超级会员免费看
随机预言机方案:Fiat - Shamir签名与OAEP加密方案解析
1. Fiat - Shamir签名与Schnorr签名方案安全性
在密码学中,Fiat - Shamir签名是一种重要的签名机制,我们将通过分叉(forking)的方法来严格证明Schnorr签名方案的安全性,这也在一定程度上暗示了Fiat - Shamir变换的安全性。
1.1 基于分叉的安全性证明
首先考虑仅密钥攻击(key - only attacks),在这种攻击场景下,敌手试图在不请求不同消息签名的情况下,为某个消息 $m$ 生成伪造签名 $(R, y)$。一个有效的伪造签名 $(R, y)$ 需要满足 $g^y = R X^c$,其中 $c \leftarrow RO(R, m)$。
为了应用交互式身份验证方案的安全性论证,我们利用随机预言机的可编程性,进行分叉操作。具体来说,我们会进入另一个执行分支,用一个独立的随机值 $c’$ 来回答敌手关于 $(R, m)$ 的随机预言机查询。理想情况下,我们能得到两个有效的伪造签名:$(R, y)$ 对应消息 $m$ 和挑战值 $c$,以及 $(R, y’)$ 对应消息 $m$ 和不同的挑战值 $c’$。这样,我们就可以计算离散对数。
然而,我们需要仔细论证上述分叉策略是否能得到预期结果。敌手可能在第二次执行时转向对不同随机预言机查询 $(R’, m’)$ 的伪造,导致我们得到关于不同 $R$ 和 $R’$ 的两个方程,而这些方程目前还无法用于提取 $X$ 的离散对数。
为此,我们引入通用分叉引理(General Forking Lemma)。该引理表明,这种情况不会频繁发生,或者说,我们大致
订阅专栏 解锁全文
扫一扫
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
