超级会员免费看
埃尔伽马(ElGamal)家族签名方案的安全性证明
1. 引言
在密码学领域,许多基于公钥密码学的方案和协议都有基础的“教科书密码”版本,但这些版本往往只适用于理想环境。而我们更关注适用于实际应用的密码方案,会揭示“教科书密码”在现实世界中的不适用性,并介绍一系列实用的密码方案、协议和系统。对于埃尔伽马签名方案及其家族签名(如 Schnorr 和 DSS),长期以来人们认为伪造此类签名的难度与求解有限域大子群中的离散对数问题相关,但直到 1996 年才出现正式证据。Pointcheval 和 Stern 利用随机预言机模型(ROM)证明了埃尔伽马家族签名方案中签名伪造难度与计算离散对数难度之间的关联。
2. 三元组埃尔伽马家族签名方案
三元组埃尔伽马家族签名方案是一种典型的签名方案,可在 ROM 下被证明是不可伪造的。该方案输入为签名密钥 sk、公钥 pk 和消息 M(位串),输出消息 M 的签名为三元组 (r, e, s):
- r(承诺) :它承诺一个临时整数(承诺值),该整数独立于之前所有签名中使用的值。通常构造承诺的形式为 r = g^γ (mod p),其中 g 和 p 是签名方案的公共参数。
- e :e = H(M, r),其中 H() 是一个密码哈希函数。
- s(签名) :它是承诺 r、承诺值 γ、消息 M、哈希函数 H() 和签名私钥 sk 的线性函数。
原埃尔伽马签名方案不是三元组签名方案,因为它不使用哈希函数且无法抵抗存在性伪造。但使用哈希函数的变体版本则是三元组版本。Schnorr 签名方
订阅专栏 解锁全文
扫一扫
2406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
