<div dir="ltr">As a minor improvement to Trevor's original proposal (or whomever explained it to Trevor), the server could a Bloom filter of previously-seen tokens. This gets you down to about 1 byte of storage per token with a 2% false positive rate. So 1MB of storage per user at the server lets each user have 1M outstanding tokens. Something around that much is probably enough that nearly all users would never need to refresh in the lifetime of the system.-you could arguably never have to go into an epoch change.<div>

<br></div><div>2% of legitimate message sending attempts would be reject by the server due to the false positives, but that's okay. Senders can simply re-send in that case with a different token, with negligible impacts on performance.<br>

<div><br></div><div><div class="gmail_extra">This allows allows very efficient revocation if Bob is savvy to the Bloom filter parameters: he can just send to the server a list of bits to flip in the bloom filter and instantly revoke an arbitrary number of tokens.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">With performance hacks like this I think this system is workable and probably more efficient in practice than using a pairing-based cryptosystem.<br><br><div class="gmail_quote">

On Thu, Apr 3, 2014 at 7:20 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Thu, Apr 3, 2014 at 4:11 PM, Michael Rogers <<a href="mailto:michael@briarproject.org" target="_blank">michael@briarproject.org</a>> wrote:<br>



><br>
> in Pond, does the<br>
> recipient have some trapdoor information that the server doesn't have,<br>
> allowing the recipient to tell which contact made the group signature?<br>
<br>
</div>Yes:<br>
<br>
<a href="http://www.robotics.stanford.edu/~xb/crypto04a/groupsigs.pdf" target="_blank">http://www.robotics.stanford.edu/~xb/crypto04a/groupsigs.pdf</a><br>
<br>
Pond's group signatures are actually very cool, and (according to<br>
Boneh) VLR group signatures are also worth taking a look at, since<br>
they handle revocation better:<br>
<br>
<a href="http://cseweb.ucsd.edu/~hovav/dist/preteripsistic.pdf" target="_blank">http://cseweb.ucsd.edu/~hovav/dist/preteripsistic.pdf</a><br>
<span><font color="#888888"><br>
<br>
Trevor<br>
</font></span><div><div>_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org" target="_blank">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
</div></div></blockquote></div><br></div></div></div></div>