数字签名中的存在性不可伪造(EU-CMA)与强不可伪造(SU-CMA)

最新推荐文章于 2023-07-09 15:15:39 发布
最新推荐文章于 2023-07-09 15:15:39 发布
阅读量7.4k 收藏 39
点赞数 9
分类专栏: 复杂性理论与安全规约 文章标签: 数字签名 安全模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fxyburan/article/details/89373640
版权
本文介绍了密码学中数字签名的两种安全模型——存在性不可伪造(EU-CMA)和强不可伪造(SU-CMA),通过敌手与挑战者之间的游戏来定义。EU-CMA要求伪造的签名对应的消息在之前未被查询,而SU-CMA更严格,只要求伪造的签名本身未被查询。SU-CMA提供更强的安全保障。
摘要由CSDN通过智能技术生成

概述

密码学中数字签名方案的安全模型主要包括两种: 存在性不可伪造(Existential Unforgeability against chosen-message attacks, EU-CMA)和强不可伪造(Strong Unforgeability against chosen-message attacks, SU-CMA), 本文主要对比这两种安全模型.

两种安全模型都是通过敌手(Adversary)和挑战者(Challenger)之间的游戏(Game)来定义的. 首先挑战者生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手, 自己保存 s k sk sk 用来生成签名. 敌手可以自适应地提交任意消息, 挑战者根据敌手提交的消息生成对应的签名并返回给敌手. 最后, 敌手返回一个伪造的对未查询过的新消息的签名.

EU-CMA

存在性不可伪造(EU-CMA)安全模型可以用如下Game描述:
Setup. 假设 S P SP SP 为系统参数. 挑战者执行密钥生成算法, 生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手. 挑战者保留 s k sk sk 用来回答敌手的签名查询.
Query. 敌手自适应地选取任意消息 m i m_i mi 进行签名查询. 对于敌手提交的消息 m i m_i mi, 挑战者执行签名算法生成 σ m i \sigma_{m_i} σm

