EUF-CMA

Posted 2022-10-15 JINKELA_

数字签名的传统安全要求为在自适应选择消息攻击下满足存在不可伪造性( existential unforgeability under adaptive chosen message a attacks，EUF- CMA ) EUF-CMA要求:已知公钥pk,概率多项式时间( probability polynomial-time, PPT)攻击者在获得它希望得到的有效数据签名后,能够为新数据M*计算出有效签名的概率是可忽略的.如果数字签名方案满足上述安全要求，那么有效的数字签名能让数据接收者相信其收到的数据没有被篡改，且数据的发送方就是相应公钥pk的拥有者.

概述
密码学中数字签名方案的安全模型主要包括两种: 存在性不可伪造(Existential Unforgeability against chosen-message attacks, EU-CMA)和强不可伪造(Strong Unforgeability against chosen-message attacks, SU-CMA), 本文主要对比这两种安全模型.

两种安全模型都是通过敌手(Adversary)和挑战者(Challenger)之间的游戏(Game)来定义的. 首先挑战者生成密钥对 ( p k , s k ) (pk,sk) (pk,sk) 并发送 p k pk pk 给敌手, 自己保存 s k sk sk 用来生成签名. 敌手可以自适应地提交任意消息, 挑战者根据敌手提交的消息生成对应的签名并返回给敌手. 最后, 敌手返回一个伪造的对未查询过的新消息的签名.