帶有碰撞的數字簽名

讓我們假設一個數字簽名方案，兩個隨機消息具有相同簽名的機率為 0.2。

我怎樣才能利用這個sheme？

由於消息必須是隨機的，因此我很難找到漏洞利用。

正式地，簽名方案被破壞，只要你可以生成一個你以前沒有得到的消息簽名對。

因此，生成一大堆（隨機）消息對 $ (m_1,m_2) $ ，並要求一個人簽名 $ (m_1) $ 其中並驗證簽名是否也驗證了另一條消息是一種策略，它將為您產生一個新的消息簽名對 $ (m_2,s_1) $ 不如早點晚點。

現在，如果您想對上述含義進行令人印象深刻的展示，您可以生成一大堆最終實體 X.509 證書（只是序列號不同？）和一大堆 X.509 中間 CA 證書. 簽名者將是僅通過簽署證書雜湊來頒發最終實體證書的 CA。因此，您的消息成為證書的雜湊值（在計算上與隨機字元串無法區分），您很快就會獲得 EE 證書的簽名，該證書也驗證中間 CA 證書之一，因此您已經成功偽造了一個（有效）中間 CA 證書，並且可以使用此證書執行 havok。

引用自：https://crypto.stackexchange.com/questions/35650