BLS（Boneh-Lynn-Shacham）数字签名算法 题目描述 BLS是一种基于双线性映射的短签名算法，由Boneh、Lynn和Shacham于2001年提出。其核心特性是签名长度短（例如仅160位），且支持签名聚合（多个签名可合并为一个）。本题要求理解BLS签名的生成、验证过程，以及其依赖的数学基础（如双线性对）。 解题过程 1. 数学基础准备 双线性映射（Bilinear Pairing） ：设G1和G2是循环群，阶为质数p，GT是另一个循环群。双线性映射e: G1 × G2 → GT满足以下性质： 双线性 ：对任意P∈G1, Q∈G2, a,b∈Z_ p，有e(aP, bQ) = e(P, Q)^(ab)。 非退化性 ：存在P和Q使得e(P, Q) ≠ 1。 可计算性 ：存在高效算法计算e(P, Q)。 哈希到曲线 ：需要将消息m映射到群G1上的点H(m)∈G1（具体哈希函数如SHA-256后调整到曲线点）。 2. 密钥生成 选择私钥sk：随机整数sk ∈ Z_ p。 计算公钥pk：pk = sk·Q ∈ G2，其中Q是G2的生成元。 3. 签名生成 对消息m，计算签名σ = sk·H(m) ∈ G1。 例如：若sk=3，则σ = 3·H(m)。 4. 单签名验证 验证等式：e(σ, Q) = e(H(m), pk)。 推导过程 ： 左式：e(σ, Q) = e(sk·H(m), Q)。 右式：e(H(m), pk) = e(H(m), sk·Q)。 由双线性性质：e(sk·H(m), Q) = e(H(m), Q)^sk = e(H(m), sk·Q)，故等式成立。 5. 签名聚合 假设n个用户对消息m₁, m₂, ..., mⁿ分别生成签名σ₁, σ₂, ..., σⁿ。 聚合签名：σ_ agg = σ₁ + σ₂ + ... + σⁿ ∈ G1。 验证聚合签名：e(σ_ agg, Q) = ∏_ {i=1}^n e(H(m_ i), pk_ i)。 原理：双线性映射保持加法同态，即e(σ₁+σ₂, Q) = e(σ₁, Q)·e(σ₂, Q)。 6. 安全性与注意事项 安全性依赖计算性Diffie-Hellman假设（CDH）在G1上的困难性。 必须使用抗碰撞哈希函数，防止消息伪造。 聚合时需避免重复消息或公钥，否则可能被攻击（如Rogue-key攻击）。 关键点总结 BLS通过双线性对将签名验证转化为群上的等式检验。 签名短且支持聚合，适合区块链等需要高效验证的场景。 实际实现需选择安全的曲线（如BLS12-381）和标准化哈希到曲线方法。