Signature

存在不可偽造性與強不可偽造性

  • April 6, 2020

在文章https://crypto.stanford.edu/~dabo/pubs/papers/strongsigs.pdf中,數字簽名方案的安全性有兩個定義:存在不可偽造性和強不可偽造性。不同之處在於,在“存在”條件下,只有當攻擊者無法在他沒有要求籤名的消息上偽造簽名時才滿足。在“強”的情況下,他甚至無法為他已經要求的消息生成另一個簽名。那麼,是否有一個簽名方案的例子是“存在的”不可偽造但不是強不可偽造的?

構造一個存在不可偽造但不強的簽名方案很容易。您所要做的就是在強方案的末尾添加一點,並在驗證時忽略它。這使攻擊者能夠稍微翻轉並接受新簽名。在某些“真實”設置中也會出現這種情況。例如,使用 ECDSA,簽名 $ (r,s) $ 可以修改為 $ (r,q-s) $ 它仍然會被接受(其中 $ q $ 是組序)。這可以通過強制來防止 $ s<q/2 $ ,但原簽名確實不強。

引用自:https://crypto.stackexchange.com/questions/77445