概述
密码学中数字签名方案的安全模型主要包括两种: 存在性不可伪造(Existential Unforgeability against chosen-message attacks, EU-CMA)和强不可伪造(Strong Unforgeability against chosen-message attacks, SU-CMA), 本文主要对比这两种安全模型.
两种安全模型都是通过敌手(Adversary)和挑战者(Challenger)之间的游戏(Game)来定义的. 首先挑战者生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手, 自己保存 s k sk sk 用来生成签名. 敌手可以自适应地提交任意消息, 挑战者根据敌手提交的消息生成对应的签名并返回给敌手. 最后, 敌手返回一个伪造的对未查询过的新消息的签名.
EU-CMA
存在性不可伪造(EU-CMA)安全模型可以用如下Game描述:
Setup. 假设 S P SP SP 为系统参数. 挑战者执行密钥生成算法, 生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手. 挑战者保留 s k sk sk 用来回答敌手的签名查询.
Query. 敌手自适应地选取任意消息 m i m_i mi 进行签名查询. 对于敌手提交的消息 m i m_i mi, 挑战者执行签名算法生成 σ m i \sigma_{m_i} σm