我们将从**动机 (Motivation)** 出发，建立**安全定义 (Security Definition)**中敌手能力相关的描述，并引入通用的概率实验公式（Advantage 表达式）。
## 一、 引言与动机 (Intro and Motivation)：为何需要严谨的数学定义？

在直觉上，我们认为一个数字签名是安全的，只要“黑客伪造不出签名”。但这在数学上是极其模糊的：黑客的能力有多强？他能获取什么信息？他伪造出什么东西才算赢？
现代密码学的核心思想是**“可证明安全 (Provable Security)”**。为了证明一个方案安全，我们必须先用数学语言建立一个**“裁判规则”**。这个规则被抽象为一个**安全游戏 (Security Game)** 或**概率实验 (Experiment)**。在这个实验中，存在一个挑战者 (Challenger，代表诚实系统) 和一个拥有概率多项式时间计算能力的敌手 (Adversary $\mathcal{A}$)。
如果一个签名方案 $\Pi$ 是安全的，那么意味着：**对于任意的多项式时间敌手 $\mathcal{A}$，其赢得这场游戏的概率（我们称为敌手的优势，Advantage）必须是一个“可忽略函数 (Negligible Function)”**。
可忽略函数 $\epsilon(k)$ 的严格定义是：对于任意常数 $c \ge 0$，当安全参数 $k$ 足够大时，总有 $\epsilon(k) < 1/k^c$ 。这意味着敌手成功的概率随着密钥长度的增加，下降得比任何多项式的倒数还要快。

注意，通常将敌手 $\mathcal{A}$ 攻击方案 $\Pi$ 成功的概率写为 $\text{Succ}_{\mathcal{A}, \Pi}(k)$ 或更常见的 $\text{Adv}_{\Pi}^{\text{Attack-Model}}(\mathcal{A})$。

----
## 二、 安全定义的严格数学化分解

我们将攻击模型从弱到强进行公式化。在所有的实验中，签名方案都由三个算法组成：$\Pi = (\text{Gen}, \text{Sign}, \text{Vrfy})$。

### 1. RMA: 抵抗随机消息攻击的安全性 (Definition 1.3)

**动机**：模拟最弱的窃听者。敌手只能被动截获系统产生的随机消息及其签名，完全没有控制权。

**概率实验 $\text{Expt}_{\mathcal{A}, \Pi}^{\text{RMA}}(1^k)$**：

1. 挑战者生成 $l$ 个均匀分布的随机消息：$m_1, \dots, m_l \leftarrow M_k$。
2. 挑战者生成密钥：$(pk, sk) \leftarrow \text{Gen}(1^k)$。
3. 挑战者对所有消息签名：$\forall i \in [1, l], \sigma_i \leftarrow \text{Sign}_{sk}(m_i)$。
4. 敌手获取公钥和样本：$(m^*, \sigma^*) \leftarrow \mathcal{A}(pk, \{(m_i, \sigma_i)\}_{i=1}^l)$。
5. **胜利条件 (Forge)**：当且仅当 $\text{Vrfy}_{pk}(m^*, \sigma^*) = 1$ 且 $m^* \notin \{m_1, \dots, m_l\}$ 时，输出 1，否则输出 0。

**严格定义与表达式**： 一个签名方案是 **EUF-RMA** (Existentially Unforgeable under Random-Message Attack) 安全的，当且仅当对于任意 PPT 敌手 $\mathcal{A}$，其成功概率 为： 


$$\text{Adv}_{\Pi}^{\text{EUF-RMA}}(\mathcal{A}) = \text{Pr} \left[ \text{Expt}_{\mathcal{A}, \Pi}^{\text{RMA}}(1^k) = 1 \right] \le \text{negl}(k)$$


