Я пытаюсь выяснить, существует ли известная конструкция постквантовой защищенной схемы безопасной подписи EUF-CMA, для которой процедура подписи является детерминированной.
Кажется, что можно «определить» рандомизированную схему подписи, которая использует ограниченную степень случайности, с помощью постквантовой PRF: выбрать ключ k для PRF и присоединить его к закрытому ключу схемы подписи. При подписании сообщения m используйте PRF_k(m) вместо случайных битов.Кажется, это можно было бы также распространить на общую случайность со стандартными аргументами (например, использовать PRF_k(m), PRF_k(m+1) и т. д. для генерации достаточного количества случайных битов).
Интуитивно мне кажется, что если исходная схема надежно защищена от EUF-CMA, то такой же должна быть результирующая схема (поскольку статистическая разница во взглядах одного и того же противника в играх безопасности двух схем, по-видимому, подразумевает различие между PRF и PRF). и действительно случайная функция).
Также кажется, что можно легко преобразовать детерминированную слабую схему безопасности EUF-CMA в надежную с помощью криптографических хеш-функций: присоединить хэш подписи к подписи. Это сделает подпись рендеринга, которая могла быть принята процедурой проверки, даже если она не была создана процедурой подписи, недействительной, если противник не может найти коллизию в хеш-функции.
Являются ли эти интуиции надежными, или я упускаю важную тонкость? Что еще более важно, они уже появляются где-нибудь в литературе? Я не мог найти ничего полезного.
