EUF-CMA

最新推荐文章于 2023-05-29 14:57:50 发布
最新推荐文章于 2023-05-29 14:57:50 发布
阅读量2.2k 收藏 10
点赞数
分类专栏: 加密 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GoodLuckAC/article/details/125217887
版权

数字签名的传统安全要求为在自适应选择消息攻击下满足存在不可伪造性( existential unforgeability under adaptive chosen message a attacks,EUF- CMA ) EUF-CMA要求:已知公钥pk,概率多项式时间( probability polynomial-time, PPT)攻击者在获得它希望得到的有效数据签名后,能够为新数据M*计算出有效签名的概率是可忽略的.如果数字签名方案满足上述安全要求,那么有效的数字签名能让数据接收者相信其收到的数据没有被篡改,且数据的发送方就是相应公钥pk的拥有者.

概述
密码学中数字签名方案的安全模型主要包括两种: 存在性不可伪造(Existential Unforgeability against chosen-message attacks, EU-CMA)和强不可伪造(Strong Unforgeability against chosen-message attacks, SU-CMA), 本文主要对比这两种安全模型.

两种安全模型都是通过敌手(Adversary)和挑战者(Challenger)之间的游戏(Game)来定义的. 首先挑战者生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手, 自己保存 s k sk sk 用来生成签名. 敌手可以自适应地提交任意消息, 挑战者根据敌手提交的消息生成对应的签名并返回给敌手. 最后, 敌手返回一个伪造的对未查询过的新消息的签名.

