BBS+ 1是多消息签名协议，还是由组成员匿名签名的组签名？

Question

毫无疑问，BBS签名是从2004年的经典短群签名文件中诞生的。它具有零知识的能力。在论文的第5节中，它描述了一个组的成员如何在消息上签名，而不透露是哪个成员签名的。但是，可以验证此组签名是由组成员(匿名)通过组公钥gpk签名的。

然而，后来有一些工作将BBS改进为BBS+。Au等人首次在等尺寸动态k-TAA中对其进行了修改和命名。BBS+在用强Diffie Hellman假设修正匿名认证又被感动了。然而，在上述两篇论文中，BBS+方案似乎是一种多消息签名协议。它接受消息m_1, m_2, m_3,..., m_L并生成一个签名\sigma。它可以在签名SPK的基础上创建一个知识\sigma的证明，其中包含了一些m_i显示的消息。

然而，在英特尔在基于双线性配对的增强隐私ID上的工作中，他们的BBS+计划似乎成为匿名签署消息的团体的成员，就像2004年的短群签名论文一样。

因此，我对BBS+协议感到困惑。不管是

1. 一种多消息m_1, m_2, m_3,..., m_L签名协议产生具有知识SPK签名证明的单签名\sigma

或

1. 由匿名使用组公钥gpk的组成员签名的组签名？

Answer 1

我一直把它作为#1使用，Hyperledger在Rust中有一个实现(参见https://github.com/hyperledger/ursa/tree/master/libzmix/bbs)。

但是，它是一种允许对多个消息进行签名的组签名类型。

当有人对我说团体签名时，我立刻想到你的第二名。如果我们看一下大卫·查姆(https://chaum.com/publications/Group_Signatures.pdf)写的一篇论文，他就会提到

组签名是证书/成员身份验证方案的“推广”，在该方案中，一个人证明他属于某个组。

因此，实际上，所做的证明是证明消息属于签名，而签名允许对知识进行证明。这是密码原语的不同用法。

希望这能有所帮助