48、概率签名方案安全性的不可归约性分析

概率签名方案安全性的不可归约性分析

1. 主要定理与初步结论

1.1 无消息攻击下的不可归约性

存在定理表明，具有超多项式随机空间的概率签名方案在无消息攻击下的安全性，无法从单向陷门置换进行黑盒归约。这意味着在这种特定的签名方案和攻击场景下，不能简单地依赖单向陷门置换来保证其安全性。

1.2 理想陷门置换的不可归约性

当TDP T为理想置换时，不存在以黑盒方式利用任何破坏PSST DP T H的敌手来破坏TDP T安全性的敌手。具体来说，不存在从理想陷门置换族到PSS签名方案针对选择消息攻击的存在性不可伪造性的黑盒归约。

2. 预言机G的定义与作用

2.1 预言机G的工作流程

预言机G的工作方式如下：
1. 输入哈希函数三元组H = (h, g1, g2)的描述和安全参数n。
2. 从{0, 1}∗\ {0}中均匀随机选择t = max(|H|, n)个消息m1, m2, · · · mt，并将它们作为挑战消息集输出。
3. 期望得到所有消息的有效且不同的签名。
4. 维护一个列表（初始为空），记录输入哈希函数的描述、挑战消息和返回的伪造签名。如果哈希描述匹配，则输出相同的挑战消息。
5. 收到消息和签名(m1, m2, · · · , mt, σ1, σ2, · · · , σt)后，检查以下条件：
- σ1, · · · , σt是m1, · · · , mt的有效签名，恢复r1, · · · , rt，使得PSSfpk H (m1∥r1) = fpk(σ1), · · · , PSSfpk H (mt∥rt) = fpk