27、标准模型下弱不可伪造签名到强不可伪造签名的短通用转换

标准模型下弱不可伪造签名到强不可伪造签名的短通用转换

1. 引言

数字签名是现代密码学中最基本的原语之一。数字签名的安全性定义最早由Goldwasser、Micali和Rivest正式提出。其安全性可根据攻击者的目标和可用资源进行分类。

攻击者的目标可分为以下四类（按难度降序排列）：
- 完全破解：攻击者能够输出签名者的私钥。
- 通用伪造：攻击者能够对任何消息生成伪造签名。
- 选择性伪造：攻击者能够对在得知签名者公钥之前选择的消息伪造签名。
- 存在性伪造：攻击者能够对其选择的新消息伪造签名。

数字签名的安全概念也根据攻击者可用的资源进行分类，主要有两种攻击类型：
- 仅密钥攻击：攻击者仅获得签名者的公钥。
- 消息攻击：允许攻击者在尝试破解方案之前检查与已知或选择消息对应的一些签名。消息攻击又进一步细分为以下四类（按攻击者能力升序排列）：
- 已知消息：攻击者可以访问一组消息的签名，这些消息是攻击者已知但非其选择的。
- 通用选择消息：也称为弱选择消息攻击，攻击者可以访问其选择的一组消息的签名，但必须在知道签名者公钥之前选择这些消息。
- 定向选择消息：与通用选择消息类似，但攻击者可以在知道签名者公钥之后选择消息集。
- 自适应选择消息：这是任何攻击者都能发起的最通用“自然”攻击，攻击者可以将签名者用作“预言机”，请求签名者对其选择的消息进行签名。

如今，标准签名方案通常设计为实现自适应选择消息攻击下的存在性不可伪造性（uf - cma）。然而，大多数签名方案是随机化的，允许对单个消息有多个可能的签名。在这种情况下，uf - cma安全概念并不能排除对先前