48、安全服务器辅助签名生成技术解析

安全服务器辅助签名生成技术解析

1. 隐私分析

1.1 隐私方案判定

一个方案若要具备隐私性，其发出的每组查询应与同等规模的均匀分布随机查询集无法区分。若在方案中选择足够数量的盲化因子，该方案便具有隐私性。

1.2 输入向量转换

输入向量 $(k_1, …, k_n)$ 会经过复制、引入依赖关系、盲化和置换等操作，转换为外包向量。在隐私分析中，主要考虑置换和盲化过程。盲化通过从盲化因子 $r_1, …, r_e$ 中选择 $d$ 个来生成，即 $k’ i = k_i + \sum {j=1}^{e} \gamma_{i,j}r_j$，其中 $\sum_{j=1}^{e} \gamma_{i,j} = d$ 且 $\gamma_{i,j} \in {0, 1}$。置换后的 $k’_i$ 列表会被发送到服务器。

1.3 攻击者假设分析

假设攻击者知道随机置换，可计算 $g^{k’ i}/g^{k_i} = g^{\rho_i}$，其中指数 $\rho_i = \sum {j=1}^{e} \gamma_{i,j}r_j$ 未知。有如下定理：
假设存在一种算法，给定 $g^{\rho_i}$（$\rho_i = \sum_{j=1}^{e} \gamma_{i,j}r_j$，$1 \leq i \leq n - 1$），能以成功率 $\epsilon$ 计算 $g^{\rho_n}$ 的离散对数，那么存在一种算法，能在期望时间 $O(1/\epsilon)$ 内以成功率 $\epsilon$ 计算任意输入的离散对数。

1.4 攻击类型分析