[网络协议]可证明安全——签名

定义

定义数字签名方案 $\Pi =(\text{Gen,?Sign,?Vrfy})$ 如下：

• Gen：输入安全参数 $1^n$，输出长度均为 $n$ 的公司钥对 $(pk,sk)$
• Sign：输入私钥 $sk$ 和明文 $m$，输出签名 $\sigma \leftarrow {\text{Sign}}_{sk}(m)$
• Vrfy：输入公钥 $pk$，明文 $m$，签名 $\sigma$。输出 ${\text{Vrfy}}_{pk}(m，\sigma )$

安全性

定义伪造签名实验 ${\text{Sig-forge}}_{\mathcal{A},\Pi }(n)$：

• $(pk,sk)\leftarrow \text{Gen}(1^n)$
• 敌手 $\mathcal{A}$ 输入 $pk,{\text{Sign}}_{sk}(?)$，敌手输出 $(m,\sigma )$。$\mathcal{Q}$ 表示 $\mathcal{A}$ 查询过的全部明文。
• $\mathcal{A}$ 成功当且仅当 ${\text{Vrfy}}_{pk}(m,\sigma )=1$ 且 $m\in /\mathcal{Q}$。

电子签名方案 $\Pi =(\text{Gen,?Sign,?Vrfy})$ 不可伪造，当且仅当对任意多项式时间敌手 $\mathcal{A}$，
$$\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }(n)=1]\le \text{negl}(n)$$

RSA-FDH 原理

GenRSA 是一个多项式算法，输入 $1^n$，输出两个 $n$ 位质数的乘积 $N$，两个整数 $e,d$ 满足 $ed\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}?(N))$。
定义 RSA-FDH 加密方案如下：

• Gen：$<N,e,d>\leftarrow \text{GenRSA}(1^n)$。公钥为 $<N,e>$，私钥为 $<N,d>$。指定 H : { 0 , 1 } ? → Z N ? H:\{0,1\}^* \rightarrow \mathbb Z_N^* H:{0,1}?→ZN??
• Sign：输入私钥 $<N,d>$ 和明文 m ∈ { 0 , 1 } ? m \in \{0,1\}^* m∈{0,1}?，计算 $\sigma \leftarrow [H(m{)}^d\mathrm{m}\mathrm{o}\mathrm{d}N]$
• Vrfy：输入公钥 <N,e>，消息 $m$，签名 $\sigma$，当且仅当 ${\sigma }^e=H(m)\mathrm{m}\mathrm{o}\mathrm{d}N$ 时，输出 1

证明

当 RSA 假设成立，且 $H$ 符合随机预言模型，即将输入随机映射到 ${\mathbb{Z}}_n^{?}$ 时，可以证明其不可伪造性。
设 $\mathcal{A}$ 查询 $H$ 共 $q$ 次，构造实验 ${\text{Sig-forge}}_{\mathcal{A},\Pi }^{\prime }(n)$：

• 随机选择 j ∈ { 1 , . . . , q } j \in \{1, ..., q\} j∈{1,...,q}（不输入给 $\mathcal{A}$）
• $(N,e,d)\leftarrow \text{GenRSA}(1^n)$，选定随机函数 H : { 0 , 1 } ? → Z N ? H:\{0,1\}^* \rightarrow \mathbb Z_N^* H:{0,1}?→ZN??
• 给敌手 $\mathcal{A}$ 输入 $pk=(N,e),H,{\text{Sign}}_{<N,d>}(?)$，明文 $m$，返回 $\sigma \leftarrow [H(m{)}^d\mathrm{m}\mathrm{o}\mathrm{d}N]$。当查询 ${\text{Sign}}_{<N,d>}(m_j)$ 时，会返回失败。
• $\mathcal{A}$ 输出此前没有查询过签名的 $(m,\sigma )$。设 $m=m_i$ 为第 $i$ 次查询 $H$ 的输入。${\text{Sig-forge}}_{\mathcal{A},\Pi }^{\prime }(n)=1$ 当且仅当 ${\sigma }^e\equiv H(m)(\mathrm{m}\mathrm{o}\mathrm{d}N)$ 且 $i=j$

