest caz, acreditările anonime $(\sigma_1,\sigma_2)$ eliberat de către GM cu cheie secretă $sk = (x,y_1,...,y_n) \in \mathbb{Z}_p^{n+1}$ și cheie publică $pk = (\tilde X,\tilde Y_1,...,\tilde Y_n) \leftarrow (\tilde g^x,\tilde g ^{y_1},...,\tilde g^{y_n} )$ unui utilizator $\mathcal{U}_i$ cu mai multe chei secrete $sk_1,...,sk_n \in \mathbb{Z}_p^n $ se calculează ca $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x\cdot\tau_1^{y_1}\cdot...\cdot\tau_n^{y_n})^\mu)$, Unde $\tau_i = g^{sk_i}$ este angajamentul de $sk_i$ și $\mu \in \mathbb{Z}_p$.
Aș dori să construiesc o nouă schemă de semnătură de grup în care utilizatorii sistemului dovedesc deținerea unei acreditări anonime valabile sub un mesaj cunoscut public $m$ plus cheile lor secrete respective. Se pare că aș putea folosi setarea cu mai multe mesaje PS pentru a-mi atinge obiectivul. În timp ce emite acreditările pentru un utilizator, GM ar calcula pur și simplu $(\sigma_1,\sigma_2) \leftarrow (g^\mu,(g^x\cdot\tau_1^{y_1}\cdot...\cdot\tau_{n-1}^{y_{n-1} }\cdot g^{my_n})^\mu)$.
O astfel de schemă ar adera la noțiunile de securitate de anonimat, trasabilitate și non-frameability?
