多签名基础——General forking lemma(分叉引理)

xycc_cc

已于 2022-11-28 14:05:42 修改

阅读量3k

点赞数 7

分类专栏：多签名文章标签：学习

于 2022-05-08 14:35:32 首次发布

本文链接：https://blog.csdn.net/exyc_o/article/details/124643822

版权

多签名专栏收录该内容

2 篇文章 0 订阅

订阅专栏

General forking lemma(分叉引理)

文章目录

General forking lemma(分叉引理)
参考文献

(一)、前言

1、为什么使用分叉引理

证明数字签名方案的安全性常用的一种模型是随机预言模型ROM。在随机预言模型中，数字签名方案使用的 $h a s h$ 函数至少有一个需要被看做随机谕言机。
在这种模型下，证明数字签名方案安全性的一个重要技术就是随机谕言机重放技术，也就是通过重放 $h a s h$ 值来破解一个困难问题。该技术的理论依据就是著名的分叉引理(Forking Lemma)。¹

2、什么是分叉引理

令 $Q_i$ 代表敌手 $A$ 发送的第 $i$ 次随机预言询问， $h_i$ 表示挑战者 $C$ 对第 $i$ 次随机预言询问所返回的结果。分叉引理的示意图如图：

在安全性证明中，挑战者 $C$ 为了能够利用敌手破解一个困难的问题，它需要运行两次挑战过程，使得第二次挑战过程的输出结果和第一次的输出结果在开始一段时间内都是相同的，但是在某处之后就会发生改变，从而挑战者 $C$ 据此能够破解一个困难的问题，如离散对数问题。

(二)、基本内容

1、随机算法 $A$

$A(x,h_1,...,h_q,ρ)$ denotes its output on inputs $x$ , $h_1,...,h_q$ , and coins $ρ$ . Then $x$ is a public key, $h_1,...,h_q$ are replies to queries to a random oracle, $J$ is an integer in the range $0, . . ., q$ and $\sigma$ is a side output（ $J$ 是谕言机回答所对应的索引/指针， $\sigma$ 相当于部分签名，用来后面解决困难问题）
While means that we choose $ρ$ at random and let $(J,\sigma) = A(x,h_1,...,h_q,ρ)$ 相当于强调了敌手有随机选择的能力
The accepting probability of $A$ , denoted $a c c$ , is defined as the probability that $J \geq 1$ in the experiment，或者

2、分叉算法 $F_A$

在这里插入图片描述
或者

算法 $A$ 相当于敌手伪造签名的算法，其中 $I = 0$ 表示伪造签名失败。分叉算法 $F_A$ 就是利用算法 $A$ 输出同一个消息两个不同且有效签名的过程。

$f r k$ is the probability that $b = 1$

或者
概率 $a c c$ 和概率 $f r k$ 具有如下关系：

或者

其中 $q$ 是哈希询问次数， $h$ 是 $H$ 集合元素个数（ $h_1,...h_q$ 是从 $H$ 中随机选择），具体证明见参考文献²
一般分叉引理关于 $a c c$ 和 $f r k$ 的关系说明：如果存在一个敌手能够以概率 $a c c$ 伪造一个数字签名方案的有效签名，则存在一个算法 $F_A$ 通过利用敌手能够以 $\geq acc * (\frac{acc}{q} - \frac{1}{h})$ 的概率输出该签名方案两个有效且相关的不同签名。

