存在不可偽造性與強不可偽造性

在文章https://crypto.stanford.edu/~dabo/pubs/papers/strongsigs.pdf中，數字簽名方案的安全性有兩個定義：存在不可偽造性和強不可偽造性。不同之處在於，在“存在”條件下，只有當攻擊者無法在他沒有要求籤名的消息上偽造簽名時才滿足。在“強”的情況下，他甚至無法為他已經要求的消息生成另一個簽名。那麼，是否有一個簽名方案的例子是“存在的”不可偽造但不是強不可偽造的？

構造一個存在不可偽造但不強的簽名方案很容易。您所要做的就是在強方案的末尾添加一點，並在驗證時忽略它。這使攻擊者能夠稍微翻轉並接受新簽名。在某些“真實”設置中也會出現這種情況。例如，使用 ECDSA，簽名 $ (r,s) $ 可以修改為 $ (r,q-s) $ 它仍然會被接受（其中 $ q $ 是組序）。這可以通過強制來防止 $ s<q/2 $ ，但原簽名確實不強。

引用自：https://crypto.stackexchange.com/questions/77445