44、HOMQV协议的安全性分析与扩展

HOMQV协议的安全性分析与扩展

1. XCR签名与Gap - DH假设

XCR签名是一种挑战 - 响应签名，只有挑战者能够验证签名。具体而言，签名者 ˆB 拥有私钥 $b \in_R Z_q$ 和公钥 $B = g^b$。对于输入消息 $m$ 和“挑战” $X = g^x$，ˆB 对 $m$ 和挑战 $X$ 的签名是一个对 $(Y = g^y, \sigma)$，其中 $y$ 由 ˆB 在 $Z_q$ 中随机选择，$\sigma$ 定义为 $X^{f \cdot (y + \overline{H}(Y,m)b)}$。知道 $x$ 的挑战者通过检查 $Y$ 是否在 $G’$ 中以及 $\sigma = (Y B^{\overline{H}(Y,m)})^{f \cdot x}$ 来验证签名。

XCR签名的安全性：如果在伪造者 $F$ 和签名预言机 ˆB 之间的以下游戏中，XCR 在选择消息（和选择挑战）攻击下是安全的，则称其为安全的。$F$ 的输入是 ˆB 的公钥 $B \in_R G$ 和挑战 $X_0 \in_R G$。$F$ 向 ˆB 提供查询 $(X, m)$，ˆB 以有效的XCR签名 $(Y, \sigma)$ 响应。在进行多项式数量的自适应查询后，如果伪造者输出对任何消息 $m_0$ 使用（输入）挑战 $X_0$ 的有效签名 $(Y_0, \sigma_0)$，则伪造者获胜。唯一的要求是“强”存在不可伪造性，即要么 ˆB 未被查询过消息 $m_0$ 的签名，要么如果被查询过，它输出的签名与对 $(Y_0, \sigma_0)$ 不同。

定理1：在CDH假设下，XCR签名在随机预言机模型中是安全的。

Gap - DH假设：XCR的安全性是在群 $G$