35、三回合盲签名方案的不可能性及高效设备无关量子密钥分发

三回合盲签名方案的不可能性及高效设备无关量子密钥分发

三回合盲签名方案相关研究

1. S∗trans分析

在对S∗trans进行分析时，我们注意到魔法对手在单次交互后，会借助Σ输出两对消息 - 签名对。在trans - indBSS∗,Σ(n)实验中，将第一次执行的消息 - 签名对(m−1, σ−1)与从Σ推导得出的消息 - 签名对(m0, σ0)组合起来，这恰好对应魔法对手（b = 0）的行为。这里我们利用了一个事实，基于普通归约总能让诚实用户推导出签名这一假设，与用户的第二次执行不会失败（不会使签名无定义）。

另一方面，在与诚实用户U的颁发协议过程中，对手S∗trans会重置R，并在第二次执行中使用在生成(m−1, σ−1)签名时获得的前缀msg1。因此，消息 - 签名对(m−1, σ−1)、(mb, σb)的计算方式与元归约M（b = 1）相同。

由于统计盲性和签名推导检查，在转录独立性实验中Σ的额外运行几乎不会使三个签名无效（除了可忽略的概率）。统计盲性保证了与U为消息m−1生成的转录几乎肯定也是Σ使用的m0 = m1的潜在转录。签名推导检查表明，无论消息如何，转录都允许用户推导出签名，这样Σ也能为模拟用户找到带有有效签名的有效随机字符串r。

我们得到S∗trans输出正确比特b∗ = b的概率公式为：
Prob[b∗ = b] = 1/2 + 1/2 · (Prob[b∗ = 1 | b = 1] - Prob[b∗ = 1 | b = 0])

根据构造，b = 0对应模拟模仿魔法对手行为的情况，b = 1对应涉及元归约的情况。此外，当归约R返回y的有效解x′时，对手S∗trans返回b∗ = 1