BLS+ with Random Oracle； BLS 改进方案在随机谕言机模型下的安全证明；内容小结

BLS+ with Random Oracle; BLS 改进方案在随机谕言机模型下的安全证明；内容小结

密码学安全规约推荐书目（系列博客内容为这两本书学习笔记与内容小结）:

《密码学中的可证明安全性》杨波 清华大学出版社

《Introduction to Security Reduction》Fuchun Guo;Willy Susilo;Yi Mu Springer

BLS改进方案描述

                     

                     

1. Setup 阶段与BLS方案相同；

2. KeyGen 阶段与BLS方案也相同；

3. Sign 阶段签名由两个部分组成，一个随机数c,一个BLS类似的签名形式，要求对于一个签名消息m总是使用相同的比特c。

4. Verify 阶段形式上与BLS方案类似；

安全证明方法1--- 宽松规约安全证明:

第一种证明方法类似上一篇BLS原本的签名方案的证明方法，同样是运用随机谕言机模型。但是一种松散的规约，规约的损耗银子为qH, 与全部的哈希请求次数成正比。

定理描述如下：

                     

与上一篇BLS使用随机谕言机证明方法一样，区别仅仅是在随机谕言机列表中多增加一个表项c.

                                               

我模仿原来BLS协议的证明，写了一个大概的过程供读者参考。

安全证明2---紧规约安全证明

这里之所以能够做到紧规约安全证明，主要原因是使用了随机盐的技术，就是说那个标志C的作用。

证明过程如下：

                        

规约损失为L=2；

                       

1、敌手可以请求C 和 M的哈希结果，如果早已经存在于列表中，则返回列表中的内容；

2、如果列表中不存在，则随机选择x 按照上述过程计算哈希请求，加入列表；

                  

1、对于签名请求，模拟者根据条目中x的选择不同计算签名不同。

2、不论x的取值，这里可以发现所获得的的签名都是可模拟的签名。

                    

1. 敌手仿造一个签名，其中访问的c需要和x相同。

敌手成功的概率：

            显然，敌手所能进行的访问选择c值不是0就是1，只有两种结果，敌手并不能区分出哪个请求的回复是可模拟的，哪个请求的回复是可规约的。所以说，敌手随机的选择C值与X相等的概率是二分之一。敌手在请求签名询问时的任意消息，模拟者都会返回一个可模拟签名。当敌手仿造签名时，得到的一定是一个可规约签名，并且得到这个签名的概率是二分之一。敌手可以请求C=0 或者 C=1 一个是可规约的签名，一个是可模拟的签名，敌手发起有用攻击的概率就是二分之一。

所以：

                 

两种证明方法的不同点：

1. 第一种方法假设敌手只有在第J次访问随机谕言机时发起能够解决潜在困难问题的攻击。

2. 第二种方法使得敌手在任何时候仿造签名的时候有二分之一的概率发起能够解决潜在困难问题的攻击。

3. 一般能用第一种方法证明的方案也可修改为第二种方案得到紧规约安全证明。