标准模型下数字签名方案的构造与应用
发布时间:2021-03-30 05:58
在信息安全领域,数字签名(digital signature)可以提供身份认证、数据完整性保护和数据不可否认等诸多服务,因此它是密码学领域的一个重要研究方向。数字签名方案的标准安全性是自适应选择消息攻击下的签名不可伪造性(unforgeability under adaptive chosen message attacks,简称cma安全性)。其安全性证明是通过构造安全规约,将数字签名方案的cma安全性规约到某些公认问题的困难性上。现有的大部分标准模型下的数字签名方案及安全性证明具有如下特点:·安全规约松散。在一般数字签名方案的安全性证明中,其安全性规约的损失因子一般与签名查询次数qS有关。此时为了达到目标安全性水平,我们必须选择更大的安全参数,这直接增长了密钥及签名长度,增加了方案的运行时间,给方案的效率带来巨大影响。如果安全性规约的损失因子仅为常数或是安全参数的线性因子,我们称这样的安全性规约为(几乎)紧致的,因此设计具有紧致安全性的数字签名方案具有更重要的研究价值。·安全性证明仅考虑单用户环境。一般数字签名方案的安全性只刻画了签名方案在单用户环境下的安全性,此时敌手仅得到一个验...
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:154 页
【学位级别】:博士
【部分图文】:
图3-6集合示意图s红色节点及其随机数r?属于集合??
上海交通大学博士学位论文?第四章后量子安全的紧致安全数字签名方案的通用构造??POS??m-rma??+?1?§4.3'?j ̄P〇S^I?¥4.3.3?丨露.方靠?I??|?m-ncma?树状结构?m-ncma?、??P〇S?j?+?I?44^?|签名方案??m-rma?f?ra-crna??POS?J??m-ncma,??图4-1紧致77TK37W安全签名方案的构造路径??为了解决这些问题,在本文中,我们首先发现我们可以构造出基于环上的??LWE假设构造:了一个.非常弱的密码孝构件局部一次签名(partial?one-time:?sig???nature,?POS)?方案?,其正确性不完美且安全性很弱?a?这个签名方案的构造思路是受??Abdalla等的ID?(identification)方案[41]启发,而POS的弱安全性可以被刻画为??多用户环境下抗随机消息攻击(m-rma)的安全性。??于是我们誓要解决的就是如何从m-rma安全、正确性不完美的POS方案构??造m-ma安全的签名方案,且其安全性规约是紧致的。为此,我们提出了一个新??的多用户环境下紧致安全数字签名的通用构造,它的构造过程分为以个歩骤。??图示见圈4-1。??(1)?POS:从'm-rma安全性到m-wema安全性.从安全.、旦具有p-jE,??确性(p?=?的P0S方案,我们的第一步就是结合两个这样的P0S方??案,来得到m-nc腿安全、且具有几乎完美正确性的POS方案。??(2)实现m-?,.cma安全性.我们将上一歩中m-?zem.a.安全的POS方案应用到??树状结构中得到饥-wcma安全的簦:名方案。.??⑶实现m
第四章后量子安全的紧致安全数字签名方案的通用构造?上海交通大学博士学位论文??叶予节点馬到根节点iV〇的路径为P,并把路径P上的每个节点及其兄??弟节点组成一个集合5记作卩。生成集合卩的具体实例参见图4-3。对??于尸中的任意节点,如果没有验证密钥被分配给该15■点,那么签名者调用??.(〇讀,O'sfe)?e?NPUpdate(i)岭并将新产隹的验证密钥併欢分配给该节点0.???对于路径P上的任何一个内部节点W?{為,%,…,7^4},签名者对其??两个乎节点,即和A¥,的哈希值进行签名5得到局部一次签名,,即??q+NPSig(咪,孖(Af+1||iV^))。对于叶f节点iV心签名者对消息的??哈希值进行签名,得到局部一次签名,即NPSig(吨〇為,丑(财))。最??终,签名者输出集合卩中每个节点对应的一次验证密钥以及所有的局部一??次签名作为最终对消息M的签名,即a?=?((Af+1||iV^,内)初0山...4一1},?)。??(N2)?{Ni)??A?A??(i/?V)??(<)?V)??M?=?Md??图4_3?NSIG方案中的二叉树1??方案描述.令NPOS?=?(NPGen,NPUpdate,NPSig,?NPVer)为局部一次签名方案,其??消息空间为AWos,一次验证密钥空间0V/C。??1路徑上点为深紫色,其相邻节点为識紫色;所灣路径上?节点和其栢邻节点组??Jja#?v?=?{:況0,沁,对、竭,对,对,]%....对,爲};??意财(=Ma)?m赛为〇■=??((JV3〇,ff〇),(i\firffi)?--.?Mo?=?Ml?=愚Ijjvf,?Afe?=??对狐.....,=?Ni
本文编号:3108996
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:154 页
【学位级别】:博士
【部分图文】:
图3-6集合示意图s红色节点及其随机数r?属于集合??
