南郵外文翻譯一范例.doc

南京郵電大學(xué)畢業(yè)設(shè)計(jì)(論文)外文資料翻譯學(xué)院(系)： 通達(dá)學(xué)院 專 業(yè) ： 計(jì)算機(jī)科學(xué)與技術(shù)（信息安全）學(xué)生姓名： 張檣 班級(jí)學(xué)號(hào)： 1000905 外文出處：Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol 附件：1.外文資料翻譯譯文；2.外文原文指導(dǎo)教師評(píng)價(jià)：1翻譯內(nèi)容與課題的結(jié)合度： 優(yōu) 良 中 差2翻譯內(nèi)容的準(zhǔn)確、流暢： 優(yōu) 良 中 差3專業(yè)詞匯翻譯的準(zhǔn)確性： 優(yōu) 良 中 差4翻譯字符數(shù)是否符合規(guī)定要求： 符合 不符合 指導(dǎo)教師簽名：年月日6附件：1.外文資料翻譯譯文基于DAA-SIGA協(xié)議的匿名身份認(rèn)證的密鑰交換李江濤 Jesse Walker摘要：匿名的數(shù)字簽名，如直接匿名認(rèn)證（DAA）和群簽名的匿名認(rèn)證的基本構(gòu)建塊。在本文中，我們展示了如何將DAA方案在密鑰交換協(xié)議的兩個(gè)實(shí)體之間實(shí)現(xiàn)匿名認(rèn)證和獲得這兩個(gè)實(shí)體之間的一個(gè)共享密鑰。我們修改了用于在Internet密鑰交換（IKE）標(biāo)準(zhǔn)的西格瑪密鑰交換協(xié)議，而支持采用DAA匿名認(rèn)證。我們的密鑰交換協(xié)議也延伸到支持群簽名方案取代DAA匿名認(rèn)證。我們提出的安全的匿名認(rèn)證密鑰交換模型來(lái)源于Canetti-Krawczyk key-exchange安全模型。我們證明了daa-sigma協(xié)議在我們的安全模型下是安全的。1 介紹匿名數(shù)字簽名，如群簽名22，2，5，6，直接匿名認(rèn)證（DAA）7，8，23，24，14，以及匿名憑據(jù)15-17 在隱私增強(qiáng)技術(shù)領(lǐng)域發(fā)揮重要作用。它們?cè)试S一個(gè)實(shí)體（例如，用戶，計(jì)算機(jī)平臺(tái)或硬件設(shè)備）來(lái)創(chuàng)建一個(gè)不透露身份的簽名，匿名簽名也啟用匿名實(shí)體認(rèn)證。群簽名方案的概念最早是由Chaum和van Heyst22在1991年提出來(lái)的。在一個(gè)群簽名方案，所有組成員共享一組公鑰，但每個(gè)成員都有一個(gè)唯一的私有密鑰。由一組成員創(chuàng)建的群簽名是匿名的所有實(shí)體，除了受信任組管理。許多群簽名方案被提出，例如，在2，5，6，29。直接匿名認(rèn)證（DAA）最早是由Brickell, Camenisch,和Chen 7引入到受信任的平臺(tái)模塊（TPM）的遠(yuǎn)程匿名身份驗(yàn)證。DAA可以看作是沒(méi)有“開(kāi)”功能的一個(gè)特殊群體簽名方案。DAA已經(jīng)在可信計(jì)算社區(qū)收到了很多關(guān)注，許多DAA方案最近已開(kāi)發(fā)，例如，在8，23，25，24，14。匿名數(shù)字簽名，最近吸引了不少業(yè)界關(guān)注。例如，可信計(jì)算組（TCG）是一家全球性的工業(yè)標(biāo)準(zhǔn)體35，采用原 DAA方案7，規(guī)范其在TCG TPM規(guī)范v1.234。同樣的DAA方案最近已通過(guò)了ISO / IEC作為國(guó)際標(biāo)準(zhǔn)1。DAA已落實(shí)并已運(yùn)出數(shù)百萬(wàn)的TPM。英特爾已實(shí)施的DAA的延伸，在英特爾P55為Ibex Peak芯片組13所謂的增強(qiáng)隱私的ID1012。近日，ISO / IEC開(kāi)始開(kāi)發(fā)兩個(gè)新的國(guó)際標(biāo)準(zhǔn)：一種是使用匿名的數(shù)字簽名，包括群簽名方案和DAA方案，其他的為使用匿名數(shù)字簽名的匿名實(shí)體認(rèn)證。