模型
一个数字签名方案包含如下4个算法:
SysGen: 输入系统安全参数 λ \lambda λ. 返回系统公共参数 S P SP SP.
KeyGen: 输入系统公共参数 S P SP SP. 返回一对公私钥 ( p k , s k ) (pk,sk) (pk,sk).
Sign: 输入消息 m m m,私钥 s k sk sk,和系统公共参数 S P SP SP. 返回消息 m m m的签名 σ m \sigma_m σm.
Verify: 输入消息-签名对 ( m , σ m ) (m,\sigma_m) (m,σm),公钥 p k pk pk,和系统公共参数 S P SP SP. 若 σ m \sigma_m σm是使用 s k sk sk为 m m m所签的有效签名,返回 a c c e p t accept accept;否则,返回 r e j e c t reject reject.
对于数字签名,我们一般考察其不可伪造性,可分为存在不可伪造(existentially unforgeable,EU)和强不可伪造(strongly unforgeable,SU)
抗随机消息攻击安全,RMA-Security
数字签名的RMA安全性是通过一个由挑战者(challenger)和攻击者(adversary)参与的游戏来刻画的。
一个数字签名是EU-RMA安全的,如果对于所有的多项式 l ( ⋅ ) l(\cdot) l(⋅)和所有的概率多项式时间(PPT)攻击者,攻击者在如下的游戏中获胜的概率是可以忽略的:
Setup. 设 S P SP SP是系统公共参数。挑战者均匀随机地选取一个消息序列 m 1 , m 2 , . . . , m l m_1,m_2,...,m_l m1,m2,...,ml. 挑战者执行KeyGen ( S P ) (SP) (SP),得到一对公私钥 ( p k , s k ) (pk,sk) (pk,sk),挑战者将 p k pk pk发送给攻击者,保留 s k sk sk以应对攻击者的签名查询。
Query. 挑战者计算签名 σ 1 ← \sigma_1\leftarrow σ1←Sign s k ( m 1 ) , . . . , σ l ← _{sk}(m_1),...,\sigma_l\leftarrow sk(m1),...,σl<
最低0.47元/天 解锁文章
3201
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
