Điểm:2

Bảo mật định lượng của sơ đồ chữ ký thu được từ Fiat-Shamir tranform

lá cờ ng

Tôi đang tìm kiếm một bằng chứng định lượng nhưng đơn giản về EUF-CMA tính bảo mật của sơ đồ chữ ký thu được từ phép biến đổi Fiat-Shamir.

Nhớ lại phép biến đổi Fiat-Shamir bắt đầu từ giao thức nhận dạng 3 bước với các thông báo $(I, r, s)$, ở đâu $I$ là lời cam kết, thử thách của người chứng minh $r$ được chọn ngẫu nhiên đều trong tập hợp $\Omega$ bởi người xác minh, $s$ là bằng chứng. Nó sử dụng hàm băm $H$ vào trong $\Omega$.

Tạo cặp khóa $(\mathrm{pk},\mathrm{sk})$ trong lược đồ chữ ký giống như trong giao thức nhận dạng. Để ký tin nhắn $M$, tục ngữ tạo ra $I$ như trong giao thức nhận dạng, tính toán $r:=H(I,M)$, sau đó $s$ như trong giao thức nhận dạng, sau đó là chữ ký¹ $\sigma:=(I,s)$. Thuật toán xác minh tính toán $r:=H(I,M)$ sau đó áp dụng quy trình xác minh tương tự như giao thức nhận dạng, đó là kiểm tra $\mathcal V(\mathrm{pk},r,s)=I$.

Qua định lượng, ý tôi là chúng ta cho rằng một đối thủ có thể phá vỡ sơ đồ chữ ký với xác suất ít nhất $\epsilon$ với thời gian / nỗ lực $t$, $Q_S$ truy vấn đến lời tiên tri chữ ký, $Q_H$ các truy vấn tới nhà tiên tri hàm băm và đạt được một số giới hạn trên về xác suất so với việc kẻ thù có thể phá vỡ sơ đồ nhận dạng với một chút thời gian/nỗ lực.

Tôi ổn với một giới hạn nằm trong hệ số không đổi từ tối ưu; yêu cầu bất kỳ thuộc tính hợp lý nào trong sơ đồ nhận dạng 3 bước, chẳng hạn như $I$ là ngẫu nhiên thống nhất trong một số tập hợp đủ lớn; $H$ được mô hình hóa như một nhà tiên tri ngẫu nhiên; bất kỳ thuật toán nào là thời gian đa thức ngẫu nhiên hoặc thậm chí được xác định (bao gồm cả việc sử dụng PRG được gieo bằng $\mathrm{sk}$$M$ cho băng ngẫu nhiên của thuật toán tạo $I$, do đó làm cho chữ ký xác định).

Tôi biết một tài liệu tham khảo tiêu chuẩn là của David Pointcheval và Jacques Stern Đối số bảo mật cho chữ ký số và chữ ký mù, Trong Tạp chí Mật mã học, 2000, nhưng tôi muốn thứ gì đó đơn giản và tập trung hơn.


¹ Chữ ký cũng có thể là $\sigma:=(r,s)$ hoặc $\sigma:=(I,r,s)$và có một sự giảm bớt bảo mật chặt chẽ, tương đối đơn giản giữa ba loại.

ckamath avatar
lá cờ ag
Còn Định lý 19.7 (Trang 733) trong sách giáo khoa của [Boneh và Shoup](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736) thì sao?
fgrieu avatar
lá cờ ng
@ckamath: Vâng, [định lý 19.7 đó](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736) có liên quan chặt chẽ với nhau. Về cơ bản, đó là bằng chứng phức tạp hơn những gì tôi mơ ước và xoay sở để theo dõi đầy đủ cho đến nay. Tôi mơ hồ hy vọng về một bằng chứng đơn giản hơn ngay cả khi điều đó phải trả giá bằng một ràng buộc ít chặt chẽ hơn một chút, hoặc như một tấm bạt lò xo. Ngoài ra, và quan trọng, định lý này được phát biểu cho giao thức và chữ ký nhận dạng Schnorr, và tôi không theo dõi bằng chứng đủ tốt để quyết định xem nó có sử dụng các thuộc tính khá đặc biệt của giao thức nhận dạng đó hay không.
ckamath avatar
lá cờ ag
[Định lý 19.14](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) tổng quát hóa Định lý 19.7 cho các giao thức Sigma. Tôi cho rằng bạn đang tìm kiếm một bằng chứng đơn giản hơn về điều này?
fgrieu avatar
lá cờ ng
@ckamath: [Định lý 19.14](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) cho biết chúng ta có thể xây dựng giao thức ID an toàn từ giao thức sigma. Tôi muốn chứng minh [Định lý 19.16](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=757), một chứng minh đủ đơn giản để tôi có thể hiểu đầy đủ về nó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.