14、密码学签名方案的安全性与效率研究

密码学签名方案的安全性与效率研究

1. RSA 不可否认签名方案的安全性

RSA 不可否认签名方案在密码学领域有着重要的地位，它在随机预言模型下展现出了良好的安全性。

1.1 隐藏比特独立性与模拟输出

对于方程 $\alpha = \pm(g^x u^y)^2$ 和 $s = h^x v^y$，我们将所有值投影到 $\mathbb{Z}_N^ $ 中的平方循环子群。通过滥用符号，设 $h = g^d$，$u = g^{c_1}$，$v = g^{c_2}$，$\beta = g^{c_3}$，$s = g^{c_4}$，那么求解上述方程等价于求解矩阵方程：
[
\begin{pmatrix}
1 & c_1 \
d & c_2
\end{pmatrix}
\begin{pmatrix}
x \
y
\end{pmatrix}
\equiv
\begin{pmatrix}
c_3 \
c_4
\end{pmatrix}
\pmod{p’q’}
]
当 $c_2 - dc_1$ 与 $p’q’$ 互质时，该矩阵可逆，并且当 $(g, h, u, v)$ 从集合 $T$ 中均匀随机选取时，这种情况以压倒性概率发生。此外，$\alpha$ 的值对 $\beta$ 中 2 阶元素没有限制，且 $h$ 和 $v$ 共同生成 $\mathbb{Z}_N^ $，所以我们可以在 2 阶元素子群中求解方程 $s = h^x v^y$ 的投影。这证明了当输入 $(g, h, u, v)$ 是随