11、代理签名与不可否认/确认签名的安全分析

代理签名与不可否认/确认签名的安全分析

代理签名的攻击场景与方案比较

在代理签名的场景中，存在A、B、C三个角色，其中C为窃听者。以下是攻击场景的流程：
1. A的操作 ：
- A对消息m进行签名。
- A将签名$(r_A, s_A)$发送给B。
2. C的操作 ：
- C拦截签名$(r_A, s_A)$。
- C生成包含A的身份信息和消息m的授权信息$m_w$，并对$m_w$进行签名得到$(r_C, s_C)$。
- C创建代理签名$s = s_A + s_C · h(m, r_A)$。
- C将元组$(m, r_A, s, m_w, r_C)$发送给B。
3. B的操作 ：
- B生成代理公钥。
- B检查代理签名的有效性，并将C视为原始签名者。

下面是几种代理签名方案的比较：
| 特性 | MUO | PH | KPW | OTO | LKK |
| — | — | — | — | — | — |
| 安全通道 | 需要 | 不需要 | 不需要 | 需要 | 需要 |
| 代理保护 | O | X⋆ | O | X | X⋆ |
| R1可验证性 | O | O | O | O | O |
| R2不可伪造性 | O | X | O | X | X⋆ |
| R3可识别性 | O | O | O | O | O |
| R4不可否认性 | O | X | O | X | O |
| R