Rsa
RSA-FDH 簽名方案 EUF-CMA
我知道如果原始消息的散列與其目前消息的散列相同,則攻擊者能夠偽造消息的攻擊。問題是,如果所討論的散列函式是抗衝突的,RSA-FDH 是否仍有可能成為 EUF-CMA。讓我們舉個例子 $ H(x) = 3x \mod N $ . 3是素數,N也總是素數。在這種情況下,該功能是抗碰撞的,但儘管如此,是否仍有可能打破 RSA-FDH 的 EUF-CMA?
在這種情況下,該功能是抗碰撞的,但儘管如此,是否仍有可能打破 RSA-FDH 的 EUF-CMA?
是的,因為對安全性的要求是雜湊函式像隨機預言機一樣起作用,而不是抗碰撞。
為了說明這一點,考慮“散列函式” $ H(x)=x $ 這顯然是抗碰撞的。然而,用這個雜湊實例化的 RSA-FDH 並不安全,因為它實際上是教科書 RSA,它遭受通常的小指數和同態攻擊(這也適用於 $ H(x)=3x\bmod N $ ).
這當然會提出“為什麼,我們需要這個更強的假設?”的問題。主要原因是“RSA問題” - 提取 $ x $ 從 $ x^e\bmod N $ 為適當選擇 $ N $ 和 $ e $ - 並不總是很難。只有在困難的時候 $ x $ 是隨機均勻選擇的,這就是雜湊函式在這裡應該做的事情。
讓我注意,沒有特定的功能是隨機預言機。而是假設該函式可以由隨機預言機模擬。
知道可以安全使用哪個特定的雜湊函式確實很重要。
我認為主要的缺失部分是加密雜湊函式不僅需要抗衝突,而且還需要單向。給定的例子 $ x \mapsto 3x $ 不是單向的。