----
### 2. KMA: 抵抗已知消息攻击的安全性

**动机**：模拟“最坏的消息分布”。敌手可以精心挑选刁钻的消息让挑战者签名，但他**必须在看到公钥之前**做出决定（非自适应）。

**概率实验 $\text{Expt}_{\mathcal{A}, \Pi}^{\text{KMA}}(1^k)$** ：

1. 敌手先手出牌，输出他挑选的消息列表：$(m_1, \dots, m_l) \leftarrow \mathcal{A}(1^k)$。（此时 $\mathcal{A}$ 内部可以保留状态）。
2. 挑战者生成密钥：$(pk, sk) \leftarrow \text{Gen}(1^k)$。
3. 挑战者对敌手选定的消息签名：$\forall i \in [1, l], \sigma_i \leftarrow \text{Sign}_{sk}(m_i)$。
4. 敌手拿到公钥和签名后尝试伪造：$(m^*, \sigma^*) \leftarrow \mathcal{A}(pk, \{\sigma_i\}_{i=1}^l)$。
5. **胜利条件**：当且仅当 $\text{Vrfy}_{pk}(m^*, \sigma^*) = 1$ 且 $m^* \notin \{m_1, \dots, m_l\}$ 时，输出 1。

**严格定义与表达式**：
一个签名方案是 **EUF-KMA** 安全的，当且仅当：
$$\text{Adv}_{\Pi}^{\text{EUF-KMA}}(\mathcal{A}) = \text{Pr} \left[ \text{Expt}_{\mathcal{A}, \Pi}^{\text{KMA}}(1^k) = 1 \right] \le \text{negl}(k)$$


----
### 3. CMA: 抵抗适应性选择消息攻击的安全性 

这是现代密码学证明中的**黄金标准 (Gold Standard)**。在学术论文中，如果不加特殊说明，“这个签名方案是安全的”指的必然是 EUF-CMA 安全 。

**动机**：敌手可以充当黑盒测试员。他不仅知道公钥，还能根据之前拿到的签名结果，动态地、自适应地决定下一个要签名的消息。在这个模型中，我们用**预言机 (Oracle)** 符号 $\mathcal{A}^{\text{Sign}_{sk}(\cdot)}$ 来表达敌手强大的交互能力。

**概率实验 $\text{Expt}_{\mathcal{A}, \Pi}^{\text{CMA}}(1^k)$**：

1. 挑战者生成密钥：$(pk, sk) \leftarrow \text{Gen}(1^k)$。
2. 敌手 $\mathcal{A}$ 获得 $pk$，并被允许自由访问签名预言机 $\mathcal{O}(\cdot) = \text{Sign}_{sk}(\cdot)$。敌手可以提交任意多项式次查询 $m_i$，预言机返回 $\sigma_i$。我们记敌手查询过的所有消息集合为 $M$。
3. 敌手结束查询，输出伪造对：$(m^*, \sigma^*) \leftarrow \mathcal{A}^{\text{Sign}_{sk}(\cdot)}(pk)$。
4. **胜利条件 (存在性伪造)**：当且仅当 $\text{Vrfy}_{pk}(m^*, \sigma^*) = 1$ 且 $m^* \notin M$ 时，输出 1。

**严格定义与表达式**：
一个签名方案是 **EUF-CMA** 安全的，当且仅当对于任意 PPT 敌手 $\mathcal{A}$，存在可忽略函数 $\text{negl}(k)$ 使得：
$$\text{Adv}_{\Pi}^{\text{EUF-CMA}}(\mathcal{A}) = \text{Pr} \left[ (pk, sk) \leftarrow \text{Gen}(1^k); (m^*, \sigma^*) \leftarrow \mathcal{A}^{\text{Sign}_{sk}(\cdot)}(pk) : \text{Vrfy}_{pk}(m^*, \sigma^*) = 1 \land m^* \notin M \right] \le \text{negl}(k)$$
**扩展：强存在性不可伪造 (SUF-CMA, Strong Unforgeability)** 在某些区块链或高级协议中，上述定义还不够。如果敌手没有伪造新消息，而是为一个**曾经查过的消息 $m \in M$** 伪造出了一个**截然不同的合法签名 $\sigma'$**，在 SUF-CMA 定义下，这也算敌手赢 。 令 $Q = \{(m_i, \sigma_i)\}$ 为预言机回答过的所有查询-响应对，胜利条件变为$(m^*, \sigma^*) \notin Q$ 。其优势函数表示为 $\text{Adv}_{\Pi}^{\text{SUF-CMA}}(\mathcal{A})$。

