假設 DL 安全,DSA 和 ECDSA 是否可以證明是安全的?
假設相關組表示中的離散對數很困難,是否有證據表明 ECDSA 也使用的 DSA 結構是安全的?
((EC)DSA算法涉及兩個函式:(i)“轉換函式” $ f $ , 對於 DSA 來說是一個模 $ q $ 操作和 ECDSA 是模 $ q $ 操作應用於 $ x $ - 輸入點的座標;(ii) $ H $ 應用於消息的加密雜湊函式。)
棕色的
$$ B $$表明 DLP 在通用組模型 和轉換函式的理想化建模下意味著 ECDSA 的安全性 $ f $ . 第二個假設特別不現實,因為在 (EC)DSA 中它是通過簡單的模運算來實現的。 Fersch 等人最近有一些結果。
$$ FKP1,FKP2 $$試圖放鬆上述假設。在$$ FKP1 $$結果表明,在轉換函式的假設較弱(但仍然相當強)下 $ f $ (並且在雜湊函式的一些合理假設下 $ H $ ) DLP 意味著 (EC)DSA 的安全性。也許具有最合理假設的安全論證在$$ FKP2 $$. 在那裡,假設散列函式 $ H $ 被建模為隨機預言機,並且簽名者每條消息最多發布一個簽名,那麼 EC(DSA) 是不可偽造的當且僅當它們是僅密鑰不可偽造的(這也適用於其他方案,如俄羅斯GOST 34.14和中國SM2)。不知道(EC)DSA的僅密鑰安全性是否會降低到 DLP。 因此,簡而言之,答案是否定的,不是在合理的假設下。
(但是請注意,(EC)DSA 有很接近的變體,最值得注意的是 Schnorr 簽名和 Brickell 等人的方案
$$ B+ $$這確實伴隨著隨機預言模型的安全性降低。同樣令人費解的是,為什麼自 Schnorr 的專利於 2008 年到期以來仍在使用 (EC)DSA。) $$ B $$棕色的。泛型組、抗碰撞性和 ECDSA。 $$ B+ $$布里克爾等人。基於離散對數的簽名方案的設計驗證。PKC'00。 $$ FKP1 $$Fersch、Kiltz 和 Pöttering。關於 (EC)DSA 簽名的可證明安全性。CCS'16。 $$ FKP2 $$Fersch、Kiltz 和 Pöttering。關於 (EC)DSA 及其變體的單條消息不可偽造性。TCC'17。