我们能用BLS作为VRF吗？

Question

从直觉上看，BLS签名的散列似乎也可以用作VRF。简而言之，BLS-Signature是VRF输出，验证首先检查签名是否有效，然后计算其上的散列以提供VRF输出。(或者类似地，可以提供H(BLS-Signature)作为VRF输出，提供BLS-Signature作为VRF证明。)

1. 这个计划是VRF吗？当然，给出了一个抗碰撞散列函数。
2. 人们将如何证明这一点呢？

Answer 1

是的，在随机预言模型中，BLS签名的散列使得VRF本质上与BLS签名方案一样安全(前提是验证者只接受每个签名的唯一规范编码)。

这是因为BLS签名是唯一的。修正质数阶的组e\colon G_1 \times G_2 \to G_T和G_2上的配对G_1。对于任何固定的A \in G_2，同态\phi_A\colon \sigma \to e(\sigma, A)是一个注入(或者说系统在很小程度上是不安全的)，因为G_1具有素数阶。让B \in G_2成为标准的基点。在消息\sigma \in G_1上的公钥P \in G_2下的一个假定签名\sigma满足签名方程e(H(m),P) = e(\sigma,B) = \phi_B(\sigma).，因为\phi_B是一种注入，因此对于任何公钥P和任何消息m，最多都有一个可能的签名D12。