12、不可否认签名和确认签名的不可见性与匿名性

不可否认签名和确认签名的不可见性与匿名性

在密码学领域，不可否认签名和确认签名的不可见性与匿名性是两个重要的安全属性。本文将详细探讨这两个属性的定义、相关性质以及基于 RSA 的签名方案在这些属性方面的表现。

1. 相关性质

在讨论不可见性和匿名性之前，先介绍两个重要的性质：
- 性质 A ：对于固定的密钥和不同的消息，签名看起来是随机的。具体来说，设 $k$ 为安全参数，$(pk, sk)$ 是 Gen 算法针对安全参数 $k$ 的任意输出。考虑消息空间 $M$ 上的均匀分布，那么随机变量 $Sign_{sk}(m)$ 对应的签名空间 $S$ 上的分布与均匀分布不可区分。
- 性质 B ：对于固定的消息和不同的密钥，签名看起来是随机的。设 $k$ 为安全参数，$m \in M$ 是任意消息。考虑由随机化算法 Gen 诱导的密钥空间 $K$ 上的分布，那么对于根据该分布从 $K$ 中随机选择的公钥 $pk$（以及对应的私钥 $sk$），随机变量 $Sign_{sk}(m)$ 对应的签名空间 $S$ 上的分布与均匀分布不可区分。

一个与均匀分布不可区分的分布的典型例子是：设 $S$ 是所有长度为 $2k$ 的二进制字符串的集合，$N$ 是一个 $k$ 位的 RSA 模数，考虑集合 $S’ = {s \in S : gcd(s, N) = 1}$ 上的均匀分布（其中二进制字符串自然地解释为整数）。给定 $N$ 和一个输出从 $S$ 或 $S’$ 中多项式数量的随机采样元素的算法，确定采样的是哪一个集合是不可行的。

2. 广义不可见性

为了更适合我