《A Graduate Course in Applied Cryptography》Chapter 19 ID, sign from sigma protocols (2)

原文教材 与 参考资料：

        Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J].

        该书项目地址（可以免费获取）：http://toc.cryptobook.us/

        博客为对该书的学习笔记，并非原创知识，仅帮助理解，整理思路。

19.2 From identification protocols to signatures

本节将Schnorr ID 认证协议转化成为一个数字签名协议，这个数字签名协议的安全性可以在随机谕言机模型下被规约到DL假设上。在后边的章节中，将会给出一个通用构造的具体实例。

这里从Schnorr 身份协议开始，该ID认证协议具有以下的几个基本构件：一个循环群及其生成元与其他系统参数，一个挑战空间C,一个哈希函数，该哈希函数将被建模为一个随机谕言机。基本的思想是将原来的ID认证协议中的挑战作为消息哈希的角色。直觉上，哈希函数扮演的是schnorr协议验证者的角色。下面给出基本Schnorr 签名协议的流程图：

      这签名算法目前是一种随机化算法的描述，但是这并非是必要，亦可以将其修改成去随机化的算法，去随机化的签名是非常有意义的，特别是避免弱随机攻击。我们将会把H建立为一个随机谕言机模型，然后该数字签名是安全的如果Schnorr 身份认证协议在窃听敌手攻击下是安全的。首先，考虑一个有利的对于窃听攻击的修改。

19.2.1 A useful  abstraction: repeated impersonation attacks

我们首先考虑一个增强的对于身份协议的的仿冒攻击，允许敌手可以进行多次的仿冒测试（抵抗多个同时运行的验证者实例，使用想用的验证密钥）。

攻击游戏19.1 （r-impersonation eavesdropping attack）对于一个给定的身份协议I = （G,P,V），一个正整数r, 敌手A运行攻击游戏如下：密钥生成与窃听过程与攻击游戏18.2 是相同的，唯一的区别是在仿冒攻击阶段，敌手A被允许同时与r个验证者进行交互。挑战者这里扮演的是那些验证者的角色，所有验证者都是用和秘钥生成阶段想用的验证密钥，如果敌手能输出任何一个验证者可以接受的输出，那么其赢得游戏。攻击游戏的描述如下图：

Key generation phase: 挑战者（这里是验证者）生成密钥对，并将验证公钥vk发送给敌手。

Eavesdropping phase: 敌手请求Q个由P和V交互产生的会话（窃听阶段）。挑战者按照既定的方案运行P和V之间的交互Q次，其中P使用私钥sk初始化，V使用验证公钥初始化vk. 挑战者将Q次交互产生的Q条信息发送给敌手。

Impersonation attempt: 敌手A可以并发的与最多r个验证者进行交互，挑战者这里扮演的验证者的角色，验证者使用相同的验证公钥，敌手如果能输出任何一个验证者可以接受的输出，则赢得游戏。（暗示敌手可以最多产生r个不同的伪造攻击，只要有一个能够通过验证即可赢得游戏，但是之前的攻击游戏18.2仅仅规定敌手最后只进行一次攻击）

      下述引理将展示r-impersonation eavesdropping attack 敌手的攻击优势等价于原始的eavesdropping attack.也就是说赢得上述攻击19.1不会比赢得攻击游戏18.2更容易。

引理 19.6 ：