Я знаю, что это очень специфический вопрос, но я все же надеюсь, что кто-то может мне помочь. Я пытаюсь немного лучше понять безопасность короткой подписи Шнорра. Параметр безопасности $к$. Подпись Шнорра $\сигма = (с,е)$ с $s,e \in \mathbb{Z}_q$ имеет длину подписи $4k$ биты ($s$ и $е$ имеют $2k$ биты, $е$ является хеш-выводом). Короткая подпись Шнорра использует более короткий хеш-выход $к$ битовой длины, так что результирующая подпись имеет длину $3k$ биты. Судя по всему, короткая подпись Шнорра имеет тот же уровень безопасности, что и «обычная» подпись Шнорра. Как указано в доказательствах безопасности на последней странице бумаги «Безопасность подписанного шифрования Эль-Гамаля», Шнорр, Якобссон (стр. 85). Я просто процитирую ту часть, которую я не понимаю, и надеюсь, что кто-нибудь сможет мне это объяснить, и мне не придется давать дополнительный контекст.
... CCA-атакующий не преуспевает лучше, чем с вероятностью
$\frac{1}{2}+t^2/q+l(2^{-k}-\frac{1}{q})$, куда $л$ это количество
взаимодействия с дешифратором. Это показывает, что случайные хеш-значения могут
безопасно перемещаться по набору $\квт д$ ценности.
( $q \приблизительно 2^{2k}$ )
Заранее большое спасибо!