DAA可以通過(guò)一個(gè)直截了當(dāng)?shù)姆绞绞褂媚涿矸蒡?yàn)證：通過(guò)驗(yàn)證發(fā)送詢問(wèn)消息包括隨機(jī)數(shù)的一組成員;組成員可以使用自己的私鑰對(duì)消息創(chuàng)建一個(gè)DAA簽名驗(yàn)證的驗(yàn)證匿名。驗(yàn)證DAA簽名后，驗(yàn)證者相信，該組成員是一個(gè)有效的DAA簽名者，但他不知道誰(shuí)創(chuàng)建的簽名。TPM才能使用此方法進(jìn)行匿名身份驗(yàn)證，從發(fā)行人獲得一個(gè)證明身份密鑰認(rèn)證。這種身份驗(yàn)證方法是受限的，因?yàn)榻M成員未驗(yàn)證驗(yàn)證的憑證，也沒(méi)有從認(rèn)證而得共享密鑰。請(qǐng)考慮以下情形：一個(gè)可信計(jì)算平臺(tái)想從互聯(lián)網(wǎng)服務(wù)器下載一些受保護(hù)的資源，還可以上傳它的一些敏感數(shù)據(jù)到服務(wù)器。該平臺(tái)想要在發(fā)送的數(shù)據(jù)出來(lái)之前驗(yàn)證服務(wù)器。在同一時(shí)間內(nèi)服務(wù)器要確保這個(gè)平臺(tái)確實(shí)是值得信賴的，例如，確保平臺(tái)能夠保護(hù)服務(wù)器的資源。DAA可以在這個(gè)例子中使用，如果該平臺(tái)要匿名驗(yàn)證服務(wù)器。但是，第一段的驗(yàn)證方案在這種情況下會(huì)因以下的原因的不能良好的工作： 1、該平臺(tái)和服務(wù)器需要同時(shí)驗(yàn)證對(duì)方。 2、它是理想的具有相互認(rèn)證之后得到的會(huì)話密鑰，當(dāng)每次從服務(wù)器獲得一些資源時(shí)，這樣的平臺(tái)無(wú)需反復(fù)向服務(wù)器驗(yàn)證。DAA的匿名驗(yàn)證的自然延伸是嵌入DAA的Diffie-Hellman密鑰交換協(xié)議，使兩個(gè)實(shí)體可以驗(yàn)證對(duì)方而為未來(lái)的通信派生出一個(gè)共享的會(huì)話密鑰。已經(jīng)有一些建議，把DAA進(jìn)入密鑰交換協(xié)議。 Balfe等，3通過(guò)使用TLS和IPsec嵌入DAA在點(diǎn)對(duì)點(diǎn)等網(wǎng)絡(luò)提出了匿名身份驗(yàn)證。梁和Mitchell32提出了一個(gè)基于DAA的匿名認(rèn)證協(xié)議。最近，切塞納等，20提出了一種基于TLS和DAA包含引用實(shí)現(xiàn)匿名認(rèn)證協(xié)議。1.1我們的貢獻(xiàn)很容易設(shè)計(jì)出簡(jiǎn)單的Diffie-Hellman（DH）的密鑰交換協(xié)議，但它更容易得到錯(cuò)誤的協(xié)議。例如，許多基于DH的密鑰交換協(xié)議許多DH-based密鑰交換協(xié)議很容易受到中間人攻擊或身份misbinding攻擊。雖然已經(jīng)有幾個(gè)在文獻(xiàn)中的提議，在Diffie-Hellman密鑰交換協(xié)議3，32，20中使用DAA，盡我們所知，沒(méi)有提供正式的安全模型并且這些協(xié)議沒(méi)有正式的安全證明來(lái)證明這些協(xié)議的安全性。這是本文的動(dòng)機(jī)，本文還有兩個(gè)貢獻(xiàn)。我們簡(jiǎn)要描述每個(gè)貢獻(xiàn)如下。安全模型與匿名認(rèn)證密鑰交換。我們給出一個(gè)嚴(yán)格的處理，以匿名身份驗(yàn)證和引入匿名認(rèn)證密鑰交換一個(gè)新的安全模型。我們的安全模型源于卡內(nèi)蒂-Krawczyk密鑰交換的安全模型18，19。在卡內(nèi)蒂-Krawczyk安全模型中，身份在安全性證明中起著重要作用。然而，在匿名身份驗(yàn)證，想要匿名的實(shí)體的身份不能透露，在密鑰交換。這將創(chuàng)建的安全模型的定義和密鑰交換協(xié)議的設(shè)計(jì)提供了顯著的挑戰(zhàn)。一個(gè)安全的密鑰交換協(xié)議進(jìn)行匿名身份驗(yàn)證。