看完方案后我给自己提出几个问题:
- 问题实例中放在那里,这里模拟器将,。
- 随机预言机的输出在这里起到什么作用?
- 签名的可模拟性设计要怎么设计?
BLS+和BLS方案的不同之处就在于签名不同,这里出现了random coin c。
因此,我在提出这三个问题的时候,自己给出了自己认为的答案。
首先第一个问题,和BLS方案一样,我觉得应该是要作为随机预言机的一种输出类,当符合某种条件的时候。
第二个问题,随机预言机的输出应该也是trapdoor,让模拟器可模拟签名。
第三个问题,具体应该讲,可模拟和可归约的签名要长怎么样?
在安全规约导论中4.12.1章节中,提到H-type的签名构造:
可模拟体现在当x=0时,其中y时模拟器随机选的:
可归约是因为:
从上到下来看都觉得BLS+可以就用BLS的安全证明感觉也行啊,就是哈希询问的时候,添加c的过程。
模拟器一开始设定一个,当敌手第i次询问如果i=j就时归约的一种情况。
H-Query:
签名是合法的因为,这个是模拟器可以算出来的。因此最后其实解决困难问题也是通过当i=j的时候,用。
因此我并不明白这个方案提出来的意义。
但是当我看到下面这一段话(看书要看仔细)。
With a random salt, we can modify the BLS scheme into the BLS+scheme using a random bit.
可以说,BLS的方案他是一个松归约,成功归约的概率是,而加入了c,可以然归约变成紧归约,成功的概率是1/2。
大概的思路就是,当c=x的时候我们就让他是可归约的,否者就让他是可模拟的。这一下子,就让在模拟成功的情况下敌手发起有用攻击的概率不在和询问次数有关了。
以下就是利用c达到紧归约的过程