21、长消息的失败-停止签名方案研究

长消息的失败-停止签名方案研究

1. A - 码的欺骗概率与安全定义

在信息安全领域，A - 码的欺骗概率是衡量其安全性的重要指标。存在两种欺骗概率：
- 伪装欺骗概率 (P_I) ：在密钥和源状态均匀分布的假设下，其计算公式为 (P_I = \max_{s,t} \frac{|{e\in E:t = f(s,e)}|}{|E|})。
- 替换欺骗概率 (P_S) ：计算公式为 (P_S = \max_{s,t} \max_{s’\neq s,t’} \frac{|{e\in E:t = f(s,e),t’ = f(s’,e)}|}{|{e\in E:t = f(s,e)}|})。

由于对手可以在这两种攻击方式中进行选择，所以 A - 码的总体欺骗概率定义为 (P_D = \max{P_I, P_S})。当 (P_D \leq \epsilon) 时，我们称该 A - 码是 (\epsilon) - 安全的。其中一个重要的理论结果是平方根界，即 (P_D \geq \frac{1}{\sqrt{|E|}})，并且等式成立的条件是 (|S| \leq \sqrt{|E|} + 1)，这直接体现了密钥大小与保护程度之间的关系。

2. 从 A - 码构建失败 - 停止签名（FSS）

一般来说，从 A - 码构建 FSS 会使用两个 A - 码族 (A = {(S_K, T_K, E_K) : K \in N}) 和 (A’ = {(S_K, T’_K, E’_K) : K \in N})，以及两个多项式时间抗碰撞哈希函数族 (H = {h_K : K \in N})（