(三)、分叉引理应用于Schnorr签名

1、Schnorr签名

在这里插入图片描述

2、随机算法 $A$

在这里插入图片描述

其中 $B$ is a forging algorithm that $q_S, q_H, \epsilon)-$ breaks the Schnorr signature scheme
算法 $A$ 调用伪造签名算法 $B$ ，在敌手的视角算法 $A$ 扮演挑战者 $C$ 的角色，回答敌手关于哈希和签名的询问
解释 $\enspace T[R \| m] \neq \bot \enspace then \enspace bad \leftarrow true$ ：
这个判断条件的意思是说，如果签名查询阶段的消息在哈希查询阶段被询问过，则 $\leftarrow true$
为什么签名查询的消息不能在哈希查询阶段被询问？原因：生成签名的顺序是先将消息进行哈希，再产生签名。而在敌手进行签名查询时，算法 $A$ 是先随机选择一个 $s$ ，然后构造 $R$ ，相当于先构造了签名，此时需要对消息的哈希进行更改，使之成为与 $s$ 和 $R$ 配对的消息哈希，即要修改 $\| m]$ 的取值为 $h_{ctr}^{'}$ ；而如果一开始敌手就在对消息进行哈希查询时碰巧选择了算法 $A$ 精心构造的 $R$ （当敌手查询 $\| m$ 的哈希值时，算法 $A$ 会选择一个随机数 $h_{ctr}$ 赋给 $\| m]$ ），此时在签名查询阶段更改后的 $\| m]$ (其取值为 $h_{ctr}^{'}$ ) 就会和之前的 $\| m]$ (其取值为 $h_{ctr}$ )产生碰撞（哈希同样的消息，产生不同的哈希值）。如果产生了碰撞，敌手就可以区分这不是一个真正随机谕言机，从而中止游戏，所以要避免这样的情况发生，就要规定签名查询的消息不能在哈希查询阶段被询问过。
如果敌手伪造的不是一个合法的签名，或者挑战签名之前被询问过，或者 $b a d$ 为 $t r u e$ ，则算法 $A$ 输出为0(也就是 $I = 0$ )，运行失败。
概率 $a c c$

$b a d$ 为 $t r u e$ 的概率：一次签名查询中的 $\| m]$ 和哈希询问中所有 $\| m]$ 中某一个 $\| m]$ 产生冲突的概率时 $\frac{q_H + q_S +1}{2^k}$ ，一共有 $q_S$ 次签名查询，就再乘以 $q_S$ 即可。

3、解决困难问题算法 $D$

Algorithm $D$ : ( $t^{'}, \epsilon^{'}$ )-solves the discrete logarithm problem

$F_A$ 是与算法 $A$ 关联的分叉算法，算法 $D$ 利用分叉算法 $F_A$ 输出的两个不同签名解决困难问题。
图中注释等号两侧 $R$ 一样。是因为分叉引理中两个分支中的哈希查询的内容都一样，只是在哈希结果中产生分叉。即产生相同消息的不同签名。

(四)、分叉引理应用于Schnorr多签名

1、Schnorr多签名

在这里插入图片描述

2、 $A$ 函数（对敌手询问的回复）

在这里插入图片描述

3、 $b a d = t r u e$ 的概率

在这里插入图片描述
要想使 $bad_2 = true$ ，则敌手询问过 $H_1(X\|R\|L\|m)$ ，可以分为敌手是否知道 $R$ 的取值这两种情况。
第一种，敌手知道 $R$ 的取值，并故意询问 $H_1(X\|R\|L\|m)$ 。已知 $R\leftarrow {\prod_{i=1}^n}\,R_i$ ， $R_1$ 由算法 $A$ 精心构造，与敌手独立， $R_2,...,R_n$ 敌手知道，所以如果敌手知道 $R$ ，则必然知道 $R_1$ ，则曾经询问过 $H_0(R_1)$ ，所以敌手知道 $R$ 的概率就是敌手曾询问过 $H_0(R_1)$ 的概率： $\frac{q_S(q_H+n_{max}q_S)}{p}$ (其中 $p$ 为群的阶，即群中元素个数；参与任何签名查询或伪造的集合 $L$ 中的公钥数最多为 $n_{max}$ )。
第二种，敌手不知道 $R$ 的取值，只是碰巧询问过 $H_1(X\|R\|L\|m)$ ，所以易知第二种的概率为 $\frac{q_S(q_H+q_S)}{p}$ 。