13、离线/在线签名：理论方面与实验结果

离线/在线签名：理论方面与实验结果

1. 隐匿安全签名示例

在签名过程中，可通过一些方法加速迭代计算的遍历。这里介绍两种基于强RSA假设的隐匿安全签名方案，它们是无需随机预言机模型就能证明安全性的高效签名方案。
- 简化GHR签名 ：
- 密钥生成 ：设 $N = pq$ 为RSA模数，其中 $p$、$q$ 是相同大小的安全素数。在 $Z_N^ $ 中选择随机元素 $s$，并为目标除法难解哈希函数 $h_{tdi}(·, ·)$ 选择密钥 $k$。公钥为 $(N, s, k)$，私钥为 $\varphi(N) = (p - 1)(q - 1)$。
- 签名算法 ：对于待签名消息 $m$，计算 $e = h_{tdi}(k, m)$ 和 $d = e^{-1} \bmod \varphi(N)$，输出签名 $\sigma = s^d \bmod N$。
- 验证算法 ：输入公钥 $(N, s, k)$ 以及消息/签名对 $m, \sigma$，计算 $e = h_{tdi}(k, m)$，检查是否有 $\sigma^e = s \bmod N$。
- 简化CS签名 ：
- 密钥生成 ：同GHR方案生成RSA模数 $N = pq$（安全素数），在 $Z_N^ $ 中选择两个随机元素 $s, t$，为目标碰撞抵抗哈希函数 $h_{tcr}(·, ·)$ 随机抽取密钥 $k$。公钥为 $(N, s,