规约证明(二)：基于游戏证明数字签名方案的安全性 - 实践

什么是数字签名？

借用书里面给的一个例子，倘若两个参与方，分别为$Alice$与$Bob$。$Alice$想要让$Bob$相信一条消息$m$是她发送的。如何操作？

一种简单的方法是使用公钥加密。

1. $Alice$首先生成一对公私钥$(pk,sk)$并把公钥$pk$公开给$Bob$。
2. $Alice$使用自己的私钥$sk$对消息$m$进行签名得到${\sigma }_m$。
3. $Bob$接收到$(m,{\sigma }_m)$之后，使用Alice的公钥$pk$验证${\sigma }_m$是否正确。

具体的构造方案，可以使用RSA，RSA的详细过程参考这一篇博客RSA加密。下面直接分析过程。

1. $Alice$生成RSA公钥$n,d$并公开给$Bob$，保留私钥$e$。
2. $Alice$使用自己的私钥$e$对消息$m$进行签名得到${\sigma }_m=m^e\text{mod}n$。
3. $Bob$接收到$(m,{\sigma }_m)$之后，启用Alice的公钥$n,d$验证$({\sigma }_m{)}^d\text{mod}n=m$。

正确性验证

$({\sigma }_m{)}^d\text{mod}n=m^{de}\text{mod}n=m^{\phi (n)k+1}\text{mod}n=m^{\phi (n)k}\ast m\text{mod}n=m$。

安全性验证

$Bob$始终不知道$Alice$的私钥$e$。所以签名方案是安全的。

形式化的签名方案（共有四个算法）

1. 系统生成算法(SysGen)：输入一个安全参数$\lambda$，返回一个系统参数$SP$。
2. 密钥生成算法(KeyGen)：输入系统参数$SP$,返回公私钥对$(pk,sk)$。
3. 签名算法(sign)：输入消息$m$，私钥$sk$和系统参数$SP$。返回$m$的签名${\sigma }_m$。
4. 验证算法(Verify)：输入$(m,{\sigma }_m)$，公钥$pk$和系统参数$SP$。如果${\sigma }_m$是$m$的有效签名返回$accept$；否则$reject$。

正确性要求给定任何$(pk,sk,m,{\sigma }_m)$，如果${\sigma }_m$是$m$的一个有效签名(使用私钥$sk$)，那么验证算法(Verify)将会返回$accept$。

安全性要求在没有私钥$sk$的情况下，对于概率多项式敌手(PPT)想要伪造一个消息$m$的签名${\sigma }_m$很困难的。就是来通过验证

如何证明一个签名方案是安全的？

基于游戏的证明方法
假设存在挑战者$\mathcal{C}$与敌手$\mathcal{A}$。二者的关系是挑战者生成一个签名方案，而敌手去试图打破这个签名方案。二者进行如下交互

1. 挑战者$\mathcal{C}$起初生成一对公私钥$(pk,sk)$，把公钥$pk$发给敌手，私钥自己保留。
2. $\mathcal{A}$可以对任意消息做签名的问询。
3. $\mathcal{A}$返回一个未被问询过的新消息的伪造签名。

选择消息攻击下存在性不可伪造安全模型(EU-CMA：Existential unforgeability against chosen-message attacks)的描述如下

1. 初始化：令$SP$为系统参数。挑战者$\mathcal{C}$运行密钥生成算法(KeyGen)得到公私钥对$(pk,sk)$，把公钥$pk$发给敌手$\mathcal{A}$，挑战者保留私钥$sk$来回应敌手对消息的签名问询。
2. 问询：敌手对任意选择消息做出问询。对于消息$m_i$的签名问询，$\mathcal{C}$运行签名算法(sign)计算${\sigma }_{m_i}$并返回给敌手。
3. 伪造：如果敌手可以返回一个对消息$m^{\ast }$的伪造签名${\sigma }_{m^{\ast }}$($m^{\ast }$在问询阶段没有被敌手问询过且${\sigma }_{m^{\ast }}$是$m$的一个奏效签名)，则敌手赢得游戏。

设敌手赢得游戏的概率为$ϵ$。交互流程图如下：

给一个定义。这里直接贴原文。

下面还有一个在选择消息攻击下强不可伪造安全(SU-CMA)的定义。

二者的重要区别在于(SU-CMA）放宽了对消息$m^{\ast }$通过的 限制，只要敌手能够伪造
出一个实用的签名${\sigma }_{m^{\ast }}$即可。$m^{\ast }$行是除了敌手问询过的任意消息。