等价类签名允许基于消息空间中定义的等价类的受控延展性。因此，签名可以公开随机化，并适用于同一等价类中的新消息代表。值得注意的是，安全性要求在新消息代表的有效签名空间中，适应的签名-消息对与随机签名-消息配对看起来无法区分。与决策Diffie-Hellman一起。。。

$n$-out-of-$n$分布式签名是一种特殊类型的阈值$t$-out-of-$n$签名。它们是由一组$n$签名者以协作方式创建的，每个签名者都持有密钥的一部分。近年来，由于不同的应用程序，如降低加密货币中泄露密钥的风险，人们对这种签名进行了深入研究。在量子对手面前维护安全，Damgárd等人（J Cryptol 35（2），2022）。。。

此说明揭示了与延迟消息选择一起使用时MuSig和BN多签名的漏洞。尽管这两个方案都可以通过在选择要签名的消息之前对前两轮签名进行预处理来正确实现，但我们表明它们是不安全的（即对于选定的消息攻击，它们不是存在不可伪造的）当消息选择推迟到第三轮签名时，以及当允许并行签名会话时。这次袭击。。。

责任子群多重签名（ASM）是一种多重签名，允许潜在签名者的任何子群联合签名消息，以便联合签名者的子群对生成的签名负责，并且任何验证者都可以识别其身份。本文结合最近提出的vASM方案的组设置方法和Damgard等人的基于格的MS2。。。

多签名允许将来自同一消息上不同签名者的单个签名合并为一个简短的聚合签名。较新的方案还允许聚合单个公钥，这样组合的签名就可以根据短的聚合密钥进行验证。这使得它们成为阈值签名或分布式签名的通用替代方案：聚合密钥可以用作组密钥，并且该密钥下的签名只能在所有签名者的帮助下计算。是什么使。。。

多签名允许将在独立密钥下生成的同一消息的多个签名压缩为一个小的聚合签名。这个原语对于以太坊这样的验证区块链特别有用，在以太坊中，同一块由许多签名者签名，这些签名者证明了块的有效性。能够将同一块的所有签名压缩为短字符串，显著降低了链上存储成本，这是一个重要的效率指标。。。

多重签名方案用于将多方对公共消息$m$的签名聚合为$m$上的单个短签名。多重签名在实践中被广泛使用，尤其是在证明一致性协议中。在现有的多重签名方案中，验证者需要所有签名者的公钥来验证由某些签名者子集发出的多重签名。我们构造了具有三个属性的新的实用多重签名方案：（i） 仅验证程序。。。

受匿名声誉系统和区块链治理中应用的激励，我们启动了对谓词聚合签名（PAS）的研究，这是一种新的原语，使用户可以对多条消息进行签名，并且这些单独的签名可以通过组合器进行聚合，从而保持签名者的匿名性。生成的PAS只公开了每条消息的签名者的简要描述，并保证签名者及其描述都满足指定的。。。

严密安全的加密方案可以使用标准化参数实现，同时通过分析仍然具有足够高的安全级别。在最近的一项工作中，Pan和Wagner（Eurocrypt 2023）提出了第一个不需要配对的紧密安全的两轮多重签名方案，称为筷子。虽然这是一个有趣的理论上的第一步，但筷子的效率远远低于非轻型筷子。在这项工作中，我们通过提出一个。。。

可验证的定时承诺作为加密工具，能够将信息绑定到特定的时间间隔。通过将这些承诺集成到签名方案中，可以生成安全的篡改数字签名，从而确保时间敏感机制的完整性。本文深入研究了可验证定时承诺的概念，并探讨了其在数字签名构建中的有效应用。具体来说，它关注两个重要的签名。。。

本文研究了可验证可问子群多重签名（vASM）中基于划分的签名权分层委托。ASM是一种多重签名，参与者对生成的签名负责，参与者的数量不固定。继Micali等人和Boneh等人的ASM方案之后，最近提出了具有可验证组设置和更有效验证阶段的可验证ASM（vASM）方案。可验证组。。。

我们提出了原始Boneh、Drijvers和Neven（Asiacrypt’18）BLS多签名聚合方案的一种变体，最适合于全组潜在签名者是固定的和已知的，并且该组的任何子集$I$都可以在消息$m$上创建多签名的应用程序。这种设置在验证区块链中非常常见，其中$2f+1$大多数$3f$验证器签署交易和/或区块，并且可以在不需要验证的情况下安全抵御$\textit{rogue-key}$攻击。。。

本文给出了新的两轮多签名和门限签名的构造，其安全性除了假设随机预言外，还完全依赖于（普通）离散对数问题的硬度或RSA的硬度。他们的签名协议部分是非交互的，即第一轮签名协议独立于要签名的消息。我们通过推广最有效的基于离散对数的格式来获得我们的构造，。。。

