密码学归约证明——哈希签名范式的安全性

1. 哈希碰撞发现实验HashcollA,H(n)Hashcoll_{A,H} (n)HashcollA,H(n)

产生密钥s←Gen(1n)s\leftarrow Gen(1^n )s←Gen(1n)；
敌手AAA输入sss并输出xxx和x′x'x′；
当且仅当x≠x′x\neq x'x=x′且Hs(x)=Hs(x′)H^s (x)=H^s (x')Hs(x)=Hs(x′)，实验输出111。

2. 抗碰撞散列函数CRHF

\qquad对任意的多项式时间敌手AAA，存在可忽略函数neglneglnegl，满足Pr[HashcollA,H(n)=1]≤negl(n)Pr[Hashcoll_{A,H} (n)=1]\leq negl(n)Pr[HashcollA,H(n)=1]≤negl(n)，则哈希函数HHH是抗碰撞的。

3. 数字签名实验SigforgeA,Π(n)Sigforge_{A,\Pi} (n)SigforgeA,Π(n)

获得公钥私钥(pk,sk)←Gen(1n)(pk,sk)\leftarrow Gen(1^n )(pk,sk)←Gen(1n)；
将pkpkpk和访问预言机Sign(⋅)Sign(\cdot )Sign(⋅)的权利交给敌手AAA。敌手输出(m,σ)(m,\sigma)(m,σ)。设QQQ为AAA的问询集合。
当且仅当Vrfypk(m,σ)=1Vrfy_{pk} (m,\sigma)=1Vrfypk(m,σ)=1且m∉Qm\notin Qm∈/Q时，实验输出111。

\qquad若对于任意的多项式时间敌手，存在可忽略函数neglneglnegl，使得Pr[SigforgeA,Π(n)=1]≤negl(n)Pr[Sigforge_{A,\Pi} (n)=1]\leq negl(n)Pr[SigforgeA,Π(n)=1]≤negl(n)，则称此数字签名方案是CMACMACMA安全的。

4. 哈希签名范式

设Π=(GenS,Sign,Vrfy)\Pi=(Gen_S,Sign,Vrfy)Π=(GenS,Sign,Vrfy)，ΠH=(GenH,H)\Pi_H=(Gen_H,H)ΠH=(GenH,H)，定义签名方案Π′\Pi'Π′：

Gen′Gen'Gen′：s←GenH(1n)s\leftarrow Gen_H (1^n )s←GenH(1n)，(pk,sk)←GenS(1n)(pk,sk)\leftarrow Gen_S (1^n )(pk,sk)←GenS(1n)。令pk′=⟨pk,s⟩pk'=\langle pk,s \ranglepk′=⟨pk,s⟩，sk′=⟨sk,s⟩sk'=\langle sk,s\ranglesk′=⟨sk,s⟩；
Sign′Sign'Sign′：输入sk′sk'sk′和m∈{0,1}∗m∈\{0,1\}^*m∈{0,1}∗，输出σ←Signsk(Hs(m))\sigma \leftarrow Sign_{sk} (H^s (m))σ←Signsk(Hs(m))；
Vrfy′Vrfy'Vrfy′：输入pk′pk'pk′，m∈{0,1}∗m∈\{0,1\}^*m∈{0,1}∗和σ∈{0,1}∗\sigma \in \{0,1\}^*σ∈{0,1}∗，如果Vrfypk(Hs(m))=σVrfy_{pk} (H^s (m))=\sigmaVrfypk(Hs(m))=σ输出111。

5. 哈希签名范式的CMA安全性

\qquad若Π\PiΠ是CMACMACMA安全的签名方案，ΠH\Pi_HΠH是CRHFCRHFCRHF，则哈希签名范式Π′\Pi'Π′是CMACMACMA安全的。

\qquad设事件collcollcoll为在实验SigforgeA′,Π′Sigforge_{A',\Pi'}SigforgeA′,Π′中存在m′∈Qm'\in Qm′∈Q，对于Hs(m′)=Hs(m)H^s (m' )=H^s (m)Hs(m′)=Hs(m)。于是

