30、密码学中的安全与归约

密码学中的安全与归约

1. GHR签名方案的安全性

在密码学中，签名方案的安全性至关重要。这里我们探讨Gennaro - Halevi - Rabin（GHR）签名方案的安全性，它与RSA问题存在一定的关联。

1.1 RSA问题与弱RSA问题

• RSA问题 ：已知公开的$N$、$e$、$y$和秘密的$x$、$d$，它们的比特长度均为$n$，满足$y = x^e$且$x = y^d$在$\mathbb{Z}_N^*$中。RSA问题是根据公开数据计算$x$，RSA假设认为该问题难以在多项式时间内解决。
• 弱RSA问题 ：输入为RSA模数$N = pq$和$y \in \mathbb{Z}_N^ $，输出为$x \in \mathbb{Z}_N^ $和整数$c \geq 2$，使得$y = x^c$在$\mathbb{Z}_N^*$中。显然，RSA问题的解可以解决弱RSA问题，即弱RSA问题$\leq_p$ RSA问题。

1.2 从弱RSA问题到伪造GHR签名的归约

为了解决弱RSA问题，我们使用一个能伪造具有相同模数$N$的GHR签名的算法$F$。归约算法$A$的步骤如下：

Algorithm 9.8. Reduction A from weak RSA to forging GHR signatures.
Input: RSA modulus N, y ∈ Z×N.
Output: x, c with x