我們開(kāi)發(fā)了一個(gè)新的基于DAA和SIGMA系列遵循IPsec的31密鑰交換協(xié)議匿名認(rèn)證密鑰交換協(xié)議和Internet密鑰交換（IKE）標(biāo)準(zhǔn)30。我們稱我們的協(xié)議為daa-sigma協(xié)議。我們基于安全模型提出DAA-協(xié)議的一個(gè)正式的安全分析。1.2 相關(guān)工作除了在密鑰交換協(xié)議使用DAA的匿名身份驗(yàn)證3，32，20，其他的匿名身份驗(yàn)證的機(jī)制近來(lái)已經(jīng)提出。崔和曹提出了一種基于環(huán)簽名26匿名認(rèn)證和密鑰交換協(xié)議。Viet等人提出了一種基于密碼的匿名認(rèn)證密鑰交換協(xié)議36。楊和張等改進(jìn)viet等人的計(jì)劃與另一個(gè)匿名的基于密碼的密鑰交換協(xié)議37。 Chai等人建議保留用戶隱私21一個(gè)高效的基于口令的認(rèn)證方案。除了Canetti-Krawczyk密鑰交換模型18的密鑰交換協(xié)議，其他模型和工具的安全分析已經(jīng)在文獻(xiàn)中提出。例如，Meadows使用一個(gè)自動(dòng)化的協(xié)議分析儀，研究了密鑰交換協(xié)議33的安全性。 Datta等人開(kāi)發(fā)了一個(gè)象征性的邏輯分析儀來(lái)證明密鑰交換協(xié)議27的安全性。Bellare和Rogaway在并發(fā)會(huì)話的現(xiàn)實(shí)環(huán)境中形式化密鑰交換協(xié)議的安全性 4。在本文中，我們選擇使用卡內(nèi)蒂-Krawczyk密鑰交換為基礎(chǔ)的模型，因?yàn)檫@種模式已經(jīng)非常成熟，并已用于分析SIGMA密鑰交換協(xié)議的安全性。1.3本文的組織本文的其余部分安排如下。我們先介紹我們的符號(hào)，并簡(jiǎn)要回顧了DAA方案和第2節(jié)的SIGMA密鑰交換協(xié)議。然后，我們提出的密鑰交換協(xié)議的安全模型與匿名身份驗(yàn)證在第3節(jié)介紹。我們?cè)诘?節(jié)提出DAA-sigma協(xié)議，并在第5節(jié)安全性防護(hù)。我們將在第6節(jié)討論DAA-sigma協(xié)議的一些擴(kuò)展。我們得出結(jié)論：第7節(jié)是論文。2 背景和構(gòu)建模塊在本節(jié)中，我們首先回顧我們的符號(hào)和術(shù)語(yǔ)，然后簡(jiǎn)要回顧DAA的基本概念。接下來(lái)我們回顧SIGMA密鑰交換協(xié)議。2.1標(biāo)記法我們?cè)诒疚闹杏孟旅娴姆?hào)。設(shè)P和Q是密鑰交換協(xié)議的兩個(gè)實(shí)體。-麥克（M）：用密鑰k計(jì)算m的消息認(rèn)證碼。 -SIGP（米）：m個(gè)由實(shí)體P創(chuàng)建一個(gè)簽名。 -IDP：實(shí)體P的身份。 -certP：實(shí)體P的公開(kāi)密鑰證書。 -PRF：一個(gè)偽隨機(jī)函數(shù)。2.2 DAA的審查在本節(jié)中，我們將回顧DAA的9提出了規(guī)范和安全模式。在安全模型9，比原來(lái)的DAA定義簡(jiǎn)單的7，更容易理解DAA的安全屬性。有四種類型的玩家在DAA方案：發(fā)行人我，一個(gè)TPM米，主機(jī)喜和檢驗(yàn)VJ。宓和Hi形成在可信計(jì)算環(huán)境的平臺(tái)，分享DAA簽名Si的作用。為了簡(jiǎn)化我們的符號(hào)，我們對(duì)待DAA簽名者在本文的其余部分一個(gè)單一的實(shí)體。一個(gè)DAA方案有以下多項(xiàng)式算法或交互協(xié)議（安裝，注冊(cè)，登錄，驗(yàn)證，鏈接）：安裝：在一個(gè)安全參數(shù)1k的輸入，我使用這個(gè)隨機(jī)算法產(chǎn)生一對(duì)（ GPK ， ISK ），其中ISK為發(fā)行人的秘密密鑰， GPK是公鑰，包括全球公眾參數(shù)。加入：簽名者Si和發(fā)行人運(yùn)行一個(gè)交互式的加入?yún)f(xié)議。