----
## 三、 从“定义 (Definition)”走向“归约 (Reduction)”

所有的现代密码学论文都遵循这样一个完美的逻辑闭环：
1. **Syntax (语法)**: 定义方案有哪几个算法（如 Gen, Sign, Vrfy 输入输出是什么）。
2. **Definition (安全定义)**: 就是我们上面写的这些 Game 和 Advantage 表达式。
3. **Construction (具体构造)**: 利用数学难题（如 RSA、离散对数）设计具体的算法。
4. **Reduction (安全归约证明)**: 这是整套现代密码学体系的灵魂。

**什么叫归约？**
既然我们无法绝对证明 $\text{Adv}_{\Pi}^{\text{EUF-CMA}}(\mathcal{A}) \le \text{negl}(k)$，我们就去证明它和某个公认的数学难题（比如分解大整数、RSA假设）是**绑定**的。
假设我们有一个试图攻破你签名方案的敌手 $\mathcal{A}$，他有 $\epsilon$ 的优势（即 $\text{Adv}_{\Pi}^{\text{EUF-CMA}}(\mathcal{A}) = \epsilon$）。在归约证明中，你会构造一个算法 $\mathcal{B}$（叫做 Simulator 或 Solver）。
$\mathcal{B}$ 面临着一个很难的数学题（比如求解 RSA 问题 $y^{1/e} \pmod N$），$\mathcal{B}$ 自己解不出来，于是他把公钥伪装一下丢给敌手 $\mathcal{A}$，并利用自己的数学技巧完美模拟出签名预言机（Sign Oracle）骗过 $\mathcal{A}$。当 $\mathcal{A}$ 沾沾自喜地输出一个伪造签名 $(m^*, \sigma^*)$ 时，$\mathcal{B}$ 就可以利用这个 $\sigma^*$，通过简单的代数变换，直接算出 $y^{1/e}$！
最终的证明结论总是类似于：
$$\text{Adv}_{\Pi}^{\text{EUF-CMA}}(\mathcal{A}) \le \text{Adv}_{\text{RSA}}^{\text{Hardness}}(\mathcal{B})$$
因为全世界都相信攻破 RSA 的概率 $\text{Adv}_{\text{RSA}}^{\text{Hardness}}(\mathcal{B})$ 是可忽略的（negligible），所以敌手伪造签名的概率 $\text{Adv}_{\Pi}^{\text{EUF-CMA}}(\mathcal{A})$ 也必定是可忽略的。
## 四，补充知识：Prover,Verifier,Challenger,Simulator的关系
初学者在推导公式时常常感到混乱，根本原因在于**混淆了“现实应用场景”与“数学思想实验”**。
### 第一宇宙：现实世界 (The Real World) —— 功能的实现

在这个宇宙里，我们只关心密码学协议写成代码后，在实际网络中是如何交互的。对应学术论文中的 **语法 (Syntax)** 和 **具体构造 (Construction)**。
- **Prover (证明者)**
	- **定义**：声称自己掌握某种秘密（例如私钥 $sk$），并试图向外界证明某一事实的实体。
	- **在签名中的体现**：Prover 就是**签名者 (Signer)**。它利用私钥对消息 $m$ 运行签名算法，生成并输出签名 $\sigma$。
- **Verifier (验证者)**
	- **定义**：不掌握秘密，只拥有公开信息（例如公钥 $pk$），负责检验 Prover 提供的证据是否合法的实体。
	- **在签名中的体现**：Verifier 就是**验签者**。它运行确定性的验证算法，根据公钥 $pk$ 检查签名 $\sigma$ 的合法性，输出 1 (接受) 或 0 (拒绝)。

