Рейтинг:2

Количественная надежность схемы подписи, полученная преобразованием Фиата-Шамира

флаг ng

Я ищу количественное, но простое доказательство EUF-CMA безопасность схемы подписи, полученной преобразованием Фиата-Шамира.

Напомним, преобразование Фиата-Шамира начинается с протокола трехпроходной идентификации с сообщениями. $(я,р,с)$, куда $I$ это обязательство доказывающего, вызов $г$ выбирается равномерно случайным образом в множестве $\Омега$ по верификатору, $s$ является доказательством. Он использует хэш $Ч$ в $\Омега$.

Генерация пары ключей $(\mathrm{pk},\mathrm{sk})$ в схеме подписи как в протоколе идентификации. Подписать сообщение $ млн $, прувер генерирует $I$ как и в протоколе идентификации, вычисляет $r:=H(I,M)$, тогда $s$ как в протоколе опознания, то подпись¹ $\сигма:=(I,s)$. Алгоритм проверки вычисляет $r:=H(I,M)$ затем применяет ту же процедуру проверки, что и протокол идентификации, то есть проверку $\mathcal V(\mathrm{pk},r,s)=I$.

К количественный, я имею в виду, что мы предполагаем, что противник может взломать схему подписи с вероятностью не менее $\эпсилон$ со временем/усилиями $t$, $Q_S$ запросы к сигнатурному оракулу, $Q_H$ запросы к хеш-оракулу и получить некоторую верхнюю границу вероятности того, что злоумышленник сможет взломать схему идентификации, затратив некоторое время/усилия.

Меня устраивает граница, которая находится в пределах постоянного коэффициента от оптимального; требуя любого правдоподобного свойства схемы идентификации с тремя проходами, такого как $I$ быть равномерно случайным в некотором достаточно большом множестве; $Ч$ моделируется как случайный оракул; любой алгоритм, являющийся случайным полиномиальным временем или даже сделанный детерминированным (включая использование PRG, засеянного $\mathrm{sk}$ и $ млн $ для случайной ленты алгоритма генерации $I$, что делает подпись детерминированной).

Я знаю, что стандартная ссылка - это Дэвид Пойнтшеваль и Жак Стерн. Аргументы безопасности для цифровых подписей и слепых подписей, в Журнал криптологии, 2000 г., а хотелось бы что-то попроще и поконцентрированнее.


¹ Подпись также может быть $\сигма:=(r,s)$ или же $\сигма:=(I,r,s)$, и между этими тремя существует сравнительно простое и жесткое снижение безопасности.

ckamath avatar
флаг ag
А как насчет теоремы 19.7 (стр. 733) в учебнике [Боне и Шоуп] (https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736)?
fgrieu avatar
флаг ng
@ckamath: Да, [эта теорема 19.7] (https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736) тесно связана. В основном, это доказательство более сложное, чем я мечтаю, и мне удается полностью следовать ему до сих пор. Я смутно надеюсь на более простое доказательство, даже если оно будет стоить несколько менее жесткой границы или батута. Кроме того, что важно, эта теорема сформулирована для протокола идентификации и подписи Шнорра, и я недостаточно хорошо следил за доказательством, чтобы решить, использует ли оно довольно специальные свойства этого протокола идентификации.
ckamath avatar
флаг ag
[Теорема 19.14] (https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) обобщает теорему 19.7 на протоколы Sigma. Я полагаю, вы ищете более простое доказательство этого?
fgrieu avatar
флаг ng
@ckamath: [Теорема 19.14] (https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) говорит, что мы можем создать безопасный протокол идентификации из сигма-протокола. Я предпочитаю доказательство [теоремы 19.16] (https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=757), достаточно простое, чтобы мне удалось его полностью понять.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.