第九章--可证明安全性理论.pptVIP

算法BA的目标是恢复出x。既然我们有 ，我们一定有 。所以我们有： 既然 ，则A≠0。算法BA就能够通过下式求解要求的离散对数问题。 下面显示Schnorr签名方案在积极攻击下也是安全的。 为了能够在积极攻击下提供证明，我们需要显示算法BA是如何回答算法A的签名询问的。为了做到这一点，我们利用随机预言模型。我们利用算法BA能够选择Hash函数输出的能力。 在没有私钥的情况下，算法BA给出签名的过程称为签名询问的模拟。签名询问的模拟说明了在随机预言模型中积极攻击并不比被动攻击更具有威力。任何积极攻击都可以通过模拟签名询问来转变为被动攻击。 下面给出在Schnorr签名方案中签名询问的模拟过程。我们假设模拟器保存一个列表L，该列表记录以前的随机预言询问，当输入一个消息m时，模拟器执行以下步骤： ①选择随机数s和u ②计算r=gsy?u。 ③如果 ，模拟器返回到步骤①。 ④设置L=L∪(r||m, u)，即当输入(r||m)时，Hash预言总是回答u。 ⑤输出签名(u, s)。 以上过程确实生成了一个合法签名。也就是说，假设h是一个随机预言，对于算法A来说，上述的模拟与一个真实的签名算法是不可区分的。因此，我们有下面的定理。 定理3 在随机预言模型中，假设离散对数问题是一个困难问题，Schnorr签名方案在积极攻击下是安全的。 RSA-PSS RSA数字签名方案是不安全的，一个解决办法是使用称为RSA-PSS （probabilistic signature scheme）的系统。在RSA问题是困难的假设下，RSA-PSS在随机预言模型中被证明是安全的。 RSA数字签名方案一样，我们生成一个模数n，一个公钥e和一个私钥d。假设安全参数为k（n是k比特的数），我们定义两个整数k0和k1并且满足：k0+k1≤k?1 然后我们定义两个Hash函数：一个扩展数据，一个压缩数据。 我们设 表示返回G(w)( )的前k0个比特的函数，设： 表示返回G(w) 的后k?k0?k1?1个比特的函数。 为了对一个消息m进行签名，签名者执行以下步骤： ①生成一个随机数 。 ②计算w=H(m||r)。 ③设置y=0||w||(G1(w)⊕r)||G2(w)。 ④计算s=yd mod n。 ⑤消息m的签名为s。 为了验证一个签名(m, s)，验证者执行以下步骤： ①计算y=se mod n。 ②将y分解成： 其中b的长度为1比特，w的长度为k1比特，? 的长度为k0比特,? 的长度为k?k0?k1?1比特。 ③计算r =?⊕G1(w)。 ④当且仅当下列等式成立时，接受该签名： 如果我们把G和H看成是随机预言，我们可以显示上述的签名算法是安全的。如果有一个算法能够存在性伪造一个消息的签名，我们就能构造一个新算法来解决RSA问题。 Efficient and Provably-Secure Identity-Based Signatures and Signcryption from Bilinear Maps 下载地址：lifagencourse@163.com,密码uestc12 ElGamal的安全性 ElGamal密文为： (gk, mhk) 其中k是一个随机整数，h是公钥。 给定gx、gy和gz，解决DDH问题的算法B执行如下步骤： ①令h=gx。 ②（m0, m1, s）=A（寻找阶段, h）。 ③设置c1=gy。 ④从{0,1}中随机选择一个数b。 ⑤设置c2=mbgz。 ⑥b?=A（猜测阶段, (c1, c2), h, m0, m1, s）。 ⑦如果b = b?，输出“TRUE”，否则输出“FALSE”。 下面解释为什么算法B解决了DDH问题。 当z = xy，在猜测阶段输入给算法A的将是mb的一个合法加密。如果算法A真正能够攻破ElGamal的语义安全性，那么输出的b?将是正确的，算法B将输出“TRUE”。 当z?xy时，在猜测阶段输入给算法A的几乎不可能是合法的密文，即不是m0或m1的加密，在猜测阶段输出的b?与b将是独立的。因此，算法B将以相等的概率输出“TRUE”或“FALSE”。 ElGamal的安全性 引理5 ElGamal加密体制是可展的。 证明：给定密文： (c1, c2)=(gk, mhk) 敌手可以在不知道m、随机数k、私钥x的情况下产生消息2m的合法密文： (c1, 2c2)=(gk, 2mhk) ElGamal的安全性 引理6 ElGamal加密