超级会员免费看
签名方案证明方法的缺陷与ECDSA特性分析
1. 签名方案证明的时间界限与安全模型
在签名方案的证明中,最终得到(Pr[S6] \leq Succaerp(\tau’, k)),其中(\tau’)表示Game6的运行时间。(\tau’)是原始攻击时间与模拟所需时间之和,模拟时间最多为(k(q_s + q_H))次模幂运算,即(\tau’ \leq \tau + k(q_s + q_H) \cdot T_{exp}(k))。
在安全模型方面,必须使用SO - CMA模型。如果允许攻击者向签名预言机两次提交相同消息,模拟在第二次调用时会失败,因为只有一个可用签名。所以,相关结果仅适用于单次出现的自适应选择消息攻击,目前还不清楚如何将证明扩展到更强的CMA模型。
2. ECDSA签名方案概述
ECDSA签名方案有着独特的发展历程。1985年,ElGamal签名方案作为第一个基于离散对数的签名方案出现。1989年,Schnorr利用Fiat和Shamir启发式方法,基于公平零知识提出了零知识识别方案及相应签名方案。1994年,数字签名标准DSA被提出,它融合了ElGamal和Schnorr的特点,后来被应用到椭圆曲线场景,称为ECDSA。
下面是通用DSA的描述:
|操作|详情|
| ---- | ---- |
|初始化| - (G):素数阶(q)的循环群
- (g):(G)的生成元
- (H):哈希函数(H : {0, 1}^* \to {0, 1}^h)
- (f):约简函数(f : G \to Z_q)
- (K):密钥生成((y, x)),私钥(0 < x &l
订阅专栏 解锁全文
扫一扫
207
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
