密码学归约证明——一次性签名方案

1. 单向函数求逆实验$Inver{t}_{A,f}(n)$

\qquad 算法$A$、安全数值$n$：

• 选择输入 x ← { 0 , 1 } n x\leftarrow \{0,1\}^n x←{0,1}n，计算$y=f(x)$；
• $1^n$和$y$值作为$A$的输入，输出为$x^{\prime }$；
• 若$f(x^{\prime })=y$，则输出$1$，否则$0$。

\qquad 注意：敌手没有选择$y$的权力。

2. 单向函数

\qquad 单向函数 f : { 0 , 1 } ∗ → { 0 , 1 } ∗ f:\{0,1\}^*\rightarrow \{0,1\}^* f:{0,1}∗→{0,1}∗满足：

• $\forall x$，$\exists$多项式时间算法$M_f$，使$M_f(x)=f(x)$；
• $\forall$多项式时间算法$A$，$\exists negl$，满足$Pr[Inver{t}_{A,f}(n)=1]\le negl(n)$。

3. 一次签名实验$Signforg{e}_{A,\Pi }^{1-time}(n)$

• $(pk,sk)\leftarrow Gen(1^n)$；
• $A$输入$1^n$和对$Sig{n}_{sk}(\cdot )$的一次查询$m^{\prime }$，输出$(m,\sigma )$；
• 当且仅当$Vrf{y}_{pk}(m,\sigma )=1$实验输出$1$。

\qquad 一次性签名方案满足：对任意的多项式时间敌手$A$，$\exists negl$，满足$Pr[Signforg{e}_{A,\Pi }^{1-time}(n)=1]\le negl(n)$。

4. Lamport的一次签名

\qquad 设$f$是单向函数。

• $Gen$： ∀ i ∈ { 1 , ⋯   , l } \forall i\in \{1,\cdots ,l\} ∀i∈{1,⋯,l}，选择随机的两个函数输入 x i , 0 , x i , 1 ← { 0 , 1 } n x_{i,0},x_{i,1}\leftarrow \{0,1\}^n xi,0​,xi,1​←{0,1}n；计算$y_{i,0}=f(x_{i,0})$，$y_{i,1}=f(x_{i,1})$；构成$2$个$2\times l$的矩阵，$x_{i,j}$构成私钥，$y_{i,j}$构成公钥。
• $Sign$：$m=m_1\cdots m_l$，输出$\sigma =(x_{1,m_1},\cdots ,x_{l,m_l})$。
• $Vrfy$： ∀ i ∈ { 1 , ⋯   , l } \forall i\in \{1,\cdots ,l\} ∀i∈{1,⋯,l}，若有$f(x_i)=y_{i,m_i}$，输出$1$。

5. 一次性签名方案的安全性

\qquad 设$l$为任意多项式。若$f$为单向函数，则上述构造方案$\Pi$是一次性签名方案。

\qquad 考虑算法$I$，目的是对单向函数$f$求逆：输入$y$和$1^n$，

• 随机选择 i ∗ ← { 1 , ⋯   , l } i^*\leftarrow \{1,\cdots,l\} i∗←{1,⋯,l}和 b ∗ ← { 0 , 1 } b^*\leftarrow \{0,1\} b∗←{0,1}。设$y_{i^{\ast },b^{\ast }}=y$。
• 对任意的 i ← { 1 , ⋯   , l } i\leftarrow \{1,\cdots ,l\} i←{1,⋯,l}和 b ← { 0 , 1 } b\leftarrow \{0,1 \} b←{0,1}，且$(i,b)\ne (i^{\ast },b^{\ast })$，选择 x i , b ← { 0 , 1 } n x_{i,b}\leftarrow \{0,1\}^n xi,b​←{0,1}n并设$y_{i,b}=f(x_{i,b})$。
• 输入$pk=\left(\begin{array}{c}{y}_{1,0},y_{2,0},\cdots ,y_{l,0}\\ y_{1,1},y_{2,1},\cdots ,y_{l,1}\end{array}\right)$，运行$A$。
• 当$A$请求消息$m^{\prime }$的签名时，如果$m_{i^{\ast }}^{\prime }=b^{\ast }$，停止（实验失败）；否则返回正确的签名$\sigma =(x_{1,m_1^{\prime }},\cdots ,x_{l,m_l^{\prime }})$。
• 当$A$输出$(m,\sigma )$且$\sigma =(x_1,\cdots ,x_l)$，若$A$输出一个在$(i^{\ast },b^{\ast })$上的伪造，则输出$x_i^{\ast }$。

\qquad 当$A$输出一个在$(i^{\ast },b^{\ast })$上的伪造时，算法$I$对输入$y$成功求逆。考虑“理想情况”：在开始时，将$x$给$I$，设$x_{i^{\ast },b^{\ast }}=x$，此时在第四步步骤中将总是返回签名$\sigma$。此时$A$作为子程序所见情形，与实验$Signforg{e}_{A,\Pi }^{1-time}(n)$中相同。由于在实验开始时，随机选择$(i^{\ast },b^{\ast })$，可以理解为$A$独立于此选择，则$A$在$(i^{\ast },b^{\ast })$处输出伪造的概率为$\frac{1}{2l(n)}$ 。因为一次签名伪造意味着至少存在一个点$(i,b)$的伪造，而一共有$2l(n)$个点。因此，$A$在$(i^{\ast },b^{\ast })$处输出伪造的概率至少为$\frac{Pr[Signforg{e}_{A,\Pi }^{1-time}(n)=1]}{2l(n)}$。
\qquad 考虑“现实情况”：如果$A$输出在$(i^{\ast },b^{\ast })$处的伪造，“理想情况”和“现实情况”一致。即如果$A$请求消息$m^{\prime }$的签名且$m_{i^{\ast }}^{\prime }=b^{\ast }$，$A$不可能输出在$(i^{\ast },b^{\ast })$处的伪造。因此，$A$在$(i^{\ast },b^{\ast })$处输出伪造的概率仍然至少为$\frac{Pr[Signforg{e}_{A,\Pi }^{1-time}(n)=1]}{2l(n)}$。
于是$Pr[Inver{t}_{I,f}(n)=1]\ge \frac{Pr[Signforg{e}_{A,\Pi }^{1-time}(n)=1]}{2l(n)}$，所以

$Pr[Signforg{e}_{A,\Pi }^{1-time}(n)=1]\le 2l(n)\cdot negl(n)$。

6. 参考文献

乔纳森.卡茨，耶胡达.林德尔著，任伟译，现代密码学——原理与协议，国防工业出版社，2017年第一版第4次印刷.