37、可更新有损陷门函数与强不可伪造签名方案研究

可更新有损陷门函数与强不可伪造签名方案研究

1. 可更新有损陷门函数

1.1 正确性分析

可更新有损陷门函数的正确性体现在以下两个方面：
- 对于更新后的陷门 (td’ = s + \beta)，有 (h’ = g^{\langle w, s + \beta\rangle}= g^{\langle w, s\rangle}= h)。
- 对于任意评估密钥 (ek)，存在 (c_2 \cdot (c_1^{-s}) = Q_x \cdot (R_x)^{-s} = h^{r_x} \cdot T^{b_x} \cdot (g^{w\cdot r_x})^{-s} = h^{r_x} \cdot T^{b_x} \cdot h^{-r_x} = T^{b_x})。在单射模式（即 (b = 1)）下，(T^{b_x} = T^x) 成立，从而保证了函数 (F) 和 (F^{-1}) 的正确性。

1.2 定理相关

若在群 (G) 中判定性 Diffie - Hellman（DDH）假设是困难的，并且在 (Z_{N^{\alpha + 1}}^*) 中判定性合数剩余（DCR）问题是困难的，那么可以构造一个 (\lambda) - 连续泄漏抗性陷门函数（(\lambda) - CLR - TDFs）集合。在每个时间间隔内，所提出的方案在陷门上最多能容忍 (\lambda \leq (l - 2)(\log N - 3) - 2\log(1 / \epsilon)) 比特的泄漏，其中 (\epsilon = \epsilon(\kappa)) 是一个关于安全参数 (\kappa) 的可忽略函数。因此，泄漏率为：
(\frac{\lamb