安全归约(3)签名方案

翻译 已于 2025-08-25 15:37:57 修改 · 48 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://documents.uow.edu.au/~fuchun/jow.html
文章标签:

#安全 #密码学

于 2025-08-02 14:13:28 首次发布

学习目标

  • 《Introduction to Security Reducion》
  • Foundations of Group-Based Cryptography

安全归约(第二讲)_哔哩哔哩_bilibili

群论密码学是现代密码学的核心分支,其安全性基于抽象代数中群结构的计算困难性问题。以下是其核心内容体系:

核心困难性问题:

本章介绍群密码学(Group-Based Cryptography)的数学基础,包括有限域、群结构、双线性配对三类代数工具,以及哈希函数。

一、哈希函数

根据安全性定义,哈希函数可以分为以下两种主要类型:

散列函数根据输出空间可以分为以下三种重要类型,其中输入可以是任意字符串:

二、如何伪造新消息的签名

(针对不安全的签名方案)

2.1 方案1进行伪造

对于任意新消息 m',可以构造:
\sigma' _m=(g^\alpha )^{m'}=(g^{\alpha m})^{m'/m}=\sigma _m ^ {m'/m}

2.2 方案2进行伪造

对于任意新消息 m':
\sigma _m' = g^{\alpha }g^{m'} = pk · g^{m'}

2.3 方案3进行伪造

已知:

  • σ₁ = α + m₁β mod p
  • σ₂ = α + m₂β mod p

σ₁ - σ₂ = β(m₁ - m₂) mod p

解得:

  • β = (σ₁ - σ₂) × (m₁ - m₂)⁻¹ mod p
  • α = σ₁ - m₁β mod p

2.4 方案4进行伪造

提取关键信息

  • 从签名\sigma_m=(A,B)=(g^{\alpha \beta +mr},g^r)中,可以计算:
  • g^{\alpha \beta }=AB^{-m}=g^{\alpha \beta+mr}g^{-mr}=g^{\alpha \beta}

构造伪造签名:

  • 任选r' \in \mathbb{Z}_p
  • 计算B'=g^{r'}
  • 计算A'=g^{\alpha \beta }B'^{m'}=g^{\alpha \beta}g^{m'r'}=g^{\alpha \beta+m'r'}
  • 伪造的签名为\sigma _m' = (A', B')

2.5 方案5进行伪造

r' = r·(m/m'),则:

B' = g^{r'}= g^{r·(m/m')} = B^{m/m'}

A'=g^{\beta(\alpha+m'r')}=g^{\beta\alpha+\beta m'(rm/m')}=A

伪造签名:\sigma _m' = (A, B^{m/m'})

2.6 方案6进行伪造

目标是计算 \sigma_{m'}=g^{\frac{1}{\alpha\cdot m'}}
可以通过对 \sigma _m​ 进行指数调整来实现:

\sigma _{m'}=\sigma_m^{\frac{m}{m'}}=g^{\frac{1}{\alpha \cdot m}\frac{m}{m'}}=g^{\frac{1}{\alpha \cdot m'}}

这样,我们成功利用 \sigma _m和 m 的信息伪造了 m' 的签名。

三、对不安全签名方案的安全加固建议

  • 是否所有消息都经过哈希处理?
  • 是否包含不可预测的随机数?
  • 签名方程是否非线性?
  • 是否通过形式化安全证明?
  • 是否使用标准密码学库实现?

3.1 引入密码学哈希函数

所有消息必须经过哈希处理:σₘ = f(α, H(m))

示例:σₘ = g^(α+H(m)) mod p

作用:打破消息与签名的线性关系

3.2 必须添加随机性

每个签名需包含唯一随机数:σₘ = (r, f(α,m,r))

示例:Schnorr签名 σₘ = (gʳ, α·H(m||gʳ)+r)

作用:防止代数关系攻击

end...

