Proposition 4.1 Suppose that R is e

Döï Luaät 4.1 giả sử R là evasive (w.r.t. ' ra) và S là existentially unforgeable theo một lựa chọn tin nhắn tấn công trong mô hình Oracle ngẫu nhiên. Sau đó, SR cũng existentially unforgeabletheo một cuộc tấn công được lựa chọn thư trong mô hình Oracle ngẫu nhiên.Bằng chứng: Trực giác là kể từ khi R là lẫn tránh, nó infeasible cho forger để tìm thấy một m thông báo như vậymà (m, O(m)) ∈ R. Vì vậy, một giả mạo của đề án sửa đổi phải do mục (2), contradictingan ninh của lược đồ gốc.Chính thức, để cho AR là một kẻ thù những người tấn công thích nghi được lựa chọn thư SR, gắn kết vàcó xác suất thành công trong việc có được một giả mạo hiện sinh (trong mô hình Oracle ngẫu nhiên)FRG = frg(k). Giả sử, hướng tới sự mâu thuẫn, frg đó không phải là không đáng kể trong an ninh thông số k.Biểu thị bằng REL các sự kiện trong đó trong quá trình thực hiện một AR, nó tay ra một m thông báo chomà m (, O(m)) ∈R (hoặc như một truy vấn đến người ký tên chung trong cuộc tấn công của tin nhắn đã chọn, hoặc là cácthông điệp mà nó tìm thấy một giả mạo vào giữa), và để cho rel = rel(k) là xác suất màtổ chức sự kiện. Sử dụng các giả thuyết rằng R là evasive, bây giờ chúng ta chứng minh rằng rel là không đáng kể trong việc bảo mậttham số k. giả sử, ngược lại, rel đó không phải là không đáng kể. Sau đó, chúng tôi có thể cố gắng một cách hiệu quảTìm cặp (x, O(x)) ∈ R bằng cách chọn phím cặp cho S, và sau đó thực hiện các cuộc tấn công, chơivai trò của các thuật toán người ký và kẻ thù AR. Với rel xác suất, một trong những của ARCác tin nhắn trong cuộc tấn công này đáp ứng (m, O(m)) ∈R, vì vậy chỉ cần lựa chọn ngẫu nhiên một tin nhắn màđược sử dụng và outputting nó mang lại một xác suất thành công của rel/q (với q là số khác nhauthư được sử dụng trong cuộc tấn công). Nếu rel không phải là không đáng kể, sau đó nó không phải là rel/q, contradictingevasiveness R.Nó là rõ ràng rằng ngăn cản sự kiện REL, AR thực hiện đối với lược đồ gốc S nàogiống hệt nhau để thực hiện đối với SR Hence xác suất AR đã thành công trong việc có được mộthiện sinh giả mạo chống lại S là ít frg − t.đối Kể từ khi rel là không đáng kể, và frg là không, sau đó là của ARxác suất của việc thu thập một giả mạo hiện sinh chống lại S cũng không phải là không đáng kể, contradicting cácgiả bảo mật của S.Sửa đổi để S cho phép để phá vỡ các đề án lần SR khi thực hiện với một thực tếtoàn bộ F, trong trường hợp nơi R là quan hệ RF từ Döï Luaät 3,4. Thật vậy, như các hệ luỵ đếnMệnh đề 3.4 và 4.1, chúng tôi ngay lập tức có được:Hệ luỵ 4.2 cho mỗi hiệu quả computable ' ra toàn bộ F, có tồn tại một chương trình chữ kýđó là existentially unforgeable theo một cuộc tấn công được lựa chọn thư trong mô hình Oracle ngẫu nhiên, được nêu raKhi thực hiện với F, sơ đồ kết quả là hoàn toàn bể dưới một cuộc tấn công thích ứng thông điệp được lựa chọn, và existentially forgeable theo một cuộc tấn công chỉ có chìa khóa.

