超级会员免费看
密码学签名与匿名身份识别方案解析
1. Type III伪造者分析
在密码学签名方案中,Type III伪造者的情况与以往讨论的十分相似。当给定 (n) 和 (z) 时,预先选择所有的 (e_i),并进行如下设置:
- (h_1 = z^2\cdot\prod_{i} e_i)
- (x = h_1^a)
- (h_2 = h_1^{a’})
其中 (a) 和 (a’) 是从 ({1, \ldots, n^2}) 中随机选取的。由于 (h_1) 很可能是 (QR_n) 的生成元,并且 (a) 和 (a’) 模 (p’q’) 的分布在 (Z_{p’q’}) 上统计接近均匀分布,所以 (x) 和 (h_2) 几乎是均匀分布的二次剩余。我们可以对任何查询消息 (m_i) 进行签名,因为对于任何 (\alpha_i),我们都知道 (xh_1^{\alpha_i} h_2^{\alpha_i\oplus H(m_i)}) 的 (e_i) 次根。
伪造会产生方程 (y^e = xh_1^{\alpha} h_2^{\alpha\oplus H(m)} = z^m),其中 (m = 2 \cdot \prod_{i} e_i \cdot (a + \alpha + a’(\alpha \oplus H(m))))。当 (e) 不整除 (m) 的概率不可忽略时,我们可以通过标准程序计算 (z) 的 (r) 次根((r) 是整除 (e) 的素数)。具体来说,如果 (r) 是整除 (e) 的素数,那么 (r) 显然不整除 (2\cdot\prod_{i} e_i)。将 (a) 写成 (a = bp’q’ + c)((0 \leq c < p’q’)),并且即使给定
订阅专栏 解锁全文
扫一扫
14
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
