Групповая подпись

Следующий протокол предусматривает одного администратора[1]:

• Администратор создаёт множество пар из открытых и закрытых ключей. Каждый член группы получает ${\displaystyle m}$ уникальных закрытых ключей. (Если в группе ${\displaystyle n}$ членов, то общее число пар ключей должно быть ${\displaystyle m*n}$.)
• Администратор публикует все открытые ключи в случайном порядке, не уточняя, кому какие ключи принадлежат.
• Для подписи член групп использует случайный секретный ключ из своего списка.
• Проверяющий последовательно перебирает список открытых ключей, пока один из них не удостоверит, что подписант принадлежит данной группе.
• В случае споров, администратор знает персональные списки открытых ключей и может узнать, кто был подписантом.

Предложенная схема обеспечивает:

• правом подписи обладают только члены группы подписывающих и каждый может подписать сообщение самостоятельно (в отличие от множественной подписи, где подпись коллективная);
• проверяющий может убедиться, что подписант из группы подписывающих, но не может установить, кто именно (частичная анонимность);
• сравнивая подписи под двумя одинаковыми сообщениями не должно быть понятно, один ли это подписант или нет;
• при необходимости администратор группы может установить, кто сгенерировал подпись;
• администратор не может объявить, что подпись принадлежит тому, кто её не накладывал;
• даже если все члены группы, включая администратора, объединят усилия, они не могут создать подпись, принадлежащую не члену группы;
• договорившаяся между собой подгруппа не может сгенерировать действительную подпись, которую администратор не сможет связать с одним из «заговорщиков».

• Мультиподпись