超级会员免费看
可证明安全的数字签名技术解析
1. 随机预言模型的局限性
在数字签名方案中,部分方案会包含哈希函数 (h),其安全性可在随机预言模型中得到证明。该模型假定哈希函数 (h) 是一个随机预言机,即它表现得像一个完全随机的函数。对于所有消息 (m),哈希值 (h(m)) 的每一位都是通过抛硬币决定的,或者说映射 (h: X \to Y) 是从所有从 (X) 到 (Y) 的函数集合 (F(X, Y)) 中随机选取的。然而,完全随机的预言机无法实现,因为 (F(X, Y)) 通常极其庞大。例如,当 (X = {0, 1}^n) 且 (Y = {0, 1}^k) 时,(\vert F(X, Y) \vert = 2^{k2^n})。
此外,一些在随机预言模型中被证明安全的密码方案,在实际应用中(当随机预言机被真实哈希函数替代时)却不安全。这引发了对随机预言模型的质疑,因此,我们期望有能仅在标准假设(如 RSA 或离散对数假设)下证明安全性的签名方案。
2. 数字签名方案的组成
数字签名方案是基于数论函数单向性的公钥密码系统,通常由以下三个算法组成:
- 密钥生成算法 (K) :输入安全参数 (1^k),生成公钥 (pk) 和私钥 (sk) 组成的密钥对 ((pk, sk))。
- 签名算法 (S(sk, m)) :使用用户 Alice 的私钥 (sk) 对消息 (m) 进行签名,生成签名 (\sigma)。
- 验证算法 (V(pk, m, \sigma)) :根据 Alice 的公钥 (pk)、消息 (m) 和签名 (\si
订阅专栏 解锁全文
扫一扫
581
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
