bls signature
DESCRIPTION
BLS signature. G 1 ,G 2 and G T 是 ( 乘法 ) 循環群 , 屬於指令 P g1 ← G1 ; g2 ←G2 g 1 產生於 G 1 g 2 產生於 G 2 Ψ 是一 可計算的同構從 G 2 到 G 1 , 用 Ψ ( g 2 ) = g 1 e 是一 可計算的雙線性映射 e : G 1 × G 2 → G T. co-CDH, co-DDH and co-GDH problems. 計算 co-Diffie-Hellman (co-CDH) on (G 1 ,G 2 ): - PowerPoint PPT PresentationTRANSCRIPT
BLS signatureBLS signature
GG11,G,G22 and G and GT T 是是 (( 乘法乘法 ))循環群循環群 ,, 屬於指令屬於指令 PP
g1 ← G1 g1 ← G1 ; ; g2 ←G2g2 ←G2
gg11 產生於產生於 GG11
gg2 2 產生於產生於 GG22
ΨΨ 是一是一可計算的同構從可計算的同構從 GG22 到 到 GG1 1 , , 用用 ΨΨ ((gg22) = ) =
gg11
ee 是一是一可計算的雙線性映射 可計算的雙線性映射 ee : : GG1 1 × × GG2 2 →→ GGTT
co-CDH, co-DDH and co-GDH problemsco-CDH, co-DDH and co-GDH problems
計算 計算 co-Diffie-Hellman (co-CDH) on (Gco-Diffie-Hellman (co-CDH) on (G11,G,G22):):
假設 假設 gg22,g,g22aa∈∈GG22 and h and h ∈∈ G G11, , 計算 計算 hhaa ∈∈ G G11..
決定 決定 co-Diffie-Hellman (co-DDH) on (Gco-Diffie-Hellman (co-DDH) on (G11,G,G22):):
假設 假設 gg22,g,g22aa ∈∈ G G22 and h,h and h,hbb ∈∈ G G11, Output YES i, Output YES i
f a = b and Output no otherwisef a = b and Output no otherwise
一個成功概率算法 一個成功概率算法 A A 在解決 在解決 co-CDH problco-CDH problem on (em on (GG11, G, G22))
兩組兩組 ((GG11, G, G22)) 是一是一 ((τ, τ, tt,ε,ε)-co-GDH group pai)-co-GDH group pai
r :r : - - 在兩組群運算在兩組群運算 GG11 and and GG22 and the map and the map ψψ 可 可
以計算在大部分時間以計算在大部分時間 ττ - - co-DDHco-DDH 問題在問題在 ((GG11, G, G22)) 可以解決大部分的可以解決大部分的
時間時間 ττ 沒有算法 沒有算法 ((tt,ε,ε)-breaks co-CDH on ()-breaks co-CDH on (GG11, G, G22))
當當 ((GG11, G, G11)) 是一 是一 ((τ, τ, tt, ε, ε)-co-GDH group pair )-co-GDH group pair
我們說 我們說 GG11 是一 是一 ((τ, τ, tt, ε, ε)-GDH group)-GDH group
雙線性映射 雙線性映射
短簽名方案短簽名方案 允許允許 ((GG11, G, G2)2) 是是 ((tt,ε,ε)-co-GDH )-co-GDH 組對組對 ||GG11| = || = |GG22| = | = pp
哈希函數哈希函數 HH: {0: {0, , 1}1}∗∗ → → GG11
簽字簽字 σσ 是是 一個屬於 一個屬於 GG11 的要素的要素 該簽名方案包含三個運算法則,密碼生成,該簽名方案包含三個運算法則,密碼生成,
簽名和驗證簽名和驗證
密碼生成密碼生成 :: 私鑰私鑰 公鑰公鑰 簽名簽名 ::
驗證驗證 ::
Rpx
2 2 ( )xv g G
1
1
( ),
, x
h H M where h G
h where G
2
2
( , , , ) is a co-DH tuple
( , ) ( , ) ?
g v h
Verifye g e h v
2 2 2 2( , ) ( , ) ( , ) ( , ) ( , )x x xe g e h g e h g e h g e h v
安全安全 安全簽名計劃相對存在偽造在適應性選擇,消息攻擊安全簽名計劃相對存在偽造在適應性選擇,消息攻擊
下在隨機預言模型下在隨機預言模型 存在偽造 存在偽造 -- 創造(尤對手)任何信息創造(尤對手)任何信息 mm 和一有效的簽名和一有效的簽名 σσ 為為 m,m,
其中其中 mm 尚未簽署尚未簽署 -- 該消息該消息 mm 不必有任何特殊的含義不必有任何特殊的含義 ,, 只要這一對只要這一對 (m,σ) (m,σ)
是有效的是有效的 ,, 敵手已經成功地構建一個存在偽造敵手已經成功地構建一個存在偽造 -- 存在偽造是實質上那些最弱的敵對目標存在偽造是實質上那些最弱的敵對目標 ,, 因此,因此,
最強烈的那些計劃“其存在是不可偽造的”最強烈的那些計劃“其存在是不可偽造的”
適應的選擇適應的選擇 ,, 訊息攻擊訊息攻擊 -- 攻擊模型為了數位簽名攻擊模型為了數位簽名 -- 攻擊者可以要求一預言式簽名簽署任意訊息攻擊者可以要求一預言式簽名簽署任意訊息 -- 他可以這樣做多次和適應他所選擇的基礎他可以這樣做多次和適應他所選擇的基礎 ,,
這個結果屬於前面的簽名查詢這個結果屬於前面的簽名查詢 -- 攻擊被認為是成功的攻擊被認為是成功的 ,, 如果攻擊者可以想出如果攻擊者可以想出
一個簽名的訊息為此他以前沒有要求簽名一個簽名的訊息為此他以前沒有要求簽名