83、具有紧密安全归约的数字签名方案解析
potato的博客
07-08 17
本文探讨了在随机预言模型下构造具有紧密安全归约的数字签名方案。传统的菲亚特-沙米尔启发式方法依赖分叉引理,导致归约安全性较弱。文章提出了几种新的签名方案,分别基于决策短离散对数问题、理想格中的 Ring-LWE 问题以及子集和问题,均实现了紧密安全归约。这些方案在效率与安全性之间取得了良好平衡,并为未来高效紧密归约的构造提供了理论基础和实践方向。
13、如何通过更紧密的安全归约证明签名安全
p4q5r6s7t的博客
07-13 16
本文探讨了如何通过引入变色龙哈希函数来改进Waters签名方案安全归约,使其更加紧密且独立于对手的签名查询。传统的Waters签名归约到CDH假设时存在宽松的问题,而通过变色龙哈希的应用,我们的签名方案实现了更优的安全性证明。此外,该方法还扩展到了基于身份的签名、在线/离线签名,并保证了强存在不可伪造性。研究结果表明,这种改进不仅提升了签名方案安全性,还为密码学领域的其他应用提供了新的思路。
14、如何实现更紧密安全归约签名安全证明及双签名方案改进
p4q5r6s7t的博客
07-14 19
本博文探讨了如何实现更紧密安全归约签名安全证明,并改进双签名方案以提升效率与安全性。首先,介绍了在线/离线签名的构造及其优化,包括基于变色龙哈希和CDH假设的强不可伪造签名方案。其次,分析了将签名方案通用扩展到强存在不可伪造性的方法。此外,重点阐述了基于强Diffie-Hellman(SDH)假设的新双签名方案,该方案相比传统基于强RSA(SRSA)假设的方案,在群元素表示长度、签名效率及安全性方面具有显著优势。同时,通过引入抗碰撞哈希函数,优化了长消息签名的效率。最后,讨论了签名方案安全性证明的重要性,
38、签名方案的最优安全证明及SFLASH密码分析
pink7的博客
06-22 21
本文探讨了多种数字签名方案安全性证明及其优化问题,重点分析了PSS和PFDH签名方案的最优安全归约特性,并介绍了针对SFLASH签名方案的密码分析结果。文中通过定理推导和归约技术,论证了在随机预言模型和标准模型下,如何量化分析签名方案安全性损失,并证明了使用k₀log₂q_sig长度的随机盐即可使PSS达到与RSA相当的安全级别。同时,PFDH作为PSS的变体,其安全证明更为简洁,适用于对安全性要求高且需要高效实现的场景。文章还指出SFLASH方案存在可被低复杂度攻击破解的风险,强调了在实际应用中对签名
安全归约基础(二)
2301_79553633的博客
09-22 637
我们通常假设敌手能攻破所提方案,敌手对模拟方案可以发出哪种攻击在安全归约中十分重要,本节将具体介绍敌手。令 a 为从集合{ 0 ,1}中选择的一个整数,如果 a 是随机选择的,则有如果 a 是自适应选择的,则和是未知的。自适应攻击是一种特定攻击,即敌手在给定空间的选择不是均匀分布的,其概率分布未知。在敌手和模拟器之间的安全归约中,自适应攻击由三部分组成。我们以EU-CMA安全模型下数字签名方案安全归约为例来解释这三个部分。
BLS方案在随机预言机下的安全归约证明构造过程
wwwwz9的博客
10-28 507
真实方案只需要一个pk=gα,那我们就让这个问题实例中ga让α=a就可以了,至于gb没有用到我们可以在random oracle 的回应中设置相关的b。(随机预言机很好用,有三个作用,我们需要记住第一种就是预言机输出的内容是一种trapdoor,这种trapdoor就是可关系到可模拟和可归约的。合法性的验证:通过真实方案的计算公式,以及模拟器可计算出来的签名,两者作比较,模拟参数带到公式中如果算出来等于模拟器可计算的签名就说是有效的。如果CDH问题是困难的,那么BSL方案在随机预言模型下是可证明安全的。
FDH签名方案可证明安全分析
mrh123456hsy的博客
10-26 1421
RSA密码系统如下: FDH签名方案如下: 可证明安全分析大致如下: 角色:仿真器I,攻击者F。 仿真器I拥有公钥(n,e)随机选择y,仿真器需要利用攻击者的能力解决RSA求逆问题,即需计算出 仿真器I执行hash询问如下(仿真器将y嵌入到自己的hash询问应答中): 签名询问如下: 最后攻击者给出签名挑战(即敌手给出消息mi的有效签名即x=h(mi)d ,这里我们假设敌手已经进行过ha...
安全归约】第四讲 | 安全归约入门
Liuees的博客
08-31 553
《Introduction to security reduction》Fuchun Guo, Willy Susilo, Yi Mu
安全归约】入门.起源 | breaking assumption
Liuees的博客
05-18 627
