Puncte:2

Schema de securitate cantitativă a semnăturii obținută prin transformarea Fiat-Shamir

drapel ng

Caut o dovadă cantitativă, dar simplă a EUF-CMA securitatea unei scheme de semnătură obţinută prin transformarea Fiat-Shamir.

Reamintim, transformarea Fiat-Shamir pornește de la un protocol de identificare în 3 treceri cu mesaje $(I,r,s)$, Unde $I$ este angajamentul doveditorului, provocare $r$ este aleasă uniform la întâmplare în set $\Omega$ de către verificator, $s$ este dovada. Folosește un hash $H$ în $\Omega$.

Generarea perechii de chei $(\mathrm{pk},\mathrm{sk})$ în schema de semnătură este ca în protocolul de identificare. Pentru a semna mesajul $M$, dovatorul generează $I$ ca și în protocolul de identificare, calculează $r:=H(I,M)$, atunci $s$ ca în protocolul de identificare, apoi semnătura¹ $\sigma:=(I,s)$. Algoritmul de verificare calculează $r:=H(I,M)$ apoi aplica aceeasi procedura de verificare ca si protocolul de identificare, adica verificarea $\mathcal V(\mathrm{pk},r,s)=I$.

De cantitativ, adică presupunem că un adversar poate rupe schema de semnătură cu cel puțin probabilitate $\epsilon$ cu timp/efort $t$, $Q_S$ întrebări la oracolul semnăturii, $Q_H$ interogări la oracolul hash și obțineți o limită superioară a probabilității decât un adversar poate rupe schema de identificare cu ceva timp/efort.

Sunt bine cu o limită care se află într-un factor constant de la optim; care necesită orice proprietate plauzibilă pe schema de identificare cu 3 treceri, cum ar fi $I$ fiind uniform aleatoriu într-un set suficient de mare; $H$ fiind modelat ca un oracol aleatoriu; indiferent de algoritm care este timp polinom aleatoriu sau chiar determinist (inclusiv utilizarea unui PRG însămânțat cu $\mathrm{sk}$ și $M$ pentru banda aleatoare a algoritmului generator $I$, făcând astfel semnătura deterministă).

Știu că o referință standard este David Pointcheval și Jacques Stern Argumente de securitate pentru semnăturile digitale și semnăturile oarbe, în Journal of Criptology, 2000, dar aș vrea ceva mai simplu și mai concentrat.


¹ Semnătura poate fi, de asemenea $\sigma:=(r,s)$ sau $\sigma:=(I,r,s)$și există o reducere de securitate relativ simplă și strictă între cele trei.

ckamath avatar
drapel ag
Dar teorema 19.7 (Pagina 733) din manualul scris de [Boneh și Shoup](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736)?
fgrieu avatar
drapel ng
@ckamath: Da, [acea teorema 19.7](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=736) este strâns legată. În principal, dovada ei este mai complexă decât visez și reușesc să o urmăresc pe deplin până acum. Sper vag la o dovadă mai simplă, chiar dacă asta se face cu prețul unei legături ceva mai puțin strânse, sau ca trambulină. De asemenea, și important, această teoremă este enunțată pentru protocolul de identificare și semnătura Schnorr și nu urmez dovezile suficient de bine pentru a decide dacă folosește proprietățile destul de speciale ale protocolului de identificare.
ckamath avatar
drapel ag
[Teorema 19.14](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) generalizează teorema 19.7 la protocoalele Sigma. Presupun că cauți o dovadă mai simplă în acest sens?
fgrieu avatar
drapel ng
@ckamath: [Teorema 19.14](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=755) spune că putem construi un protocol ID securizat dintr-un protocol sigma. Sunt mai degrabă după o dovadă a [Teorema 19.16](https://crypto.stanford.edu/~dabo/cryptobook/BonehShoup_0_5.pdf#page=757), una suficient de simplă încât reușesc să o înțeleg pe deplin.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.