最低0.47元/天 解锁文章
啥都不会可咋办
关注
专栏目录
数字签名方案下的安全模型EUF-CMASUF-CMA
weixin_44170239的博客
09-21 3332
11
EUF-CMA
GoodLuckAC的博客
06-10 2297
EUF-CMA
数字签名
12-23 4244
通信仅使用数字签名不能保证保密服务。 在普通数字签名,签名者使用签名者的私钥进行信息签名。 在失败--停止签名,签名的公钥对应多个私钥。 在前向安全签名,除了签名者以外还有人能够生成有效签名。 在数字签名方案,不仅可以实现消息的不可否认,而且还能实现消息的完整,机密。 普通数字签名一般有三个过程,分别是系统初始化过程,签名产生过程,签名验证过程。 1994年12月美国
什么样的签名是安全
sunyang8901562的专栏
12-16 943
签名肯定是可以被伪造的,只是概率大小的问题,当选择的密文空间足够大时,伪造者能够猜到的概率就越低,而且对于拥有无限计算时间和计算能力的敌手而言,对于固定的m,总能试验出对应的签名。 那么定义安全就是说敌手在多项式时间内伪造签名的概率是可忽略的。 但是对于签名有一个问题是,签署了m,但是单纯的验证不能够知道m到底是什么时候签署的。 对于伪造签名又分为两种概念:1存在不可伪造,对于之前未曾签署
MAC与数字签名安全模型联系与区别
mingtian20112020的博客
04-20 1950
MAC与数字签名的联系与区别
密码学归约证明——基于伪随机函数的消息鉴别码方案
BearPipy的博客
12-23 343
针对密码学基于伪随机函数的适应选择消息攻击下不可伪造的的定长消息鉴别码方案的安全证明给出文字表述。
不可伪造的基于身份服务器辅助验证签名方案
01-14
标准模型下的基于身份签名方案大多数是存在不可伪造的,无法阻止攻击者对已经签名过的消息重新伪造一个合法的签名,并且验证签名需要执行耗时的双线对运算。为了克服已有基于身份签名方案的安全依赖和计算...
密码学学习笔记(十):Digital Signatures - 数字签名1
最新发布
weixin_54634208的博客
07-09 803
主要介绍了数字签名和更多的RSA
密码学 数字签名
Gzb1128的栖息地
11-20 675
数字签名
可证明安全
hhh_2333
06-17 3004
语义安全表示为攻击者即使已知某个消息的密文,也得不出该消息的任何部分信息,即使是1比特的信息。 在完美保密,对于等长的消息m,m属于可被该加密算法加密的消息空间,当m用密钥k加密后,加密结果无法得到m的任何信息。
《现代密码学》学习笔记——第六章 消息认证和杂凑算法
YSL_Lsy_的博客
07-01 1026
  Hash函数 H:{0,1}*→{0,1}n(就是将任意长度的0,1序列映射到一个固定长度),又称改动检测码MDC、杂凑函数、哈希函数等等。原像空间{0,1}*称为消息空间,可用M表示,消息是任意有限长度的。像空间{0,1}n称为hash值空间,hash值(散列值、消息摘要)长度固定为n。Hash函数可以用来保护消息的完整。  函数若满足下列两个条件,则称之为单向函数: (1) 计算f(x)是容易的,即f(x)是多项式时间可计算的; (2)计算f函数的逆f-1(x)是困难的,即对每一多项式时间概率算
选择消息攻击下存在不可伪造的短签名方案,Dan Boneh
sunyang8901562的专栏
12-17 2538
DSA签名方案是一个比较长的签名,为了改进这种情况,缩短签名长度,提出了一种BLS签名来缩短长度,BLS签名的问题是基于椭圆曲线CDH问题,虽然缩短了长度,但是仍然是一个随机预言机模型下的选择消息攻击下的存在不可伪造的签名方案。 这篇短签名的论文实现的是不需要随机预言机模型就可以构造的一种CMA存在不可伪造的,而且还足够短,和BLS一样短。这论文是基于q -SDH问题的。 此篇论文之前,没有
数字签名及其安全模型
lanseon的博客
02-23 1805
模型 一个数字签名方案包含如下4个算法 SysGen: 输入系统安全参数λ\lambdaλ. 返回系统公共参数SPSPSP. KeyGen: 输入系统公共参数SPSPSP. 返回一对公私钥(pk,sk)(pk,sk)(pk,sk). Sign: 输入消息mmm,私钥sksksk,和系统公共参数SPSPSP. 返回消息mmm的签名σm\sigma_mσm​. Verify: 输入消息-签名对(m,σ...
数字签名原理及其应用
热门推荐
那些零零散散的算法
06-25 5万+
签名的作用无非就是证明某个文件上的内容确实是我写的/我认同的,别人不能冒充我的签名(不可伪造),我也不能否认上面的签名是我的(不可抵赖)。 我们知道,手写签名之所以不能伪造,是因为每一个人的笔迹都是独一无二的,即使模仿,也可以通过专家鉴定分别出来。而不能抵赖,是因为每个人的笔迹都有固定特征,这些特征是很难摆脱的。 正是这两点特使得手写签名在日常生活被广泛承认,比如签合同、借条等等。 而数字签名
数字签名算法2--可证明安全与EIGamal算法
qq_38324605的博客
10-17 4706
密码学可证明安全 可证明安全理论基础: 一般来讲,可证明安全是指利用数学的反证法思想,采用一种“归纳”方法。 协议的安全目标:加密方案的安全目标是确保信息的机密,签名方案的安全目标是确保签名的不可伪造。 敌手目标:加密方案,敌手的目标就是能够区分挑战密文所对应的明文;在签名方案,敌手的攻击目标就是可以获得签名者私钥,也可以说能对任意消息伪造签名或者伪造出一个特定消息的有效签名。 极微本原:密码原语,是指安全方案或者协议的最基本组成构建或者模型,例如某个基础密码算法或者数学难题。 步骤: (1)
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值