Dự 4.1 Giả sử rằng R là lảng tránh (wrt `ra) và S là existentially làm giả dưới một cơn nhắn được lựa chọn trong các ngẫu nhiên Oracle Model. Sau đó SR cũng là existentially làm giả
dưới một cơn nhắn được lựa chọn trong các mẫu ngẫu nhiên Oracle.
Chứng minh: Trực giác là kể từ khi R là lảng tránh, đó là không khả thi cho các thợ rèn để tìm thấy một thông điệp m để
đó (m, O (m)) ∈ R. do đó, một sự giả mạo của Đề án sửa đổi phải là do hàng (2), mâu thuẫn với
sự an toàn của các chương trình ban đầu.
Chính thức, để cho AR là một kẻ thù người gắn kết một adaptive chọn tấn công tin nhắn trên SR, và
có khả năng thành công trong việc có được một giả mạo hiện sinh (trong Random Oracle Model) là
? FRG =? FRG (k). Giả sử, hướng về mâu thuẫn, mà FRG? Không phải là không đáng kể trong các thông số an ninh k.
Ký hiệu của REL sự kiện mà trong một cuộc thi của AR, nó tay ra một thông điệp m cho
đó (m, O (m)) ∈R (hoặc như một truy vấn đến người ký tên trong vụ tấn công nhắn được lựa chọn, hoặc là
thông điệp mà nó tìm thấy một sự giả mạo ở cuối), và để cho? rel =? rel (k) là xác suất mà
sự kiện. Sử dụng các giả thuyết rằng R là lảng tránh, bây giờ chúng tôi chứng minh rằng? Rel là không đáng kể trong an ninh
thông số k. Giả sử, ngược lại, điều đó không? Rel là không đáng kể. Sau đó, chúng ta có thể cố gắng để có hiệu quả
tìm cặp (x, O (x)) ∈ R bằng cách chọn một cặp khóa cho S, và sau đó thực hiện các cuộc tấn công, chơi
vai trò của cả hai thuật toán ký và AR kẻ thù. Với xác suất? Rel, một trong AR của
thông điệp trong cuộc tấn công này đáp ứng (m, O (m)) ∈R, vì vậy chỉ cần lựa chọn ngẫu nhiên một thông điệp rằng
đã được sử dụng và xuất nó mang một xác suất thành công của? Rel / q (q phúc số lượng khác nhau
các thông điệp được sử dụng trong các cuộc tấn công). Nếu? Rel không phải là không đáng kể, thì không phải là? Rel / q, mâu thuẫn với
các evasiveness của R.
Rõ ràng là chặn các sự kiện REL, việc thực hiện các AR so với kế hoạch ban đầu S sẽ
được giống hệt nhau để thực hiện của nó chống lại SR. Do đó xác suất mà AR thành công trong việc có được một
sự giả mạo hiện sinh đối với S là ít nhất FRG -? Rel. Kể từ? Rel là không đáng kể, và? FRG không, sau đó AR của
xác suất có được một sự giả mạo hiện sinh đối với S cũng không phải là không đáng kể, trái ngược với
an ninh giả của S.
Việc sửa đổi để S cho phép để phá vỡ các chương trình SR sửa đổi khi thực hiện với một thực
quần thể F, trong trường hợp đó R là quan hệ từ RF Dự luật 3.4. Thật vậy, như hệ quả tất yếu cho
Döï Luaät 3.4 và 4.1, chúng tôi ngay lập tức có được:
Hệ luỵ 4.2 Đối với mỗi tính toán hiệu quả 'ngoài bộ quần áo đồng F, có tồn tại một chương trình chữ ký
đó là existentially làm giả dưới một cơn nhắn được lựa chọn trong các mẫu ngẫu nhiên Oracle, nhưng
khi thực hiện với F, sự phối kết quả là hoàn toàn vỡ dưới một adaptive chọn tấn công tin nhắn, và existentially forgeable bị tấn công chính chỉ.