在協(xié)議結(jié)束時(shí)，硅輸出一個(gè)密鑰ski和一所頒發(fā)的會(huì)員證書CREI我們表示滑雪和CREI對(duì)作為Si的簽名密鑰。注意，ski的值是未知的1。注冊(cè)：在GPK ，ski， CREI ，一個(gè)基本名bsnj和消息m的輸入，硅使用該算法來(lái)產(chǎn)生對(duì)m的簽名 ?；鸼snj可以是驗(yàn)證VJ或特殊符號(hào)的任意名稱的字符串并且被用于控制聯(lián)性。驗(yàn)證：在GPK ， bsnj ，M ， M上的候選人簽名和撤銷清單RL的輸入， VJ使用這個(gè)確定性的算法來(lái)確定是否有效。撤銷超出了本文的范圍。鏈接：關(guān)于兩個(gè)簽名0和1輸入， VJ使用該確定的算法返回鏈接，斷開(kāi)鏈接，或無(wú)效的簽名。DAA的正式的安全定義中可以找到7,9。對(duì)于本文的完整性，我們回顧DAA的正式的安全模型9在附錄A，通俗地說(shuō)，一個(gè)DAA方案是安全的，如果下面的性質(zhì)成立：- 正確性。使用有效的簽名密鑰創(chuàng)建的簽名可以被任何驗(yàn)證程序正確進(jìn)行驗(yàn)證。 - 匿名。不擁有密鑰sk則無(wú)法學(xué)習(xí)使用SK創(chuàng)建簽名的簽名者的身份。 - 不可偽造性。如果他沒(méi)有一個(gè)簽名密鑰或他的簽名密鑰已全部撤銷，攻擊者無(wú)法偽造有效簽名- 用戶控制聯(lián)性。如果BSN=，由同一組的SK創(chuàng)建的簽名，CRE，BSN可以鏈接。然而如果他們使用不同的BSN創(chuàng)建或鏈接，如果BSN=，簽名不能。如果一個(gè)簽名是用BSN=創(chuàng)建的，那么我們稱隨機(jī)基于簽名，否則，我們稱之為一個(gè)基于名稱簽名。因?yàn)镈AA-sigma協(xié)議，我們首先著眼于隨機(jī)的簽名。我們?cè)诘?節(jié)將討論如何采用基于名字的簽名。設(shè)I為DAA發(fā)行人，設(shè)P是誰(shuí)擁有了I所簽發(fā)的有效簽名密鑰的DAA簽名者，我們使用下面的本文的其余部分的符號(hào)：- IDI：發(fā)行人I為簡(jiǎn)單的身份，我們假設(shè)我只創(chuàng)建一個(gè)群公鑰GPK。人們可以計(jì)算出從IDI相應(yīng)的GPK。如發(fā)行人建立多個(gè)組公鑰，我們可以用IDG表示了DAA組的身份。- CERTI：I是由證書頒發(fā)機(jī)構(gòu)頒發(fā)的公鑰證書，以證明該群公鑰GPK。 - DAA-SIGP（米）：由實(shí)體P創(chuàng)建的消息米DAA簽名。讓SKP為P的密鑰和CREP為P的會(huì)員資格證書，然后DAA-SIGP（m）表示符號(hào)（GPK，SKP，CREP，BSN，m），其中如果BSN不提供作為輸入，則BSN=。2.3 SIGMA密鑰交換協(xié)議的回顧我們現(xiàn)在回顧SIGMA密鑰交換協(xié)議。這個(gè)密鑰交換協(xié)議是Internet密鑰交換（IKE）協(xié)議之一30 在internet協(xié)議安全（IPsec）標(biāo)準(zhǔn)31下用于建立秘密共享密鑰。sigma密鑰交換協(xié)議使用的是結(jié)合在一起的Diffie-Hellman密鑰交換與“sign-and-mac”的機(jī)制。據(jù)介紹如下：設(shè)P和Q是密鑰交換協(xié)議的兩個(gè)實(shí)體，其中P是激活會(huì)話Q的協(xié)議發(fā)起者并且是會(huì)議預(yù)期的對(duì)等體。設(shè)G是一個(gè)循環(huán)群素?cái)?shù)階q，其中決策性的Diffie-Hellman（DDH）問(wèn)題是困難的和g是G的生成。設(shè)S是由P，Q，或兩者都選擇的一個(gè)唯一的會(huì)話標(biāo)識(shí)符。對(duì)SIGMA協(xié)議具有以下的消息。消息1（PQ）：S，GX 消息2（PQ）：S，GY，IDQ，mack1（S，IDQ），sigQ（S，GX，GY） 消息3（PQ）：S，IDP，mack1（S，IDP），SIGP（S，GY，GX）在上述協(xié)議，P隨機(jī)選擇一個(gè)整數(shù)x和計(jì)算短暫DH公鑰GX。