问可变消息大小的安全强度EC签名

EN

您还没有指定签名算法，但是让我们假设ECDSA。

每次试验中secp256r1密钥已知的最优攻击的概率，变量为“消息要签名的长度”。

计算消息上的散列作为生成签名的第一步。消息的大小并不重要。因此，2^{128}的安全实力依然存在，也就是没有什么好担心的。

使预期成功达到预期价值的预期试验次数=1

目前还不清楚为什么成功的预期值应该是1；我担心如果成功的机会也是1 \over 2。我猜想这是当您尝试了特定公钥的所有选项时，非常接近2^{128} (如果我没有弄错的话，尝试Pollards中的所有可能的开始值)。

这都是相当基本的，我怀疑你是否能找到任何明确的引用，因为这只是假设。

我不清楚这与OTP输入消息的大小有什么关系。我宁愿担心整个方案的安全性，而不愿担心签名。

如果您想缩短签名本身，那么您可以看看BLS签名方案。ECDSA的secp256r1签名大小为64个字节(与您现在可能想象的消息大小无关)，而BLS可能将所需的字节数减半。