近年来，由于多签名在加密货币中的应用，它们受到了广泛关注。大多数早期的建筑都需要三轮签名，而最近的建筑已经将圆形签名的复杂性降低到了两轮。然而，他们的安全证明大多基于非标准的交互式假设（例如，多了一个假设），并且由于多次使用倒带（也称为分叉引理）而带来了巨大的安全损失。这使得定量。。。

在本文中，我们提出了第一个两轮多重签名方案，该方案不使用代数群模型（AGM），在具体安全性的标准化EC下可以保证128位安全。为了构造我们的方案，我们引入了一种新的技术来定制特定的同态承诺方案，以用于基于Katz-Wang DDH的签名方案。我们证明了一个至少有321位订单的EC足以使我们的方案具有标准的128位安全性。这意味着。。。

区块链是一项新兴技术，然而，它在许多应用中已被证明是有效的，因为它提供了多种优势，主要是因为它代表了一个信任系统，其中数据以不可篡改或伪造的方式进行加密。因为它包含许多细节，如智能合同、共识、认证等，区块链是研究人员的沃土，他们可以不断改进这些概念的早期版本。本文介绍了一种新的。。。

多重签名是一种协议，在该协议中，一组签名共同对消息进行签名，因此最终签名比将单个签名串联在一起要短得多。最近，它发现了区块链中的应用程序，其中多个用户希望通过多重签名联合授权支付。然而，在这种情况下，没有集中的权限，它可能遭受恶意密钥攻击，攻击者可以任意生成自己的密钥。此外，为了。。。

多签名（MS）是一种特殊类型的公钥签名（PKS），多个签名者协同参与，为单个消息生成签名。最近，使用MS方案来加强区块链钱包的安全性或加强区块链共识协议的安全性的应用程序吸引了大量关注。在本文中，我们提出了一种基于Okamoto签名而不是Schnorr签名的高效两轮MS方案。为此，我们。。。

多签名是允许一组签名者在同一消息上联合生成单个签名的协议。近年来，在离散长环境下提出了许多实用的多重签名方案，如MuSigT（CRYPTO’21）和DWMS（CRYPTO'21）。构造多签名方案的主要技术挑战是实现一组理想的特性，例如（1）普通公钥（PPK）模型的安全性，（2）并发安全性，以及（3）低。。。

这项工作的重点是同步设置中的多签名方案。多签名方案允许将来自独立签名者的同一消息的多个签名压缩为一个短的聚合签名，从而可以同时验证所有签名。在同步设置中，签名算法将当前时间步长作为附加输入。假设每个时间步没有签名者签名超过一条消息，我们的目标是聚合。。。

责任子群多重签名是一种多重签名方案，其中群$\mathcal{G}$的任意子群$\mathcal{S}$的潜在签名者联合签名消息$m$，确保$\mathcal{S{$的每个成员都对生成的签名负责。在本文中，我们提出了三种新的基于对的可解释子群多重签名（ASM）方案，它们在选择消息攻击和计算协同差分-赫尔曼（co-Diffie-Hellman）攻击下能够抵抗存在伪造。。。

一元对数假设（OMDL）是对身份协议、盲签名和多签名方案（如盲Schnorr签名和最近的MuSig2多签名）进行安全分析的基础。由于这些方案产生标准的Schnorr签名，因此它们与现有系统兼容，例如在区块链的背景下。此外，对于某些安全性降低的不可能性的许多结果，都假设OMDL。尽管它被广泛使用，但令人惊讶的是，。。。

现有的基于离散对数（DL）的多重签名方案的证明基本上不能保证这些方案在256位组中是否如实际一样实现。这是因为标准模型和DL中的当前减少量是宽松的。我们表明，放松模型或假设足以获得严格的约简。也就是说，我们给出了（1）代数群模型中DL的严密证明，以及（2）基础充分的。。。

多签名用于证明由$n$方组成的固定集合（由其各自的公钥表示）都对给定消息进行了签名。在共识协议中可以找到一种新兴的多重签名应用，以证明全球$n$验证器集合的合格子集已达成一致。在本文中，我们指出传统的多签名安全模型不适用于这种新的应用程序，因为它假设每个参与方都可以使用多签名。。。

多签名使一组签名者能够在联合消息上生成联合签名。最近，Drijvers等人（S&P’19）表明，迄今为止在纯DL设置（无配对）下提出的所有两轮多签名方案在并发签名会话下都是不安全的。虽然Drijvers等人提出了一个安全的两轮方案，但就轮次而言，这种效率是以拥有比Schnorr签名大一倍以上的签名为代价的，Schnorr-签名正在变得。。。

我们通过对每个签名者提供的两个预承诺进行去线性化，构造了一个基于Schnorr的两轮签名方案（DWMS）。DWMS是代数群模型（AGM）和随机预言模型（ROM）中的一种安全签名方案，在本文引入的一个或多个离散对数问题和两个整数和问题的硬度的假设下。我们的新m-纠缠和}问题使用相关群对标量字段中的k-和问题进行了调整。我们证明。。。

