15、基于双线性映射的安全签名方案

基于双线性映射的安全签名方案

1. 签名树结构与长度分析

在签名方案中，若使用认证树，为了验证节点，我们必须知道该节点的所有兄弟节点。以二叉树为例，签名中包含的节点数量是树深度的两倍，因为每个节点都要附带其兄弟节点信息。

签名长度与树的深度成正比，那么增加树的分支因子是否是个好办法呢？下面通过简单计算说明这样做可能适得其反。

假设要对 $N$ 条消息进行签名。若认证树为二叉树，其深度至少为 $\log_2 N$，签名长度约为 $2k \log_2 N$，其中 $k$ 是考虑节点大小的安全参数。当树的分支因子从 2 增加到 $d$ 时，树的深度降至 $\log_d N$，但签名必须包含认证路径上节点的所有兄弟节点，此时签名大小变为 $d k \log_d N$，实际上比二叉树情况更大。

1.1 已有方案的改进

• DN94 方案 ：该方案的改进在于对兄弟节点的认证方式。它采用比 GMR 方案更强的复杂度假设，给定节点的父节点及其认证值（其大小与分支因子无关），就可以验证节点的真实性。每个节点的认证值与其兄弟节点不同，且可以独立验证，这使得在不增加签名长度的情况下，增加节点的子节点数量并减小树的深度成为可能。
• CD96 方案 ：降低了 DN94 方案中公共密钥大小这一主要缺点，公共密钥大小为分支因子乘以安全参数。
• CS99 和 GHR99 方案 ：提出了两种独立的方法，允许签名者（而非攻击者）动态添加分支，使树变得更扁平。

1.2 无状