Schnorr签名与DSA和DLP的安全性

Schnorr签名方案是带有附录的随机签名方案。签名是$ 3t $位，用于在选定消息设置中推测$ t $位的安全性，最多向签名人查询$ 2 ^ {t / 2} $；问题后面将忠实于参考文件。

它很简单，比DSA签名或我能找到的任何其他带有附录的签名方案紧凑25％。当与任意非冗余消息一起使用时，我所理解的具有消息恢复功能的基于DL的签名方案（该DL-MR参考书目的子集）在紧凑性方面没有击败它。 br />它对竞争者有什么弊端（除了长期的专利问题）？

为什么后来的博览会默默地使用$ 2t $位的哈希值，而使用$ 4t $位的签名，包括学者[HAC1996]和当前的国际标准[ISO14888]（对原始哈希的狭义性含糊不清的不安之情）？

是否存在一种安全性可以说等同于DSA的方案（或者更好， DLP或相关），但具有原始Schnorr签名方案的紧凑性？如果不是，那么如何用最后提出的较小修改来证明某些内容，从而对每个消息的秘密生成进行非随机化，使用依赖于公钥的哈希，并将哈希值加倍以用于验证的指数？ >

Schnorr签名书目

[Sc89a]：Claus-Peter Schnorr，一种用于在数据交换系统中进行用户识别以及电子签名的生成和验证的方法，欧洲的EP0383985专利登记簿，1989年；
[Sc89b]：id，在Crypto 1989中进行的智能卡的有效标识和签名；
[Sc90a]：id。，用于标识用户以及生成和标识用户的方法验证数据交换系统中的电子签名，1990年，欧洲专利注册簿中的EP0384475；
[Sc90b]：同上，在数据交换系统中用于识别订户以及生成和验证电子签名的方法，美国专利4,995,082；
[Sc91]：同上，通过智能卡进行有效签名生成，在密码学杂志，1991.

[HAC96]：Alfred J. Menezes，Paul C. van Oorschot，Scott A. Vanstone应用密码学手册，1996年，第11.5.3节。

[PS96]：David Pointcheval，Jacques Stern，签名方案的安全证明，在Crypto 1996诉讼中；
[PS00]：id。，《数字签名和盲签名的安全性论点》，《密码学杂志》，2000年。 br />
[BN06]：Mihir Bellare，Gregory Neven，在ACM的CCS 2006诉讼中使用普通公钥模型中的多重签名和一般的分叉引理。

[NSW09 ]：Gregory Neven，Nigel Smart，Bogdan Warinschi，Schnorr签名的哈希函数要求，在《数学密码学杂志》上，2009年。实体需要一种散列函数，而不仅仅是哈希函数，它需要具有随机前缀的抵抗能力。ePrint2015。 >
[KMP16]：Eike Kiltz，Daniel Masny，潘嘉欣，来自标识方案的签名的最佳安全证明，在Crypto 2016诉讼中。

[ISO14888]：ISO / IEC 14888- 3（当前为2016年第3版），信息技术-安全技术-带有附录的数字签名-第3部分：基于离散对数的机制，在ISO（预览）和IEC（预览）处。


原始Schnorr签名方案

基于[Sc91]。注意到该方案适用于DL问题较难的任何订单$ q $组，但我们使用原始符号及其示例，即所选消息设置中的假定安全复杂度$ t = 72 $位。

一次初始化：


$ \ $ 2 $$位的原始$ q $（例如，超过140位的$ q $）
质数$ p $和$ q $除以$ p-1 $（例如，超过512位的$ p $，带有警告）
生成器$ \ $$订单$ q $;即$ \ alpha ^ q \ equiv1 \ pmod p $，$ \ alpha \ ne1 \ pmod q $

单向哈希函数$ h：\ mathbb Z_p ^ * \ times \ {0， 1 \} ^ * \ to \ {0,1 \} ^ t $$


散列$ h $必须使得对于任何固定的$ x $，函数$ m \ to h（x，m）$是单向的（对于固定的$ x $，其耐原像）。 $ h（x，m）$应该是大约均匀分布的，至少要考虑$ x $的$ \ lceil \ log_2q \ rceil $（现代密码哈希满足这些要求）。

