2、基于RSA的新型签名方案解析

基于RSA的新型签名方案解析

1. 基本定义

• 签名方案安全性定义 ：若对于所有运行时间为 $t$ 的敌手 $A$，其向签名预言机 $O(SK, ·)$ 最多发送 $q$ 个查询 $m_1, \ldots, m_q$ 并收到 $q$ 个响应 $\sigma_1, \ldots, \sigma_q$，满足以下概率不等式：
  $$
  Pr\left[
  \begin{array}{l}
  (SK, PK) \leftarrow Gen(1^{\kappa}), (m^ , \sigma^ ) \leftarrow A^{O(SK,·)}(PK), \
  Verify(PK, m^ , \sigma^ ) = 1, (m^ , \sigma^ ) \notin {(m_1, \sigma_1), \ldots, (m_q, \sigma_q)}
  \end{array}
  \right] \leq \epsilon
  $$
  其中概率是对 $Gen$ 和 $A$ 的随机硬币取值而言的，则称签名方案 $S$ 是 $(q, t, \epsilon)$ - 安全的。
• RSA 假设定义 ：给定 RSA 模数 $n = pq$（$p$ 和 $q$ 是足够大的素数），素数 $\alpha < \varphi(n)$ 且 $\gcd(\alpha, \varphi(n)) = 1$，以及元素 $u \in \mathbb{Z} n^ $。若对于所有运行时间为 $t_{