1. 什么是可截取签名CES?

可截取签名CES（content extraction signatures）的概念最早由Steinfeld等人于2002年通过论文《Content Extraction Signatures∗》提出，不同于传统的数字签名方案，在不与原始签名人交互的情况下，可截取签名，允许签名持有人根据需要从已签的原消息中截取出需要的消息段，并为截取出的消息段计算有效签名，证明截取出的消息段的真实性。

应用场景可为：
某学校给学生Bob 签发一份（电子）大学毕业证，该电子文档记录了Bob 的姓名、年龄、家庭地址等详细信息，Bob 在求职时需要将这份电子文档作为申请材料的一部分发给应聘公司。为了保护个人隐私，Bob 希望在文档中隐藏家庭地址等敏感信息。如果学校用普通数字签名算法对毕业证进行签名，那么该签名只能证实完整毕业证的有效性，而无法证实删除敏感信息后文档的真实性。而使用CES可截取签名方案，可证实删除敏感信息后文档的真实性。

2. CES发展历程

• Chaum和Van Antwerpen的undeniable signature scheme：signer和verifier之间交互，signer可决定签名是否public verifiable。交互机制效率不高，且安全性依赖于signer对verifiers的识别区分。
• Jakobsson等人的designated verifier signature(DVS) scheme：在签名过程中，会将designated verifier的公钥作为辅助输入，最终的签名对于其它非designated verifier来说是ambiguous的。也就是说，只有在signer签名过程中指定的verifier才能对最终生成的签名进行验证。由于使用的是公钥，旁观者无法区分签名方究竟是signer还是verifier，即无法区分职责。
  undeniable signature和designated verifier signature(DVS)在只有一个signer和只有一个verifier的两方场景下非常实用。signer本身也可以是签名的user。
  当signer本身不是签名的user时，则在场景中引入了一个独立的independent signature user. 举例：Alice（the signature user）正在申请一家餐馆（the verifier）的厨师职位，她需要提供一份由医院（the signer）签署的健康证明。此时，undeniable signature和designated verifier signature(DVS)均无法满足使用要求。
• Huang和Wang的nominative signature scheme：专门针对三方场景（signer-user-verifier）设计的，同事更关注user的隐私而不是signer的。当采用nominative signature时，由医院和Alice通过交互方式方式共同签署健康证明，最终的signature不能进行public verify，它的完整性只能由Alice（the user）给她选择的verifier进行证明，哪怕是医院也无法替代Alice来证明签名的完整性。

以上三种方式都是通过限制verifiablity来实现的，还有一种思路是去掉签名中的敏感信息：

• Stenfeld、Bull和Zheng等人的content extraction signature（CES）scheme：允许user移除签名中的敏感信息，保护user隐私的同时保证签名的public verifiability。
• Ateniese等人的sanitizable sginature scheme：集成了chameleon hash functions，允许特定的user净化敏感信息。

3. CES的缺点及解决办法

参考资料：
[1] 2002年论文《Content Extraction Signatures∗》
[2] 2012年论文《Content Extraction Signatures Revisited》