隨機預言機模型中的簽名安全證明
作為一個研究案例,我考慮了BLS簽名方案,但以下問題與隨機 Oracle 模型中安全證明的一般上下文相關。
讓我們簡單回顧一下 BLS 簽名方案:
讓 $ e:G \times G \to G_t $ 是一個雙線性群方案。讓 $ g $ 成為小組的發電機 $ G $ , 然後讓 $ a \in \mathbb{Z}^*_p $ 是一個隨機場元素。我們表示 $ H $ 用作隨機預言機的函式。
- 密鑰:密鑰是 $ a $ , 公鑰是 $ (g, g^a) $ .
- 標誌:計算 $ m \mapsto (m, \sigma = H(m)^a) $ .
- 驗證:檢查相等性 $ e(g, \sigma) = e(g^a, H(m)) $ .
作者通過描述一種算法證明了該方案是安全的(或者更具體地說 - 在自適應選擇消息攻擊下防止存在偽造) $ \mathcal{A} $ 給定一個鍛造實體 $ \mathcal{F} $ 打破計算 Diffie-Hellman $ G $ .
證明假設算法 $ \mathcal{A} $ 模擬隨機預言機,這意味著每個查詢由 $ \mathcal{F} $ 至 $ H $ 實際上是由 $ \mathcal{A} $ . 我的問題是,這不是一個非常非常強的假設嗎?
相反,如果我們假設隨機預言機是某個第三方, $ \mathcal{A} $ 和 $ \mathcal{F} $ 只能查詢但不能影響(就像在每個現實世界的案例中一樣),而不是這個證明完全失效。
此外,如果我們在沒有這種強假設的情況下提供安全性降低,那麼我們的降低可能會更有效。
Coron 在1中對此進行了討論。
您實際上是在問為什麼隨機預言機不能只是一些無法控制的理想隨機預言機。事實上,Bellare 和 Rogaway 在開創性著作2、3中介紹他們的全域雜湊方案( FDH) 時,就使用這種不可控的隨機預言來分析 FDH 的安全性降低。
關於使用歸約來證明簽名方案的安全性的事情是,歸約安全性在很大程度上取決於打破基本假設的機率,比如說 CDH 假設。所以理想情況下,如果減少能夠以機率 1 解決 CDH 問題,則意味著簽名方案與解決 CDH 問題一樣安全。
但是如果這個機率遠低於 1 會發生什麼?那麼,簽名方案的安全性變得相當弱。
正如 Coron 在1中提到的,允許 $ \mathcal{A} $ 控制隨機預言機對 FDH 簽名方案提供了比 Bellare 和 Rogaway 所展示的更嚴格的安全界限。
關於更嚴格的界限的主要事情是它不取決於偽造者請求的查詢數量,而僅取決於簽名查詢的數量(實際上遠低於此類偽造者可以執行的雜湊查詢的數量) )。更好的界限使人們能夠使用更有效的簽名方案。
總而言之,使用特定的雜湊函式並不是說這是模型的假設,它只是一種使界限更緊密的方法。