類似地，Q隨機(jī)選擇一個(gè)整數(shù)y和計(jì)算其短暫的DH公鑰GY。通過(guò)交換GX和GY，兩個(gè)實(shí)體可以計(jì)算GXY，但“中間人”攻擊者就不可能。兩個(gè)實(shí)體然后從GXY得出一個(gè)會(huì)話密鑰K0和 MAC密鑰K0。在消息2，Q使用其簽名密鑰使用k1和標(biāo)志短暫的DH公鑰（GX，GY）計(jì)算其身份的Mac。P能驗(yàn)證簽名來(lái)保證消息2確實(shí)是來(lái)自實(shí)體Q和驗(yàn)證MAC，以確保Q知道K1，從而也知道了會(huì)話密鑰K0。同樣，P計(jì)算其身份和消息3的DH公鑰簽名的MAC。之后Q驗(yàn)證消息3，兩個(gè)實(shí)體已經(jīng)建立的會(huì)話密鑰K0，并可以使用K0為進(jìn)一步傳播。3 安全模型 在本節(jié)中，我們先回顧一下Canetti-Krawczyk密鑰交換模型18，19，然后描述如何擴(kuò)展這個(gè)密鑰交換模式，來(lái)支持匿名身份驗(yàn)證。3.1回顧C(jī)anetti-Krawczyk密鑰交換模型本節(jié)回顧了為驗(yàn)證的密鑰建立Protocols（協(xié)議）的Canetti-Krawczyk模型18。A是會(huì)話密鑰的對(duì)手，或SK-對(duì)手，A是一個(gè)概率多項(xiàng)式時(shí)間算法，控制使用設(shè)置在下面的表1中規(guī)定的查詢?nèi)魏坞p方之間的所有通信。一個(gè)SK-對(duì)手通過(guò)發(fā)出查詢到一組的簽名操作系統(tǒng)，P來(lái)完成這個(gè)控制。一個(gè)簽名 操作系統(tǒng)中，P代表確定由主體P發(fā)起的S中的協(xié)議實(shí)例。該通信實(shí)例稱為一個(gè)會(huì)話。每個(gè)數(shù)據(jù)庫(kù)響應(yīng)查詢，而所有的數(shù)據(jù)庫(kù)操作系統(tǒng)，P代表集體協(xié)議的歷史輸出。在SK-對(duì)手接收所有輸出，并使用該輸出來(lái)決定哪些數(shù)據(jù)庫(kù)來(lái)激活下一個(gè)。表1. 對(duì)抗性查詢?cè)儐?wèn)描述發(fā)送（P，Q，s，m）數(shù)據(jù)庫(kù)操作系統(tǒng)，根據(jù)協(xié)議規(guī)范P響應(yīng)消息m到Q，并決定是否接受，拒絕或繼續(xù)。接受意味著已完成與合作伙伴Q，會(huì)話id s，會(huì)話密鑰K，和操作系統(tǒng)的協(xié)議。P表示通過(guò)包括公共輸出信號(hào)的（P，s，Q）的接受。拒絕表示協(xié)議失敗。繼續(xù)意味著數(shù)據(jù)庫(kù)正在等待它的下一個(gè)協(xié)議的步驟。 操作系統(tǒng)，P返回其決定對(duì)A。會(huì)話密鑰 - 顯示（P ， Q，S ）如果數(shù)據(jù)庫(kù)的操作系統(tǒng)，P已接受并持有一個(gè)會(huì)話密鑰K，則數(shù)據(jù)庫(kù)返回K到SK-對(duì)手A。否則，P忽略此查詢。這種查詢，比如密鑰強(qiáng)制泄露，密碼分析，密鑰的不小心處理之類。聲明 - 顯示（ P）如果數(shù)據(jù)庫(kù)的操作系統(tǒng)，P已接受或持有一個(gè)會(huì)話密鑰，它會(huì)忽略此查詢。否則，數(shù)據(jù)庫(kù)返回其內(nèi)部短暫的會(huì)話狀態(tài)，但沒(méi)有永久的秘密。這個(gè)查詢類似單個(gè)會(huì)話的妥協(xié)。摧毀（P ）P通過(guò)整個(gè)內(nèi)部狀態(tài)的讓步對(duì)此查詢做出響應(yīng)，包括所有數(shù)據(jù)庫(kù)操作系統(tǒng)所執(zhí)行的狀態(tài)，P和任何長(zhǎng)期鑰匙。隨后，SK-對(duì)手控制P的行動(dòng)。