**关系**：它们是现实系统中的**合作与单向证明关系**。Prover 努力自证清白，Verifier 严格把关。

----
### 第二宇宙：定义世界 (The Definition World) —— 规则的制定

当我们写完协议，想要在数学上界定“什么是安全”时，真实的 Prover 和 Verifier 必须退场。我们进入了一个高度抽象的“安全博弈 (Security Game)”实验场。对应学术论文中的 **安全定义 (Security Definition)**。
- **Challenger (挑战者)**
	- **定义**：代表“绝对诚实的系统裁判”。它是规则的执行者，拥有上帝视角和所有秘密（如私钥）。
	- **职责**：它负责生成密钥，将公钥交给黑客，并严格按照规则诚实地回答黑客的提问（例如充当签名预言机，提供真实的签名）。
- **Adversary (敌手)**
	- **定义**：代表无所不用其极的黑客程序。它的目标是在限定的资源（如多项式时间）内打破规则。

**关系**：它们是标准安全模型下的**对抗与裁判关系**。Challenger 既是给敌手提供数据的环境，也是最后判定敌手是否成功伪造签名的裁判。

----
### 第三宇宙：归约世界 (The Reduction World) —— 终极的骗局

这是现代密码学证明的灵魂。在数学上，我们无法直接证明敌手绝对造不出签名，只能证明：“如果敌手能造出签名，我们就能利用它解开一个公认无解的数学难题（如 RSA 问题或离散对数问题）”。对应学术论文中的 **归约证明 (Reduction)**。
在这里，需要一个能够“借刀杀人”的中间人，这就引入了最烧脑的角色：
- **Simulator (模拟器)**
	- **定义**：归约证明的总导演。它本质上是一个**试图求解底层数学难题的算法**。
	- **核心矛盾**：外界丢给 Simulator 一个无解的数学题（比如目标公钥 $y$）。Simulator **根本没有私钥**。
	- **绝妙伪装**：为了骗 Adversary 帮自己解题，Simulator 必须戴上面具，**完美伪装成第二宇宙中的 Challenger**。它利用随机预言机（ROM）或“时间回溯”等高级数学技巧，在没有私钥的情况下，凭空“捏造”出完美的合法签名给 Adversary 看。
	- **终极目的**：当 Adversary 被骗过，沾沾自喜地交出伪造的签名时，Simulator 扯下面具，将这个伪造的签名代入代数方程，瞬间抽取出那道世界级数学难题的答案。

----
### 宏观关系总结 (The Big Picture)

1. **构造协议时**：我们设计 **Prover** 和 **Verifier**，让合法的用户能够在多项式时间内顺利完成签名和验签。
2. **定义安全时**：我们设立 **Challenger**，用它来规范敌手的能力边界，写下那串极其严谨的概率实验公式（如 $\Pr[\dots] \le \text{negl}(k)$）。
3. **证明安全时**：我们构建 **Simulator**。Simulator 对外扮演 Challenger 稳住敌手，对内偷偷利用敌手（原本试图欺骗 Verifier 的伪造物）来粉碎底层的数学难题。

我们将从动机 (Motivation) 出发，建立安全定义 (Security Definition)中敌手能力相关的描述，并引入通用的概率实验公式（Advantage 表达式）。

不同敌手能力下数字签名安全性定义

我们将从动机 (Motivation) 出发，建立安全定义 (Security Definition)中敌手能力相关的描述，并引入通用的概率实验公式（Advantage 表达式）。在直觉上，我们认为一个数字签名是安全的，只要“黑客伪造不出签名”。但这在数学上是极其模糊的：黑客的能力有多强？他能获取什么信息？他伪造出什么东西才算赢？

保密

安全

算法

深入解析数字签名安全模型，涵盖RMA、KMA、CMA三种攻击场景，揭示EUF-CMA安全标准的数学定义与概率实验。通过敌手优势(Advantage)表达式和可忽略函数(negl(k))量化安全性，展现现代密码学"可证明安全"核心思想。归约证明技术将签名安全与RSA等数学难题绑定，构建完整安全闭环。

数字签名

黑盒测试

区块链

2026新春采购季

blockchain-catalog

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

不同敌手能力下数字签名安全性定义-腾讯云开发者社区-腾讯云

不同敌手能力下数字签名安全性定义

不同敌手能力下数字签名安全性定义

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