上海交通大学博士学位论文?第四章后量子安全的紧致安全数字签名方案的通用构造??POS??m-rma??+?1?§4.3'?j ̄P〇S^I?¥4.3.3?丨露.方靠?I??|?m-ncma?树状结构?m-ncma?、??P〇S?j?+?I?44^?|签名方案??m-rma?f?ra-crna??POS?J??m-ncma,??图4-1紧致77TK37W安全签名方案的构造路径??为了解决这些问题,在本文中,我们首先发现我们可以构造出基于环上的??LWE假设构造:了一个.非常弱的密码孝构件局部一次签名(partial?one-time:?sig???nature,?POS)?方案?,其正确性不完美且安全性很弱?a?这个签名方案的构造思路是受??Abdalla等的ID?(identification)方案[41]启发,而POS的弱安全性可以被刻画为??多用户环境下抗随机消息攻击(m-rma)的安全性。??于是我们誓要解决的就是如何从m-rma安全、正确性不完美的POS方案构??造m-ma安全的签名方案,且其安全性规约是紧致的。为此,我们提出了一个新??的多用户环境下紧致安全数字签名的通用构造,它的构造过程分为以个歩骤。??图示见圈4-1。??(1)?POS:从'm-rma安全性到m-wema安全性.从安全.、旦具有p-jE,??确性(p?=?的P0S方案,我们的第一步就是结合两个这样的P0S方??案,来得到m-nc腿安全、且具有几乎完美正确性的POS方案。??(2)实现m-?,.cma安全性.我们将上一歩中m-?zem.a.安全的POS方案应用到??树状结构中得到饥-wcma安全的簦:名方案。.??⑶实现m
第四章后量子安全的紧致安全数字签名方案的通用构造?上海交通大学博士学位论文??叶予节点馬到根节点iV〇的路径为P,并把路径P上的每个节点及其兄??弟节点组成一个集合5记作卩。生成集合卩的具体实例参见图4-3。对??于尸中的任意节点,如果没有验证密钥被分配给该15■点,那么签名者调用??.(〇讀,O'sfe)?e?NPUpdate(i)岭并将新产隹的验证密钥併欢分配给该节点0.???对于路径P上的任何一个内部节点W?{為,%,…,7^4},签名者对其??两个乎节点,即和A¥,的哈希值进行签名5得到局部一次签名,,即??q+NPSig(咪,孖(Af+1||iV^))。对于叶f节点iV心签名者对消息的??哈希值进行签名,得到局部一次签名,即NPSig(吨〇為,丑(财))。最??终,签名者输出集合卩中每个节点对应的一次验证密钥以及所有的局部一??次签名作为最终对消息M的签名,即a?=?((Af+1||iV^,内)初0山...4一1},?)。??(N2)?{Ni)??A?A??(i/?V)??(<)?V)??M?=?Md??图4_3?NSIG方案中的二叉树1??方案描述.令NPOS?=?(NPGen,NPUpdate,NPSig,?NPVer)为局部一次签名方案,其??消息空间为AWos,一次验证密钥空间0V/C。??1路徑上点为深紫色,其相邻节点为識紫色;所灣路径上?节点和其栢邻节点组??Jja#?v?=?{:況0,沁,对、竭,对,对,]%....对,爲};??意财(=Ma)?m赛为〇■=??((JV3〇,ff〇),(i\firffi)?--.?Mo?=?Ml?=愚Ijjvf,?Afe?=??对狐.....,=?Ni
本文编号:3108996
本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/3108996.html