尽管分布式签名协议已经研究了很长一段时间，但近年来，鉴于其在区块链等主题中的新应用，它们重新引起了人们的兴趣。然而，最近的大多数工作都集中在ECDSA的分布式版本或Schnorr签名的变体上，尤其是很少关注基于量子后安全假设（如晶格问题的硬度）的构造。一些基于格的阈值签名和。。。

MuSig是一种Schnorr签名的多重签名方案，支持密钥聚合，在普通公钥模型中是安全的。基于离散对数的签名的标准去域化技术（如RFC 6979）使签名过程不受随机性生成中灾难性失败的影响，但不适用于多签名，因为攻击者可以诱骗诚实的用户生成两个具有相同随机性的不同部分签名，这将揭示。。。

在基于交易输出的区块链系统中，每个交易都使用UTXO（之前未使用的交易输出），用户必须提供签名，或者更准确地说，要使用比特币的\（\textit{scriptSig}\），才能使用UTXO，这证明了支出输出的所有权。当Pedersen承诺或ElGamal承诺作为交易输出引入区块链时，为了支持机密交易功能，其中输入和输出。。。

ByzCoin是比特币的一个很有前途的替代品，是一种可扩展的共识协议，用作许多研究和企业级分散系统的构建块。在本文中，我们表明ByzCoin不适合部署在一个开放的、对抗性的网络中，而是引入了OTOR。MOTORis被设计为一种安全、健壮和可扩展的共识，适用于无许可的分片区块链。MOTOR通过做出四个关键设计选择来实现这些特性：（a）它优先考虑健壮性。。。

在证明（PoS）和许可区块链中，一个验证者委员会同意并签署每一个新的交易区块。这些块由网络中的所有用户进行验证、传播和存储。然而，后验破坏对这些设计构成了共同威胁，因为对手可以在认证块并使用其签名密钥认证不同块后，破坏委员会验证器。设计用于PoS区块链的高效安全数字签名。。。

我们提出了对IOTA区块链中以前使用的加密技术的攻击，包括在某些条件下伪造签名的能力。我们开发了对IOTA加密散列函数Curl-P-27的实际攻击，使我们能够快速生成短冲突消息。这些冲突甚至适用于相同长度的消息。利用Curl-P-27中的这些弱点，我们破坏了前IOTA签名方案（ISS）的EU-CMA安全性。最后，我们展示了。。。

多签名允许一组签名者以紧凑且有效可验证的签名对消息进行联合签名，理想情况下与组中签名者的数量无关。我们通过从Boneh、Boyen和Goh（Eurocrypt 2005）基于分层身份的加密推导出一个前向安全签名方案，提出了第一个可证明安全的前向安全多重签名方案，并展示了该方案中的签名是如何安全合成的。我们方案中的多签名。。。

我们提出了用于协同计算环签名的阈值环多签名（三次签名）。我们讨论了一场对三个签名进行存在伪造的游戏，以及三个签名在数字货币中的使用，包括在没有可信设置的情况下，对机密金额进行不明确的跨链原子交换。我们提出了受[13]、[20]、[14]、[1]、[18]和[15]作品启发的三个签名的实现，我们称之为可链接自发阈值。。。

我们构造了新的多签名方案，提供了新的功能。我们的方案旨在缩小比特币区块链的规模，但在许多其他需要多签名的环境中也很有用。我们所有的构造都支持签名压缩和公钥聚合。因此，为了验证多个参与方签署了一条公共消息m，验证器只需要一个短的多重签名、其公钥的短聚合和消息m。。。

多签名方案允许一组签名者对消息进行协作签名，创建单个签名，使验证者确信每个签名者都批准了消息。人们对分散信任的技术越来越感兴趣，这引发了高效的两轮基于Schnorr的多签名方案的提议，该方案旨在扩展到数千签名者，即Bagherzandi等人提出的BCJ（CCS 2008）、Ma等人提出的MWLD（DCC 2010）、Syta等人提出的CoSi（S&P。。。

我们描述了一种新的基于Schnorr的多重签名方案（即允许一组签名者在公共消息上生成简短的联合签名的协议），称为MuSig，在普通公钥模型中可证明是安全的（这意味着签名者只需要拥有公钥，但不必在使用协议之前向某些证书颁发机构或其他签名者证明与其公钥对应的私钥的知识），这比目前的技术水平有所提高。。。

签密是一种加密原语，在单个逻辑步骤中同时提供身份验证和机密性。通常要求多个发送方必须将单个消息签密给特定接收方。显然，单独对消息进行签密是低效的。一种有效的替代方法是进行多重签名加密。多签名的概念类似于多签名，但增加了属性-机密性。近日，建宏等。。。

在2003年的PODC中，Park、Chong、Siegel和Ray[PCSR03]提出了一种基于RSA签名的乐观公平交换协议。我们表明，他们的协议在注册阶段已经“完全不可靠”：诚实但谨慎的仲裁员可以轻松确定签名者的密钥。值得一提的是，[PCSR03]的作者非正式地介绍了公平交换和“顺序两方多重签名方案”（我们称之为双签名）之间的联系，但使用了。。。