否认协议如下: A随机选取e1,e2∈Z. 2.A计算c=ye1βe2modp且把它传给B 3.B计算d=c“ mod g modp,并将其传给A 4.A证实de1e2modp 5.A随机选取f1,2∈Z 6.A计算c=y1β2modp且把它传给B 7.B计算d= c'a mdg modp,并将其传给A 8.A验证dx1 at2modp 9.A推出y是伪造的当且仅当 (d a-e2)f1 ( d'at2 )e1mod p
◼ 否认协议如下: 1. A随机选取e1 ,e2∈ Z. 2. A计算c=ye1 β e2 mod p且把它传给B 3. B计算d=c modp,并将其传给A. 4. A证实d≠x e1α e2modp. 5. A随机选取f1 ,f2 ∈ Z. 6. A计算c’= yf1 β f2 modp且把它传给B 7. B计算d’=c’ modp,并将其传给A 8. A验证d’≠x f1α f2modp . 9. A推出y是伪造的当且仅当 (d α -e2) f1=( d’ α -f2 ) e1mod p a mod q −1 a mod q −1
■不可否认签名方案的安全性分析 定理1011:当 *xamod p时,则A接受y 作为x的真正签名的概率为1/q ■定理1012:若 y=xamod p且A和B都遵守 否认协议,则(dae2)1=(d"a2) elmo p ■定理1013:若y= Xamod p且A遵守否认协 议,又dxe1ae2modp,d知12modp 则(dae2)1=(d"a2)1modp成立的概率为1 1/q
◼ 不可否认签名方案的安全性分析 ◼ 定理10.1.1:当y≠x amod p时,则A接受y 作为x的真正签名的概率为1/q。 ◼ 定理10.1.2:若y≠x amod p 且A和B都遵守 否认协议,则(dα -e2) f1=(d’α -f2 ) e1mod p ◼ 定理10.1.3: 若y=xamod p且A遵守否认协 议,又 d≠xe1αe2mod p ,d’≠x f1α f2modp 则(dα -e2) f1=(d’α -f2 ) e1mod p成立的概率为1- 1/q