חתימה דיגיטלית – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
שורה 46:
===ביטחון===
בהינתן מפתח ציבורי <math>pk</math> אומרים שהמתקיף הצליח לזייף את החתימה אם הצליח להנפיק מסר <math>m</math> (שלא נחתם בעבר על ידי <math>S</math>) וחתימה <math>\sigma</math> תקפה, אפילו אם המתקיף מסוגל להשיג חתימות תקפות של <math>S</math> על מסמכים רבים אחרים לפי בחירתו. נניח שנתונה סכמת חתימה דיגיטלית <math>\Pi=(\text{Gen},\text{Sign},\text{Verify})</math>, הניסוי <math>\text{Forge}</math> הבא מנסח את הגדרת הביטחון של סכמת החתימה בנוכחות המתקיף <math>\mathcal{A}</math> עם פרמטר הביטחון <math>n</math> כדלהלן:
:ניסוי <math>\boldsymbol{\
#פונקציית ההכנה <math>\text{Gen}(1^n)</math> מייצרת מפתחות (<math>sk,pk</math>) באורך <math>n</math>.
#המפתח <math>pk</math> ניתן למתקיף <math>\mathcal{A}</math> וכן ניתנת לו גישה לאורקל חתימה שנקרא <math>\text{Sign}_{sk}(\cdot)</math>. האורקל הוא מעין קופסה שחורה שהמתקיף מסוגל להפעיל כרצונו ולקבל עבור כל <math>m'</math> שיבחר את <math>\sigma=\text{Sign}_{sk}(m')</math> אך הוא אינו רשאי לראות את <math>sk</math>.
#נניח ש-<math>Q</math> מייצגת את השאילתות שהמתקיף שלח לאורקל. תוצאת הניסוי תוגדר מוצלחת אם א. <math>\text{Verify}_{pk}(m,\sigma)=1</math> ב. <math>m\not\in Q</math>.
לאור הניסוי האמור אפשר להגדיר ביטחון של סכמת חתימה דיגיטלית נגד זיופים לפי [[מודל מסר נבחר]] אדפטיביאם עבור כל אלגוריתם יריב <math>\mathcal{A}</math> קיימת [[פונקציה זניחה]] <math>\text{negl}</math> כך שמתקיים:
| |||