30、签名方案：从一次性签名到安全性分析

签名方案：从一次性签名到安全性分析

1. 签名方案的基本定义

1.1 存在性不可伪造性

存在性不可伪造性是签名方案在选择消息攻击下的一个重要安全属性。一个签名方案 Sig = (Sig.KGen, Sig.Sign, Sig.Vf) 在选择消息攻击下是存在性不可伪造的，意味着对于所有概率多项式时间（PPT）算法 A，其优势 $Adv^{euf - cma} {Sig,A}(\lambda)$ 是可忽略的。该优势定义为：
$Adv^{euf - cma} {Sig,A}(\lambda) := Pr[Exp^{euf - cma} {Sig,A}(\lambda)]$
其中，实验 $Exp^{euf - cma} {Sig,A}(\lambda)$ 的定义如下：

Experiment Exp^{euf - cma}_{Sig,A}(\lambda)
1 :
    Q ←{ } // 记录已签名消息
2 :
    (pk, sk) ←$ Sig.KGen(1λ)
3 :
    (m∗, σ∗) ←$ A^{Sign(sk,·)}(1λ, pk)
4 :
    return (Sig.Vf(pk, m∗, σ∗) = true ∧m∗/∈Q)

Sign(sk, m)
1 :
    Q ←Q ∪{m}
2 :
    σ ←$ Sig.Sign(sk, m)
3 :
    return σ

这个安全定义与存在性不可伪造的消息认证方案的安全定义本质上相同，但不同之处在于，在签名方案中，攻击者可以访问公钥来验证签名。