《Introduction to security reduction》Fuchun Guo, Willy Susilo, Yi Mu
安全归约Introducing to Security Reduction笔记第四章
10-25
具体到加密和签名方案,如数字签名安全证明,会涉及如何利用敌手的伪造签名来解决困难问题,或者如何利用敌手对密文的猜测来解决判定性困难问题。 总之,安全归约是一种严谨的理论工具,它通过将密码方案安全性...
可证安全的高效无证书有序多重签名方案
01-15
秦艳琳等提出一个高效的无证书有序多重签名方案,并在随机语言机模型下证明方案安全性可归约为 CDH(computational Diffie-Hellman)困难问题。对该方案安全性证明过程进行分析,指出方案难以抵抗伪造攻击:攻击...
2025年游戏盾SDK动态加密技术全景解析:从防御破解到重塑游戏安全基石
2403_86962125的博客
08-22 688
2025年的游戏安全战争,本质是“加密强度”与“破解成本”的博弈。游戏盾SDK通过动态密钥协商×协议混淆×多层加密×AI自适应的四维体系,将破解成本提升至黑产无法承受的高度。当攻击者的ROI(投资回报率)趋于零时,你的游戏才真正安全。立即行动现有项目评估:使用抓包工具测试当前游戏协议是否明文传输逐步升级:从关键接口(登录/支付)开始部署动态加密长期规划:制定向后量子密码迁移的路线图。
电子厂静电释放检测误报率↓81%!陌讯多模态融合算法在安全生产监控的落地实践
xiaobaibai153的博客
08-24 614
【原创声明】本文为作者原创技术解析,引用数据与技术方案均来自 “陌讯技术白皮书(静电释放检测专项版)”,未经许可禁止转载。
解决远程桌面连接“为安全考虑,已锁定该用户帐户,原因是登录尝试或密码更改尝试过多”问题
goolean的专栏
08-21 357
1、登陆阿里云后台通过ECS的VNC连接,不要直接输入用户名密码,那种还是不让登陆,直接开始vnc连接,出现window登陆画面后,再输入密码。3.依次选择:计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。登陆后,运行 gpedit.msc 打开组策略。5.改为“0”,会提示这个,忽略,确定即可。鼠标点不动确定,直接按回车键就可以了。4.双击“帐户锁定阈值”
01 网络信息内容安全--绪论
爱学习爱运动的专栏
08-21 633
【【图解贝叶斯公式】1小时吃透大学四年没整明白的贝叶斯分析推导及垃圾邮件过滤实例(朴素贝叶斯/机器学习算法/MCMC算法/人工智能高数)】https://www.bilibili.com/video/BV1v3VUzjEqN?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?【都2022年了,居然还不懂社会网络分析?
【信息安全】英飞凌TC3xx安全调试口功能实现(调试口保护)
最新发布
十六宿舍的博客
08-24 911
本文介绍了英飞凌TC3xx系列芯片的安全调试功能,提供了三种配置方法来完成调试口保护功能:Memtool工具操作、程序结构体定义和Flash命令编写。同时,针对产品开发不同阶段的需求,给出了调试接口加密与解密的详细步骤及注意事项。这些安全功能既满足了开发调试需求,又能有效防止攻击者通过调试接口窃取或篡改关键数据,为嵌入式系统提供了重要的安全保障
档案宝系统功能:权限分级,保障档案安全
danganbao的博客
08-21 1298
在工作中,你是否遇到过这样的情况:明明只是想让同事查看一份普通的项目档案,结果对方却不小心删了重要数据;或者公司的核心合同档案,随便一个新来的实习生都能轻松下载?这些问题的根源,往往在于档案管理系统缺乏合理的权限控制。而档案宝的权限分级功能,就是为了解决这些痛点而生,今天就来好好聊聊它是如何保障档案安全的。
数字防线:现代企业网络安全运维实战指南
huluang的专栏
08-24 119
《GB/T 45940—2025》网络安全运维指南为企业提供了系统性安全防护框架。标准定义了网络安全运维的三大模式(自建、联合、托管)和七大核心环节(管理、识别、防护、监测、处置、协同、评估),强调安全运营中心(SOC)建设要点和持续改进机制。该指南适用于各类组织,通过标准化流程和智能化手段构建动态防御体系,帮助企业在数字化时代有效管控风险、保障业务连续性。无论采用何种运维模式,关键在于系统规划、规范实施和持续优化。
如何配置安全的SFTP服务器?
2409_89014517的博客
08-21 888
如何配置安全的SFTP服务器?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值