Schnorr-Signature
部分盲簽名的安全證明(基於 schnorr 簽名)
我讀了一篇關於部分盲簽名的代表性論文。
Abe 和 Okamoto - “可證明安全的部分盲簽名”。
他們提出了一種基於 Schnorr 簽名的部分盲簽名方案。
在安全性證明部分,他們證明了該方案對於使用 ID 縮減方案的自適應選擇消息攻擊是安全的。
他們假設一個單一資訊的對手, $ U^{*} $ 這違反了無限多種尺寸的不可偽造性。
還有機器 $ {M} $ 由偽造者建造 $ {U^*} $ .
首先, $ {M} $ 選擇 $ b $ (0 或 1,隨機)並分配 $ (y, z)=(g^{x}, z_{0}g^{\gamma}) $ 如果 $ b=0 $ , 或者 $ (y, z)=(z_{0}g^{\gamma}, g^{w}) $ 如果 $ b=1 $ .
$ \gamma, x $ (或者 $ w $ ) 是隨機選擇的。
隨機預言機 $ F $ 被定義為返回適當的值 $ z $ 根據以上選擇。
讓我們假設 $ b=0 $ .
如果 $ U^{} $ 至少有機率成功 $ \eta $ ,然後作者說我們可以找到一個隨機的磁帶字元串 $ U^{} $ 至少有 1/2 的機率使得 $ U^{*} $ 以機率成功 $ \eta/2 $ .
我無法理解“找到隨機磁帶”是什麼意思。
是不是意味著發現 $ \gamma $ 和 $ x $ ?
為什麼是 1/2 和 $ \eta/2 $ ?
下面是論文的截圖。
緊隨其後的是探測策略/重行引理,它可以追溯到
$$ Oka,FFS $$. 閱讀本文中的第 6 節以獲得更好的解釋。 參考:
$$ Oka $$: 岡本。可證明安全且實用的辨識方案和相應的簽名方案。加密貨幣 1992。 $$ FFS $$:費格、菲亞特和沙米爾。身份的零知識證明。1988 年約克。