超级会员免费看
重温基于不经意签名的信封
在密码学领域,基于不经意签名的信封(OSBE)方案是保障通信安全与隐私的重要技术。下面将深入探讨几种不同的 OSBE 方案,包括其原理、安全性以及性能分析。
1. CDH 问题与签名伪造
假设存在一个对手 A,他没有签名 σ = (e, s),但却能以不可忽略的概率 ϵ 赢得某个游戏,即计算出值 gz(ae + k) mod p。利用分叉引理可知,A 可以连续执行两次,使用相同的 X = gk mod p 和不同的随机预言机 H 与 H′,且两次都以至少 ϵ² / qH 的不可忽略概率赢得游戏,其中 qH 是 A 对哈希函数的查询次数。这意味着 A 能以不可忽略的概率计算出 K = gz(ea + k) mod p 和 K′ = gz(e′a + k) mod p(e ≠ e′),进而高效计算出 gaz。然而,这表明 A 能在多项式时间内解决 CDH 问题,与我们的假设矛盾。
需要注意的是,Schnorr 签名方案在假设不存在能解决离散对数(DL)问题的多项式时间算法的情况下是存在不可伪造的。由于我们假设不存在解决 CDH 问题的多项式时间算法,这也意味着不存在解决 DL 问题的多项式时间算法。因此,在假设不存在解决 DL 问题的多项式时间算法的情况下,多项式时间的对手 A 无法伪造消息 M 的签名来计算 OSBE 密钥。
2. Nyberg/Rueppel OSBE
Nyberg/Rueppel 签名方案如下:
- 设 p 是一个大素数,q 是 p - 1 的大素数因子,g 是 Z∗p 中阶为 q 的元素,M 是消息空间,H : M → Zp 是合适的密码哈希函数。
- 签名者的秘密密钥是
订阅专栏 解锁全文
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
