环签名

环签名是一项技术上较为复杂的创新，但是对于令牌匿名化和身份应用两者都非常令人鼓舞。环形签名本质上是一种签名，用于证明签名者具有与一组特定的公共密钥中的一个相对应的私有密钥，而没有透露哪一个。关于此句法在数学上如何起作用的两句解释是，环形签名算法合并了一个数学函数，该函数通常仅可以使用公共密钥来计算，但是在知道私有密钥的情况下，可以让一个种子添加到输入中以产生输出是任何想要的特定值。签名本身包含一个值列表，其中每个值都设置为应用于先前值的函数（除了一些种子）；要创建有效的签名，需要使用私钥知识来“关闭循环”，强制计算出的最后一个值等于第一个。给定以这种方式创建的有效“环”，任何人都可以毫无疑问地验证它是否为“环”，因此除了给定种子之外，每个值都等于根据先前值计算的函数，但是没有办法告诉在环中的哪个“链接”上使用了私钥。

还有一个环形签名的升级版本，称为可链接的环形签名，它增加了一个额外的属性：如果使用相同的私钥对签名进行两次，则可以检测到该事实–但不会透露其他数据。由于令牌匿名化，该应用程序是相当基本的：当用户需要花费一枚硬币而不是让他们给出常规签名以直接证明其公钥的所有权时，公钥会组合成组并要求用户只需证明该组的成员身份即可。由于具有可链接性，在组中只有一个公钥的用户只能在该组中消费一次；冲突的签名将被拒绝。

环形签名也可以用于投票应用：不是使用环形签名来验证一组硬币的支出，而是用于验证投票。它们也可以用于身份应用：如果一个人想要证明自己属于一组授权用户，而又不透露哪个用户，那么环形签名就非常适合这一点。环签名比简单签名在数学上涉及更多，但是它们实现起来非常实用。在此处可以找到以太坊顶部的一些用于环签名的示例代码。

举例来说，使用Monero的环签名的结构如下：

• 爱丽丝需要向鲍勃发送10个门罗币，以便她通过门罗币钱包开始向鲍勃交易。
• 爱丽丝对此笔交易的数字签名是一次性支出密钥，从她的钱包中支出支出开始。
• 环形签名的非签名者是过去的交易输出，这些输出是从区块链中任意选择的，并在交易中被当作假货。
• 所有环成员都是可以想到的交易签名者，局外人在计算上无法识别实际签名者。
• 环形签名的大部分共同构成了交易的输入。
• 交易的创建者（Alice）可以证明有资格花费指定的交易金额，而不会与环中的其他人区分开。
• 尽管Alice的公钥已在她自己的交易中使用，但它可能被Monero网络中的其他交易任意使用，这是一个纠结因素。

此外，唯一的一次性密钥的自动创建会阻止事务链接，并且可以通过优化Diffie-Hellman密钥交易所来实现。

在像Monero这样的以隐私为中心的加密货币网络上进行匿名交易的一个问题是，防止双重支出非常困难，因此，如果不能确保全面的双重支出保护，则会使网络无法用作数字货币。可以通过使用与环签名方案相关的关键图像来解决此问题。

RING SIGNATURES帖子首先出现在Nvest Labs。