超级会员免费看
强RSA签名安全性证明的不可能性分析
1. 基础概念
- 代数算法 :代数算法的概念由Paillier和Vergnaud引入。直观上,对于计算群 $G$,算法 $R$ 是代数的,意味着 $R$ 仅对 $G$ 中的元素执行群操作,且其执行过程易于追踪。具体而言,对于任意输入元素 $y_1, \ldots, y_n \in G$,$R$ 执行过程中产生的任何元素 $g \in G$ 都属于由输入元素生成的子群 $\langle y_1, \ldots, y_n \rangle$,并且表达式 $g = \prod_{i=1}^{n} y_i^{c_i}$ 应易于获取。
- 形式定义 :对于计算群族 ${G_N} {N \in \mathbb{N}}$,若存在算法 Extract,则算法 $R$ 是代数的。Extract 接收元组 $(N, y_1, \ldots, y_n, aux, g, \Sigma)$ 作为输入,其中 $N \in \mathbb{N}$ 是群索引,$y_1, \ldots, y_n \in G_N$ 是给 $R$ 的输入元素,$aux$ 是给 $R$ 的辅助输入,$g \in G_N$ 是目标群元素,$\Sigma$ 表示 $R$ 中使用的随机硬币。若 $g$ 确实是 $R$ 在输入元组 $(N, y_1, \ldots, y_n, aux)$ 上使用随机硬币 $\Sigma$ 执行时产生的,则 Extract 找到指数元组 $(c_1, \ldots, c_n)$ 使得 $g = \prod {i=1}^{n} y_i^{c_i}$。若不存在正确的指数 $(c_1,
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
