39、抗泄漏签名方案与文件所有权证明的研究进展

抗泄漏签名方案与文件所有权证明的研究进展

1. 抗泄漏签名方案

1.1 泄漏查询与伪造概率分析

在签名方案中，存在泄漏查询的操作。给定泄漏函数 (f)，计算 (\Lambda = f(sk)) 并将 (\Lambda) 返回给攻击者 (A)。当 (A) 输出 ((m^ , {x^ i } {i\in S_{m^ }})) 时，会有如下判断：
- 若存在 (i) 使得 (x^ _i \neq x_i) 且 (h_s(x_i^ ) = h_s(x_i))，则返回 ((x, x_i^ ))。
- 否则，返回 (\perp)。

值得注意的是，若 (m = m^*) 出现，伪造位置指的是签名 (\sigma) 中已暴露给 (A) 的位置。此时，由于碰撞与未暴露的秘密无关，(A) 无法从泄漏信息中获得帮助。

设 (\epsilon_2) 为攻击者 (A_{CR}) 成功破坏 (h) 的抗碰撞性的概率，则有：
(\epsilon_2 = Pr[x_i \neq x_i^ \land h_s(x_i) = h_s(x_i^ )])
(\geq Pr[x_i \neq x_i^ \land h_s(x_i) = h_s(x_i^ ) \land m^ = m])
(\geq Pr[x_i \neq x_i^ \land (\bigvee_{i\in S_{m^ }} y_i = h_s(x_i^ )) \land m^* = m])
(= P