Page 316 - 《软件学报》2021年第9期
P. 316
2940 Journal of Software 软件学报 Vol.32, No.9, September 2021
方收到消息 m||m′的签名σ是按上述签名步骤进行的,并且在传播过程中没有被篡改,则:
−1
2
−1
−1
2
h N (N G S(σ))=h N (N G S(σ′/e ))=h N (N G S(sk(eH(m||m′))/e )).
根据性质 1 可得:
2
sk(eH(m||m′))=e sk(H(m||m′)).
所以,
−1
−1
−1
h N (N G S(σ))=h N (N G S(sk(H(m||m′))))=h L (H(m||m′)).
−1
−1
可见,验证等式 h L (H(m||m′))=h N (N G S(σ))成立.这说明所构造的抗量子计算的多变量盲签名方案是
正确的.证毕. □
4 安全性分析
4.1 盲 性
定理 2. 本文提出的抗量子计算的多变量盲签名方案满足盲性.
证明:利用第 1.2.2 节中的 Game1 安全模型证明所提方案满足盲性.假设敌手 A 伪装成签名者 B 与挑战者 C
进行盲签名交互过程.
(1) C 通过运行系统初始化算法生成系统参数(F,p,l,r,n,H),同时,通过运行密钥生成算法生成签名的公私
钥对,并将系统参数和私钥发送给 A;
(2) 对消息 m 增加几个随机比特 m′,假设对 m||m′进行盲签名交互过程,可以产生一个有效的签名;
(3) A 随机选取两个等长的不同的消息 m 0 || m′ 和 m 1 || m′ 发送给 C;
1
0
(4) C 随机选取两个等长的不同的盲因子 e c ∈F 和 e 1−c ∈F,然后再选择一个随机的比特 c∈{0,1},接着计算
b = e H (m c || m′ 和 b 1 c− = e H (m 1 c− || m′ 1 c− ) ,并将 b c 和 b 1−c 以随机顺序发送给 A;
)
c
c
c
1 c−
(5) A 先后分别依次计算:
y = L − 1 ( ),b x = G − 1 ( ),y σ S − 1 ( ),x y = L − 1 (b ),x = G − 1 (y ),σ′ ′ = = S − 1 (x ) .
−
−
−
−
−
−
c c c c c c 1 c 1 c 1 c 1 c 1 c 1 c
然后,将盲签名 σ ′ 和 σ ′ 先后发送给 C;
c 1 c−
(6) C 利用盲因子 e c 和 e 1−c 去计算 σ σ = ′ /e 和 σ 2 = σ ′ /e 2 ,然后将签名σ c 和σ 1−c 先后发送给 A;
c c c 1 c− 1 c− 1 c−
(7) A 输出一个 c 的猜测值 c′∈{0,1}.
现在分析敌手 A 猜对 c 的概率.因为盲因子 e c 和 e 1−c 是在有限域 F 上随机选取的,并且选取的过程完全独
立于消息 m c || m′ 和 m 1 c− || m′ ,因此经过盲签名交互过程后,盲因子 e c 和 e 1−c 、消息 m c || m′ 和 m 1 c− || m′ 、签名
c
1 c−
1 c−
c
σ c 和σ 1−c 这三者完全相互独立.对于敌手 A,c∈{0,1}是随机选取的,即使一个攻击者拥有无限的计算能力,c 也在
计算上具有不可区分性,敌手 A 猜对 c 的概率只有 1/2,即 Pr(c=c′)=1/2,则敌手 A 赢得挑战的优势为
Adv Game 1 = |Pr(c = c′ ) 1/ 2 | 0.− =
A
可见,敌手 A 无法以不可忽略的优势赢得挑战.从而证明了所构造的抗量子计算的多变量盲签名方案满足
盲性.证毕. □
4.2 不可伪造性
定理 3. 如果 IP 问题在有限域 F 上是困难的,那么本文提出的抗量子计算的多变量盲签名方案满足不可伪
造性.
• 证法 1
证明:利用第 1.2.2 节中的 Game2 安全模型,采用反证法证明所提方案满足不可伪造性.对于一个消息 m,先
对消息 m 增加几个随机比特 m′,假设对 m||m′进行盲签名交互过程,可以产生一个有效的签名.以一次盲签名交
互过程为例,假设敌手 A 成功地伪造了一个有效的盲签名δ′,同时,随机预言机产生了一个真实的盲签名σ′,并且
经过消息拥有者 O 去盲化后,得到的签名δ和σ都能够通过验证.