密钥设置（每个用户）：


选择私钥$ s $（均匀地）随机放入$ \ {1,2，\ dots，q \} $

发布公共密钥$ v \ gets \ alpha ^ {-s} \ bmod p $


消息签名$ m $：


选择$ r $（均匀地）随机放在$ \ {1,2，\ dots，q \} $

$ x \ gets \ alpha ^ r \ bmod p $
$ e \ gets h（x，m）$
$ y \得到r + s \，e \ bmod q $
输出签名$（e，y）$


验证涉嫌消息$ m $，签名$ {e，y）$，已验证公钥$ v $


$ \ bar x \ gets \ alpha ^ y \，v ^ e \ bmod p $
检查$ e = h（\ bar x，m）$


正版签名检查是因为$ \ bar x \ equiv \ alpha ^ y \， v ^ e \ equiv \ alpha ^ {r + s \，e} \，\ alpha ^ {-s \，e} \ equiv \ alpha ^ r \ equiv x \ pmod p $。

在$ r $秘密且一致地随机且$ y = r + s \，e \ bmod q $的情况下，对$（y，e）$本身的了解不会泄漏任何内容$ s $。请参阅该文章，以获取其他有关安全性方面的论点，这些论点全部是：可行的攻击有效，但代价至少为$ 2 ^ t $哈希或破坏DLP或显然更复杂的问题，另外还涉及$ h $。

注意：[Sc89a]，[Sc90a]和[Sc91]（但不包括[Sc89b]）提到该系统可以移调到其他组，例如椭圆曲线组。


暂定：加强Schnorr签名方案

我提出了三个独立的更改，它们保持相同的签名大小。总体目标是提高安全性，并可能使其降低为所用组中的DLP。


替换在$ \ {1,2，\ dots，q中随机选择$ r $ \} $签名时，由$ r = \ operatorname {mac}（s，m）$加上$ \ operatorname {mac}：\ {1,2，\ dots，q \} \ times \ {0,1 \} ^ * \ to \ {1,2 \ dots，q \} $。
合理性：消除对RNG的需求，而这种失败是（EC）DSA中灾难的一种经过实践检验的配方。这种去随机化技术已用于许多现代签名方案中，包括Ed25519（归因于George Barwood，1997年2月，sci.crypt）。
使$ h $依赖于公钥$ v $，并针对安全性在ROM中;因此$ h：\ mathbb Z_p ^ * \ times \ mathbb Z_p ^ * \ times \ {0,1 \} ^ * \ to \ {0,1 \} ^ t $，结果记为$ h_v（x，m） $
合理性：更好地支持每个公钥$ 2 ^ {t / 2} $个所选签名的安全性声明；不能使用具有哈希属性的游戏，因为哈希变得相对便宜。
添加哈希函数$ h'$取决于公钥$ v $和消息$ m $，从而将$ e $扩展到$ q的宽度$使用前$。$ h'：\ {1,2，\ dots，q \} \ times \ {0,1 \} ^ t \ times \ {0,1 \} ^ * \ to \ {1,2， \ dots，2 ^ {\ left \ lfloor \ log_2（q）\ right \ rfloor} \} $，结果记为$ h_v'（e，m）$
签名被修改为执行$ y \ gets r + s \，h_v'（e，m）\ bmod q $
修改验证以执行$ \ bar x \ gets \ alpha ^ y \，v ^ {h_v'（e，m）} \ bmod p $
理论值：


引入$ h'$可以使$ v $在验证中的$ v $指数在$ m $变化时到达大部分指数域，而不是小数其中$ 2 ^ {-t} $，希望可以帮助重用[PS96]或[NSW09]中的安全性参数。
使用“ Shamir的把戏”时，由于额外的宽度导致签名验证成本的增加很低$ \ alpha ^ y \，v ^ {h_v'（e，m）} \ bmod p $中组合两个模幂的方法。
仅对$ h $的第二次过早映像攻击就不再导致伪造（如果没有$ h'$，则这种暴力攻击可能是蛮力的，预计$ h $的$ 2 ^ t $会调用$ h $，而$ m $会被更改，并且没有组操作）。
相对较窄的$ e $被屏蔽在两个散列之间。



注意：散列大$ m $的开销可能$ \ operatorname {mac}（s，m）$（仅用于签名者），$ h_v（x，m）$和$ h_v'（e，m）$之间共享，方法是使用$ m $宽$ \ ge2t $作为中间的通用步骤。