JINKELA_
关注
专栏目录
密码学系列5-BLS短签名和存在不可伪造性(EUF-CMA
qq_41359358的博客
04-23 659
这个方案是很多签名方案的基础方案,学会这一个方案,也就学会了这一系列方案的安全性证明。从这个方案,大家应该能感受到为什么会强调敌手进行多项式有界次数问询了。敌手伪造签名的时候,他也会对要伪造签名的那个消息进行哈希问询。最后,看完系列4和系列5后,大家注意区分两个方案对哈希函数是如何处理的,是不是感觉很神奇。如果存在敌手伪造BLS签名,那么我们可以构造算法求解CDH问题。2.如果敌手对消息m发起签名问询,那他一定先对m进行过哈希问询。BLS签名是一个确定性签名,签名过程没有使用随机数。
密码学系列2-安全模型(CPA,CCA,selective,adaptive)
最新发布
qq_41359358的博客
04-22 601
本章介绍了安全模型中的CPA,selective/adaptive CCA, EUF-CMA
数字签名中的存在性不可伪造(EU-CMA)与强不可伪造(SU-CMA)
啥都不会
04-13 7435
密码学中数字签名方案的安全模型主要包括两种: 存在性不可伪造(Existential Unforgeability against chosen-message attacks, EU-CMA)和强不可伪造(Strong Unforgeability against chosen-message attacks, SU-CMA), 本文主要对比这两种安全模型. ...
数字签名方案下的安全模型(EUF-CMA和SUF-CMA
weixin_44170239的博客
09-21 3290
11
可证明安全
hhh_2333
06-17 2992
语义安全表示为攻击者即使已知某个消息的密文,也得不出该消息的任何部分信息,即使是1比特的信息。 在完美保密性中,对于等长的消息m,m属于可被该加密算法加密的消息空间,当m用密钥k加密后,加密结果无法得到m的任何信息。
学习笔记:《Short Randomizable Signatures》中的安全性证明
日常学习记录,随缘更新
09-30 810
原方案https://blog.csdn.net/jiongxv/article/details/125261870签名方案的标准安全概念是在选择消息攻击(EUF-CMA) [GMR88]下的存在不可伪造性,这意味着即使获得了对签名oracle的访问权,也很难为从未向签名oracle请求的消息m输出有效的签名对(m,σ)(m,\sigma)(m,σ)。它被定义为挑战者C\mathcal{C}C和敌手A\mathcal{A}A之间的博弈: 如果没有概率多项式时间对手A\mathcal{A}A能以不可忽略的概
MAC与数字签名安全模型联系与区别
mingtian20112020的博客
04-20 1934
MAC与数字签名的联系与区别
SM2签名方案的安全
xycccc的博客
06-25 2328
证明SM2签名方案是 EFU-CMA 安全的,且可以抵抗密钥替换(KS)攻击
现代密码学之数字签名
Jifu_M的博客
01-05 1109
Digital Signature介绍数字签名方案数字签名性质数字签名的安全概念攻击模型RSA签名体制Digital Signature Algorithm (DSA)Reference 介绍 1976年由Diffie-Hellman介绍并引进。 数字签名是手写签名的电子类比。 它确保消息的完整性和发送方的真实性。 换句话来说就是:由Alice签名的消息向Bob保证消息是由Alice真正生成的。 我们要确保两件事: 1 该消息未被修改。 2 发送者是真正的爱丽丝。 数字签名通常表示为附在消息上的一串位。
Heterogeneous hybrid signcryption for multimessage and multi-receiver
02-06
- **EUF-CMA**:此外,该方案也达到了EUF-CMA标准,即即便攻击者能够自适应地选择消息进行攻击,也无法伪造有效的签密。 #### 实现架构与流程 - **发送方**:发送方首先对消息进行加密处理,并使用伪身份来保护...
论文研究-一种可证安全的基于浏览器的联合身份管理双向认证协议.pdf
07-22
提出了一种基于浏览器的联合身份管理双向认证协议, 在TLS会话中采用人类可感知认证码验证身份权威服务器, 通过绑定客户端证书结合加强同源策略达到双向保护令牌的目的。最后用形式化模型分析了其安全性, 证明了协议能够提供安全的认证。
CISCN2023 badkey1&badkey2
qq_41626232的博客
05-29 902
这里只有n,e,d,没有p,q所以会跳到下面的else。再对生成的q,依次每个素数进行二次剩余判断是否等于上述由p生成的结果。后面使用while循环生成q的同时爆破a,对于a爆破(0,e)就好。p是给定的,使用可以先计算15个素数在模p的二次剩余和二次非剩余。查看当前生成的碰撞字典长度为10的个数,这里有2万个就足够了。即对每个数,有1/2的可能满足,所有2到50一共15个素数。源码分解取的g是2到100间的偶数。生成3000个也有大概10%的概率找到一个q。这样写肯定是不行的,可以先本地生成。
密码学安全性证明中的挑战者和攻击者
zixingxing000的专栏
11-03 8463
challenger 的中文意思是挑战者,在密码学里,我们却应理解为接受挑战的人。 在密码学里,要考虑IND-CCA安全,往往考虑一个游戏.游戏的参与者包括敌手(attacker)和受挑战者(challenger).游戏的规则是这样的.attacker先选两个明文M和N然后challenger随机选择一个进行加密得到密文C,在游戏结束前的任何时候attacker可以向challeng
数字签名算法2--可证明安全与EIGamal算法
qq_38324605的博客
10-17 4674
密码学中可证明安全 可证明安全理论基础: 一般来讲,可证明安全是指利用数学中的反证法思想,采用一种“归纳”方法。 协议的安全目标:加密方案的安全目标是确保信息的机密性,签名方案的安全目标是确保签名的不可伪造性。 敌手目标:加密方案中,敌手的目标就是能够区分挑战密文所对应的明文;在签名方案中,敌手的攻击目标就是可以获得签名者私钥,也可以说能对任意消息伪造签名或者伪造出一个特定消息的有效签名。 极微本原:密码原语,是指安全方案或者协议的最基本组成构建或者模型,例如某个基础密码算法或者数学难题。 步骤: (1)
阅读笔记1:A secure and efficient certificateless signature scheme for Internet of Things
weixin_43136689的博客
02-14 1万+
阅读笔记1:A secure and efficient certificateless signature scheme for Internet of Things摘要1 引言1.1 以车联网loV为例,物联网设计的安全问题1.2 传统数字签名在物联网应用中的问题1.3 文章的贡献2 准备工作2.1 复杂性假设:椭圆曲线离散对数问题ECDLP2.2 无证书签名CLS2.3 安全模型定义2.3.1 Game12.3.2 Game23 分析Jia的方案3.1 Jia的具体方案3.2 Jia方案分析4 文章方
PRF(伪随机数函数)
热门推荐
凝静冰芷
11-05 1万+
PRF(伪随机数函数) 序 看到自己曾经写过一个随机数的文章,当然内容没什么太有意思的东西。今天想着好像也没什么可写的,那么就写个已经存在的PRF吧。 随机数在服务端应用挺广泛的,经常会使用到,但是大体上都是调用系统函数。有一些的实现就不是很安全,比如那个简单的以时间为种子的随机数~~。 更安全的随机数可以通过硬件来获取,当然这得需要相应的硬件支持。其实,在TLS规范中已经提供了一种不错的伪随机生...
多项式加法
u011532446的专栏
01-18 925
题目内容: 一个多项式可以表达为x的各次幂与系数乘积的和,比如: 现在,你的程序要读入两个多项式,然后输出这两个多项式的和,也就是把对应的幂上的系数相加然后输出。 程序要处理的幂最大为100。 输入格式: 总共要输入两个多项式,每个多项式的输入格式如下: 每行输入两个数字,第一个表示幂次,第二个表示该幂次的系数,所有的系数都是整数。第一行
数字签名及其安全模型
lanseon的博客
02-23 1797
模型 一个数字签名方案包含如下4个算法 SysGen: 输入系统安全参数λ\lambdaλ. 返回系统公共参数SPSPSP. KeyGen: 输入系统公共参数SPSPSP. 返回一对公私钥(pk,sk)(pk,sk)(pk,sk). Sign: 输入消息mmm,私钥sksksk,和系统公共参数SPSPSP. 返回消息mmm的签名σm\sigma_mσm​. Verify: 输入消息-签名对(m,σ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值