ความปลอดภัยเชิงปริมาณของรูปแบบลายเซ็นที่ได้รับจาก Fiat-Shamir tranform

ฉันกำลังมองหาหลักฐานเชิงปริมาณแต่เรียบง่ายของ EUF-CMA ความปลอดภัยของรูปแบบลายเซ็นที่ได้รับจากการแปลง Fiat-Shamir

เรียกคืนการแปลง Fiat-Shamir เริ่มต้นจากโปรโตคอลการระบุ 3 รอบพร้อมข้อความ $(ฉัน,r,s)$, ที่ไหน $I$ คือความมุ่งมั่นท้าทายของผู้พิสูจน์ $r$ ถูกเลือกอย่างเท่าเทียมกันโดยการสุ่มในชุด $\โอเมก้า$ โดยผู้ตรวจสอบ $s$ เป็นหลักฐาน มันใช้แฮช $H$ เข้าไปข้างใน $\โอเมก้า$.

การสร้างคู่กุญแจ $(\mathrm{pk},\mathrm{sk})$ ในรูปแบบลายเซ็นเป็นไปตามโปรโตคอลการระบุตัวตน เพื่อลงชื่อข้อความ $M$ผู้พิสูจน์สร้าง $I$ เช่นเดียวกับในโปรโตคอลการระบุ คำนวณ $r:=H(I,M)$, แล้ว $s$ เช่นเดียวกับในโปรโตคอลการระบุตัวตนแล้วเซ็นชื่อ¹ $\sigma:=(I,s)$. อัลกอริทึมการตรวจสอบจะคำนวณ $r:=H(I,M)$ จากนั้นใช้ขั้นตอนการตรวจสอบเดียวกันกับโปรโตคอลการระบุตัวตน นั่นคือการตรวจสอบ $\mathcal V(\mathrm{pk},r,s)=I$.

โดย เชิงปริมาณฉันหมายความว่าเราถือว่าฝ่ายตรงข้ามสามารถทำลายรูปแบบลายเซ็นด้วยความน่าจะเป็นเป็นอย่างน้อย $\epsilon$ ด้วยเวลา/ความพยายาม $t$, $Q_S$ สอบถามไปยัง oracle ลายเซ็น $Q_H$ สอบถามแฮชออราเคิล และได้รับขอบเขตบนของความน่าจะเป็นที่ฝ่ายตรงข้ามสามารถทำลายแผนการระบุตัวตนด้วยเวลา/ความพยายาม

ฉันสบายดีกับขอบเขตที่อยู่ภายในค่าคงที่จากค่าที่เหมาะสม ต้องการคุณสมบัติที่เป็นไปได้ใด ๆ ในโครงการระบุ 3 รอบเช่น $I$ ถูกสุ่มอย่างสม่ำเสมอในชุดใหญ่พอ $H$ ถูกจำลองเป็นออราเคิลแบบสุ่ม อัลกอริทึมอะไรก็ตามที่เป็นเวลาโพลิโนเมียลแบบสุ่มหรือแม้แต่กำหนดขึ้นเอง (รวมถึงการใช้ PRG ที่เพาะด้วย $\mathrm{sk}$ และ $M$ สำหรับเทปสุ่มของอัลกอริทึมที่สร้าง $I$จึงทำให้ลายเซ็นถูกกำหนดขึ้น)

ฉันรู้ว่าการอ้างอิงมาตรฐานคือ David Pointcheval และ Jacques Stern's ข้อโต้แย้งด้านความปลอดภัยสำหรับลายเซ็นดิจิทัลและลายเซ็นตาบอด, ใน วารสารวิทยาการเข้ารหัสลับ, 2543แต่ฉันต้องการสิ่งที่ง่ายและเน้นมากขึ้น

¹ ลายเซ็นยังสามารถ $\sigma:=(r,s)$ หรือ $\sigma:=(I,r,s)$และมีการลดความปลอดภัยที่ค่อนข้างง่ายโดยเปรียบเทียบระหว่างสามสิ่งนี้