BLS数字签名方案的安全性证明（安全规约）

Digital Signatures with Random Oracles-BLS Scheme

《 Introduction to Security Reduction》

BLS是一种基于双线性映射的数字签名方案，方案的安全性可以规约到CDH问题（计算性Diffie-Hellman问题）。这篇重点在于安全性证明（Security Reduction）的过程，方案仅有简单的介绍。

---

BLS

参数设置：

双线性群$\mathbb{P}\mathbb{G}=(\mathbb{G},{\mathbb{G}}_T,g,p,e)$，哈希函数 H : { 0 , 1 } ∗ → G H:\{0,1\}^*\rightarrow\mathbb G H:{0,1}∗→G，私钥 $\alpha$, 公钥 $h=g^{\alpha }$ ，消息 $m$。

签名：

$${\sigma }_m=H(m{)}^{\alpha }$$

验证：

$$e({\sigma }_m,g)=e（H(m)，h）$$

---

CDH问题

给定$g,g^a,g^b\in \mathbb{G}$ ,计算$g^{ab}$。

---

安全性证明

结论

假设哈希函数$H$是随机预言机。如果CDH问题是困难的，那么$BLS$方案在$EU-CMA$模型中是可证明安全的，规约损失$L$是$qH$（随机预言机的查询次数）。

证明

假设在$EU-CMA$模型中存在一个能够以$(t,q_s,ϵ)$的优势破坏签名方案的敌手$A$，那么可以构造一个模拟器$B$调用敌手$A$来解决CDH问题。给定CDH问题实例$（g,g^a,g^b）$，$B$控制随机预言机，调用$A$并如下运行。

Setup

模拟器$B$设置公钥为$h=g^{\alpha }$，私钥为$\alpha$，此处$\alpha$就是$a$。（公钥是从问题实际例中得到的，模拟器并不知道私钥）

H-Query

敌手在此阶段进行哈希查询。模拟器在收到敌手的询问后选择一个随机数$i^{\ast }\in [1,qH]$。B准备一个空表（开始时为空），用来存储所有的哈希查询和结果。

第$i$次查询设为$m_i$，若$m_i$已经在模拟器维护的表中，则直接回复。否则如下回复
$$\begin{gathered} H(m_i)=g^{b+w_i}ifi=i^{\ast } \\ H(m_i)=g^{w_i}otherwise \end{gathered}$$
并将$(i,m_i,w_i,H(m_i))$添加到哈希列表中。

Query

敌手在此阶段进行签名查询，对于$m_i$上的签名查询，如果$m_i$是哈希列表中的第$i^{\ast }$条查询消息，则中止。

其他情况下$B$计算签名${\sigma }_{m_i}=(g^a{)}^{w_i}$

按照签名规定的形式（${\sigma }_m=H(m{)}^{\alpha }$），模拟器产生的签名是合法的。

Forgery

敌手返回一个未被查询过消息$m^{\ast }$的伪造签名。如果消息$m^{\ast }$不是哈希表中第$i^{\ast }$个消息，则中止。其他情况下都有$H(m^{\ast })=g^{b+w_{i^{\ast }}}$。

根据签名定义，
$${\sigma }_{m^{\ast }}=H(m^{\ast }{)}^{\alpha }=(g^{b+w_{i^{\ast }}}{)}^{\alpha }=g^{ab+a{w}_{i^{\ast }}}$$
模拟器B计算
$$\frac{{\sigma }_{m^{\ast }}}{{(g^a)}^{w_{i^{\ast }}}}=\frac{g^{ab+a{w}_{i^{\ast }}}}{{(g^a)}^{w_{i^{\ast }}}}=g^{ab}$$
$g^{ab}$就是CDH问题实例的解。

---

总结

​ 安全规约实际上就是一个从密码学方案到困难问题的连接。通过安全规约的这种形式，将密码方案的安全性与困难问题的困难性进行绑定。假设在多项式时间内敌手能够以不可忽略的优势攻破方案，那么因为存在一个多项式时间的规约，所以在多项式时间内敌手同样可以解决一个困难问题。又因为没有多项式时间的算法可以解决这样的困难问题，所以与事实推导出矛盾，假设不成立即本文方案安全。

​ 整个过程用到了一个反证法的思想：给出假设可以破环方案，根据假设推出可以解决困难问题，与事实不符假设不成立。