由于 ${\text{Sig-forge}}_{\mathcal{A},\Pi }^{\prime }(n)$ 成功，必须输出 $m_j$ 的加密码，因此禁止查询 $m_j$。显然，$\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }^{\prime }(n)=1]=\frac{1}{q}\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }(n)=1]$，即输出的 $m$ 正好是随机确定的那个。

给定 $N,e,y$，构造敌手 ${\mathcal{A}}^{\prime }$ 解决 RSA 问题：

• 随机选择 j ∈ { 1 , . . . , q } j \in \{1, ..., q\} j∈{1,...,q}
• 运行 $\mathcal{A}$。记录所有的三元组 $<m_i,{\sigma }_i,y_i>$ 表明已经查询过 $H(m_i)=y_i$，${\sigma }_i^e\equiv y_i(\mathrm{m}\mathrm{o}\mathrm{d}N)$
• 当 $\mathcal{A}$ 第 $i$ 次查询 $H$ 时
  • 如果 $i=j$，返回 $y$
  • 否则选择随机的 ${\sigma }_i\in {\mathbb{Z}}_n^{?}$，计算 $y_i\leftarrow [{\sigma }_i^e\mathrm{m}\mathrm{o}\mathrm{d}N]$ 并返回。记录 $<m_i,{\sigma }_i,y_i>$
• 当 $\mathcal{A}$ 查询 $m$ 的签名时，设 $m_i=m$
  • 如果 $j=i$，禁止查询
  • 如果有三元组 $(m_i,{\sigma }_i,y_i)$，返回 ${\sigma }_i$
• 最后 $\mathcal{A}$ 输出 $(m,\sigma )$。如果 $m=m_j$ 且 ${\sigma }^e\equiv y(\mathrm{m}\mathrm{o}\mathrm{d}N)$，${\mathcal{A}}^{\prime }$ 输出 $\sigma$

这个例子很好地用到了随机语言模型的可编程性。要输出一个均匀随机的 $y$，${\mathcal{A}}^{\prime }$ 生成一个均匀随机的 $\sigma$，并返回 ${\sigma }^e\mathrm{m}\mathrm{o}\mathrm{d}N$。

$$\begin{array}{rl}\mathrm{Pr}[{\text{RSA-inv}}_{{\mathcal{A}}^{\prime },\text{GenRSA}}(n)=1]& =\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }^{\prime }(n)=1]\\ & =\frac{1}{q}\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }(n)=1]\end{array}$$

由于 $\mathrm{Pr}[{\text{RSA-inv}}_{{\mathcal{A}}^{\prime },\text{GenRSA}}(n)=1]\le \text{negl}(n)$，所以 $\mathrm{Pr}[{\text{Sig-forge}}_{\mathcal{A},\Pi }(n)=1]\le q?\text{negl}(n)$

构造安全签名

可变长度

若 ${\Pi }^{\prime }=(\text{Gen,?Sign’,?Vrfy’})$ 是固定长度 $n$ 的不可伪造签名，则构造如下 $\Pi =(\text{Gen,?Sign,?Vrfy})$ 为任意长度签名：

• Sign：输入秘钥 $sk$，长度为 $l$ 的明文 $m$，将 $m$ 切成 $d$ 块 $m_1,m_2,...,m_d$, 每块长度为 $n/4$.
  随机选择 r ∈ { 0 , 1 } n / 4 r \in \{0, 1\}^{n/4} r∈{0,1}n/4。对 $i=1,2,...,d$，计算 $t_i\leftarrow Sig{n}_{sk}^{\prime }(r||l||i||m_i)$，输出 $<r,t_1,...,t_d>$ 作为签名。
• Vrfy：输入公钥 $pk$，长度为 $l$ 的明文 $m$，数字签名 $<r,t_1,...,t_{d^{\prime }}>$。将 $m$ 切成 $d$ 块 $m_1,...,m_{d^{\prime }}$。当且仅当 $d=d^{\prime }$ 且 ${\text{Vrfy}}_{pk}^{\prime }(r||l||i||m_i,t_i)=1$ 对任意 $1\le i\le d$ 成立。