可截取签名

可截取签名（Content Extraction Signature, CES）的概念出现于 2001 年，由一位名叫 Steinfeld 的学者提出¹。可截取签名的特点在于，它允许签名的持有者在不与原始签名者进行交互的情况下，根据自身需要，保留原消息中的部分内容，并为这部分内容计算一个可公开验证的签名。

可截取签名方案中包括三个实体，分别是签名者、截取者和验证者，三者之间的交互流程如图 2-3 所示，主要包括四个算法：퐾푒푦퐺푒푛、푆푖푔푛、퐸푥푡、푉푒푟푖푓

• K e y G e n ( 1 λ ) → ( s k , p k ) KeyGen(1^lambda) rightarrow(sk,pk) KeyGen(1λ)→(sk,pk) ：根据安全参数 λ lambda λ，原始签名者获得自身公私钥对 ( s k , p k ) (sk,pk) (sk,pk)。
• S i g n ( M , s k , C E A S ) → δ F u l l Sign(M,sk,CEAS) rightarrow delta _{Full} Sign(M,sk,CEAS)→δFull​ ：原始签名者根据原始数据 M M M，私钥 s k sk sk以及内容截取访问结构 C E A S CEAS CEAS，生成 M M M的原始签名 δ F u l l delta _{Full} δFull​。
• E x t ( M , C E A S , X , p k , δ F u l l ) → δ E x t Ext(M,CEAS,X,pk,delta_{Full}) rightarrow delta _{Ext} Ext(M,CEAS,X,pk,δFull​)→δExt​：截取者根据 M M M，原始签名 δ F u l l delta_{Full} δFull​，原始签名者公钥 p k pk pk，以及截取子集 X X X，生成截取签名 δ E x t delta_{Ext} δExt​。
• V e r i f y ( M   ′ , C E A S , X , p k , δ E x t ) → ( T r u e   o r   F a l s e ) Verify(M{, }',CEAS,X,pk,delta_{Ext}) rightarrow (True, or, False) Verify(M′,CEAS,X,pk,δExt​)→(TrueorFalse)：验证者输入截取消息
  M   ′ M{, }' M′，内容截取访问结构 C E A S CEAS CEAS，截取子集 X X X，签名者公钥 p k pk pk以及截取签名 δ E x t delta_{Ext} δExt​。若验证该截取签名 δ E x t delta_{Ext} δExt​有效，则输出 푇 푟 푢 푒 푇푟푢푒 True，否则输出 퐹 푎 푙 푠 푒 퐹푎푙푠푒 False。