13、实用且健壮的安全日志记录与可验证加密组签名技术解析

实用且健壮的安全日志记录与可验证加密组签名技术解析

实用且健壮的安全日志记录

在安全日志记录领域，涉及到诸多技术细节与性能考量。当事件 E2 发生时，A 会向 B 发送一个针对声明序列 C∗ 的无错误且非平凡的签名 τ ∗ = (σ∗, s∗)，其中 C′∗ 是 Cexp 的前缀。设 |C∗| = i∗，|C′∗| = i′，|Cexp| = iexp，这样 s∗ 就是 i∗ 的有效签名。

下面来证明 i∗ < iexp 且 i∗ 在实验之前未向 B 的挑战者进行查询。若 i∗ ≥ iexp，由于 C′∗ 是 Cexp 的前缀，所以 i′ > iexp 是不可能的。i′ < iexp 也不可能，因为此时声明 c∗ i′ 必须是 (pk, ti′, mi′ = “End of epoch:” ∥ti′) （因为所有 t ≥ tBreakIn 的声明都被删除，C′∗ 的最后一个声明必须是一个时期标记的声明，这是由 τ ∗ 的无错误性得出的），其中 ti′ = tBreakIn - 1。因为 C′∗ 是 Cexp 的前缀，这也是 Cexp 中的一个声明。又因为 Cexp 也不包含任何 t ≥ tBreakIn 的声明，所以这也必须是 Cexp 中的最后一个声明。因此 |C′∗| 必须等于 |Cexp|，即 i′ = iexp 且 C′∗ = Cexp，但在这种情况下，τ ∗ 不是非平凡的签名，因为根据定义 A 已经为 C′∗ = Cexp 查询了他的 GetSignature 预言机。

所以，我们得到 i∗ < iexp，并且由于 C∗ 不包含 t ≥ tBreakIn 的声明，所以 C∗ = C′∗，C∗ 也是 Cexp 的前缀。因为 τ ∗ 是无错误且非平凡