BLS signature
G1,G2 and GT 是(乘法)循環群,屬於指令P g1 產生於G1 g2 產生於G2 e 是一可計算的雙線性映射 e : G1 × G2 → GT
co-CDH, co-DDH and co-GDH problems 計算 co-Diffie-Hellman (co-CDH) on (G1,G2): 假設 g2,g2a∈G2 and h ∈ G1, 計算 ha ∈ G1. 決定 co-Diffie-Hellman (co-DDH) on (G1,G2): 假設 g2,g2a ∈ G2 and h,hb ∈ G1, Output YES if a = b and Output no otherwise
一個成功概率算法 A 在解決 co-CDH problem on (G1, G2) 兩組(G1, G2) 是一(τ, t,ε)-co-GDH group pair : - 在兩組群運算G1 and G2 and the map ψ可 以計算在大部分時間τ - co-DDH問題在(G1, G2)可以解決大部分的時間 τ 沒有算法 (t,ε)-breaks co-CDH on (G1, G2)
當(G1, G1)是一 (τ, t, ε)-co-GDH group pair 我們說 G1 是一 (τ, t, ε)-GDH group 雙線性映射
短簽名方案 允許(G1, G2) 是(t,ε)-co-GDH 組對 |G1| = |G2| = p 哈希函數H: {0, 1}∗ → G1 該簽名方案包含三個運算法則,密碼生成,簽名和驗證
密碼生成: 私鑰 公鑰 簽名: 驗證:
安全 安全簽名計劃相對存在偽造在適應性選擇,消息攻擊下在隨機預言模型 存在偽造 -創造(尤對手)任何信息m和一有效的簽名σ為m,其中m尚未簽署 -該消息m不必有任何特殊的含義,只要這一對(m,σ) 是有效的,敵手已經成功地構建一個存在偽造 -存在偽造是實質上那些最弱的敵對目標,因此,最強烈的那些計劃“其存在是不可偽造的”
適應的選擇,訊息攻擊 -攻擊模型為了數位簽名 -攻擊者可以要求一預言式簽名簽署任意訊息 -他可以這樣做多次和適應他所選擇的基礎,這個結果屬於前面的簽名查詢 -攻擊被認為是成功的,如果攻擊者可以想出一個簽名的訊息為此他以前沒有要求簽名