BLS签名形式化安全证明（十四行诗版）

作者：Kurt Pan

定理：
如果哈希函数
$H$ 是随机预言
且如果CDH问题是困难的
则BLS签名方案是选择消息攻击下存在不可伪造（EU-CMA) 安全的
安全损失
$L = q_{H}$ ，
$q_{H}$ 是对随机预言哈希查询的次数

证明：

假设存在敌手

A

可以

(t, q_{s}, ε)

攻破
BLS签名方案的EU-CMA安全

构造模拟器

B

以解决CDH问题

B

的输入是CDH实例

(g, g^{a}, g^{b})

目标是输出CDH问题的解

g^{a b}

同时

B

控制着随机预言
且运行

A

的实例

B

的模拟过程如下：

初始化

B

将公钥

p k

设置为
来自于CDH实例的

g^{a}

私钥

s k = a

哈希查询

在收到敌手的哈希查询前

B

随机选择整数

i^{*} \in [1, q_{H}]

，
接着准备一个开始为空的哈希列表
记录所有的查询和应答

令第

i

个哈希查询是

m_{i}

如果

m_{i}

已在哈希列表中

B

依表来返回该查询

否则，

B

在

Z_{p}

中随机选择

w_{i}

并设置

H (m_{i})

如下：

H (m_{i}) = {\begin{cases} g^{b + w_{i}} & 当 i = i^{*} \\ g^{w_{i}} \end{cases}

B

以

H (m_{i})

应答查询
并添加

(i, m_{i}, w_{i}, H (m_{i}))

到哈希列表中

签名查询

对消息

m_{i}

的签名查询
如果

m_{i}

就是那哈希列表中的第

i^{*}

次查询的消息，中止。
否则，有

H (m_{i}) = g^{w_{i}}

B

计算

σ_{m_{i}}

如下

σ_{m_{i}} = {(g^{a})}^{w_{i}}

由于

σ_{m_{i}} = H {(m_{i})}^{a} = {(g^{w_{i}})}^{a} = {(g^{a})}^{w_{i}}

因此

σ_{m_{i}}

是

m_{i}

的一个有效签名

伪造

敌手对某个没有查询过的消息

m^{*}

输出一个伪造的签名

σ_{m^{*}}

如果

m^{*}

并非是那哈希列表中的第

i^{*}

个查询的消息，中止。
否则，有

H (m^{*}) = g^{b + w_{i^{*}}}

由于

σ_{m^{*}} = H {(m^{*})}^{a} = {(g^{b + w_{i^{*}}})}^{a} = g^{a b + a w_{i^{*}}}

B

计算

\frac{σ_{m^{*}}}{{(g^{a})}^{w_{i^{*}}}} = \frac{g^{a b + a w_{i^{*}}}}{{(g^{a})}^{w_{i^{*}}}} = g^{a b}

作为CDH问题实例的解

模拟器构造如是说

◻

如果模拟器成功猜出

i^{*}

所有的查询签名可模拟
成功模拟和有效攻击的概率为

\frac{1}{q_{H}}

解决CDH问题的概率为

\frac{ε}{q_{H}}

模拟器运行时间为

t + T_{s}

T_{s} = O (q_{H} + q_{s})

证毕

◼