Pr[SigforgeA′,Π′(n)=1]=Pr[SigforgeA′,Π′(n)=1∧coll]+Pr[SigforgeA′,Π′(n)=1∧coll‾]Pr[Sigforge_{A',\Pi' } (n)=1]=Pr[Sigforge_{A',\Pi' } (n)=1\wedge coll]+Pr[Sigforge_{A',\Pi' } (n)=1\wedge \overline{coll} ]Pr[SigforgeA′,Π′(n)=1]=Pr[SigforgeA′,Π′(n)=1∧coll]+Pr[SigforgeA′,Π′(n)=1∧coll] ≤Pr[coll]+Pr[Sig−forgeA′,Π′(n)=1∧coll‾]\leq Pr[coll]+Pr[Sig-forge{A',\Pi' } (n)=1\wedge \overline{coll}]≤Pr[coll]+Pr[Sig−forgeA′,Π′(n)=1∧coll]。

\qquad考虑找到ΠH\Pi_HΠH的碰撞的算法CCC：输入sss，

(pk,sk)←Gens(1n)(pk,sk)\leftarrow Gen_s (1^n )(pk,sk)←Gens(1n)，令pk′=⟨pk,s⟩pk'=\langle pk,s\ranglepk′=⟨pk,s⟩；
输入pk′pk'pk′，运行A′A'A′。当A′A'A′问询第iii个签名时，计算σi←Signsk(Hs(m))\sigma_i\leftarrow Sign_{sk} (H^s (m))σi←Signsk(Hs(m))，将σi\sigma_iσi给A′A'A′；
A′A'A′输出(m,σ)(m,\sigma)(m,σ)。若存在iii，使得Hs(m)=Hs(mi)H^s (m)=H^s (m_i )Hs(m)=Hs(mi)，则输出(m,mi)(m,m_i )(m,mi)。

\qquad分析CCC的行为。当算法CCC的输入sss来自GenH(1n)Gen_H (1^n )GenH(1n)时，A′A'A′作为CCC的子程序运行所见情形与实验SigforgeA′,Π′Sigforge_{A',\Pi'}SigforgeA′,Π′中相同。因为当collcollcoll发生时，CCC输出一个碰撞，得到

Pr[coll]=Pr[HashcollC,ΠH(n)=1]≤negl1(n)Pr[coll]=Pr[Hashcoll_{C,\Pi_H } (n)=1]\leq negl_1 (n)Pr[coll]=Pr[HashcollC,ΠH(n)=1]≤negl1(n)。

\qquad考虑攻击Π\PiΠ的敌手AAA：输入pkpkpk，

s←GenH(1n)s\leftarrow Gen_H (1^n )s←GenH(1n)，令pk′=⟨pk,s⟩pk'=\langle pk,s\ranglepk′=⟨pk,s⟩；
输入pk′pk'pk′，运行A′A'A′。当A′A'A′问询第iii个签名时，计算Hs(mi)H^s (m_i )Hs(mi)，向签名预言机问询σi\sigma_iσi，交给A′A'A′；
A′A'A′输出(m,σ)(m,\sigma)(m,σ)。输出⟨Hs(m),σ⟩\langle H^s (m),\sigma \rangle⟨Hs(m),σ⟩。

\qquad实验SigforgeA,ΠSigforge_{A,\Pi}SigforgeA,Π中，A′A'A′作为CCC的子程序运行所见情形与实验相同。此外，当SigforgeA′,Π′(n)=1Sigforge_{A',\Pi' } (n)=1SigforgeA′,Π′(n)=1和coll‾\overline{coll}coll同时发生时，AAA输出一个伪造。因此

Pr[SigforgeA′,Π′(n)=1∧coll‾]=Pr[SigforgeA,Π(n)=1]≤negl2(n)Pr[Sigforge_{A',\Pi' } (n)=1\wedge \overline{coll}]=Pr[Sigforge_{A,\Pi} (n)=1]\leq negl_2 (n)Pr[SigforgeA′,Π′(n)=1∧coll]=Pr[SigforgeA,Π(n)=1]≤negl2(n)。
\qquad所以 Pr[SigforgeA′,Π′(n)=1]≤negl(n)Pr[Sigforge_{A',\Pi'} (n)=1]\leq negl(n)Pr[SigforgeA′,Π′(n)=1]≤negl(n)。

6. 参考文献

乔纳森.卡茨，耶胡达.林德尔著，任伟译，现代密码学——原理与协议，国防工业出版社，2017年第一版第4次印刷.