90、非对称双线性群中的最优结构保留签名与噪声信道下的恒定速率不经意传输

非对称双线性群中的最优结构保留签名与噪声信道下的恒定速率不经意传输

非对称双线性群中的结构保留签名

敌手伪造签名的分析

在将群元素视为形式多元多项式时，敌手无法进行存在性伪造。从第一个方程 $r = ρℓrℓ$ 出发，可推出 $s = ρℓ(z - rℓv - mℓv)$，进而得到等式 $ρℓrℓv + ρℓ(z - rℓv - mℓv) + mv - z = 0$。观察 $z$ 的系数可得 $ρℓ = 1$，这表明 $m = mℓ$。敌手复用了 $m = mℓ$、$n = nℓ$ 和 $n′ = n′_ℓ$，并未实现存在性伪造，且 $r = rℓ$、$s = sℓ$、$t = tℓ$，敌手甚至无法找到同一消息的新签名。

然而，对于具体的变量选择，两个形式不同的多项式可能取值相同。在这种情况下，无法模拟通用群，敌手可能实现存在性伪造。验证方程可通过通用群操作进行评估，假设敌手在成功伪造时知道这一点。由于多项式的次数为 $O(q)$，根据生日悖论和施瓦茨 - 齐佩尔引理，当敌手进行 $O(q)$ 次通用群操作时，在通用群模拟中出现此类错误的概率为可忽略的 $O(\frac{q^3}{p})$。

基于标准假设的强一次性签名方案

方案描述

• 消息空间 ：适用于来自 $G^{k_M} × H^{k_N}$ 的消息。若消息是单边的，即 $(M_1, …, M_{k_M}) ∈ G^{k_M}$，则有一个更简单的签名，包含 2 个群元素和单个验证方程 $e(R, H)e(S, V) \prod_{i} e(M_i, V_i) = e(G, W)$。