過(guò)期 - 會(huì)話（P ， Q，s ）這個(gè)查詢會(huì)導(dǎo)致數(shù)據(jù)庫(kù)操作系統(tǒng)，P刪除其會(huì)話狀態(tài)和數(shù)據(jù)庫(kù)操作系統(tǒng)，P今后將忽略任何后續(xù)的會(huì)話密鑰，顯示的查詢，因?yàn)樗辉倬哂嗅槍?duì)性的會(huì)話密鑰。檢驗(yàn)（P ， Q，s）一個(gè)SK-對(duì)手A可以使用測(cè)試查詢一次。該查詢被用來(lái)測(cè)量該對(duì)手的功效在從一個(gè)隨機(jī)生成的會(huì)話密鑰來(lái)區(qū)分真正的會(huì)話密鑰。如果輸出端P已經(jīng)接受了一個(gè)會(huì)話密鑰K，那么它選擇一個(gè)比特值b隨機(jī);若b= 0，則它返回K和否則產(chǎn)生一個(gè)隨機(jī)值K時(shí)，它返回來(lái)代替。如果數(shù)據(jù)庫(kù)接受會(huì)話密鑰或不具有會(huì)話密鑰，它不響應(yīng)的測(cè)試查詢。會(huì)話被稱為暴露如果SK-對(duì)手發(fā)出反對(duì)它的Oracle會(huì)話密鑰泄露查詢或?qū)?huì)話的負(fù)責(zé)人之一的國(guó)有揭示或損壞的查詢。附件2.外文原文Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol-Jesse Walker and Jiangtao LiAbstract. Anonymous digital signatures such as Direct Anonymous Attestation (DAA) and group signatures have been a fundamental building block for anonymous entity authentication. In this paper,we show how to incorporate DAA schemes into a key exchange protocol between two entities to achieve anonymous authentication and to derive a shared key between them. We propose amodication to the SIGMA key exchange protocol used in the Internet Key Exchange (IKE) standards to support anonymous authentication using DAA. Our key exchange protocol can be also extended to support group signature schemes instead of DAA. We present a secure model for key exchange with anonymous authentication derived from the Canetti-Krawczyk key-exchange security model. We prove that our DAA-SIGMA protocol is secure under our security model.1 Introduction Anonymous digital signatures such as group signatures 22, 2, 5, 6, Direct Anonymous Attestation (DAA) 7, 8, 23, 24, 14, and anonymous credentials 1517 play an important role in privacy enhanced technologies. They allow an entity (e.g., a user, a computer platform, or a hardware device) to create a signature without revealing its identity. Anonymous sig