54、数字签名的渐进式高效验证与可撤销分层属性签名

数字签名的渐进式高效验证与可撤销分层属性签名

数字签名的渐进式验证

在数字签名验证领域，渐进式验证是一种重要的技术。对于具有 Mv 风格验证的签名方案，我们可以构建一个渐进式验证编译器。

渐进式验证编译器

给定一个具有 Mv 风格验证的签名方案 Σ，我们为其定义渐进式验证 ΣP 的 T 个步骤。T 的值设定了验证者想要检查的线性约束数量的上限，即 T = rows(M)，其中 M 是 Σ 原始签名验证中使用的矩阵。

可接受状态集合 S 包括空集 ∅ 以及 ProgVeri 可能输出的任何状态，具体为 (S = {0, 1}×Z^{rows(Z’)×cols(Z’)}_q×Z^{rows(v)×cols(v)}_q×{0, 1}^λ ∪∅)。我们从渐进式伪造的概率中提取置信水平。

对于中断步骤 t，攻击者创建渐进式伪造的概率至多为 (\frac{q^{n - t - 1}}{q^{n - 1}})。如果底层代数结构的大小 (q = 2^{poly(λ)})，那么当 (t = 1) 时，这个概率就可以忽略不计。也就是说，对于定义在指数级大的代数结构上的具有 Mv 风格验证的签名，高效验证和渐进式验证是等价的。而当 (q = poly(λ)) 时，攻击者创建渐进式伪造的概率不可忽略。

在我们的渐进式验证实例中，每次验证查询都会刷新由 offVer 产生的 svk，这样攻击者就无法利用渐进式伪造可能泄露的信息进行未来的伪造尝试。

渐进式验证方案的安全性

定理表明，如果 Σ 是一个具有 Mv 风格验证的存在不可伪造签名方案，那么通过我们的编译器得到的方案 ΣP 是 Σ 的渐进式验证的安