The security of the one-more discrete-logarithm assumption and blind Schnorr signatures
Sécurité de l'hypothèse one-more discrete logarithm et des signatures de Schnorr aveugle
Résumé
The one more-discrete logarithm assumption (OMDL) is central to the security analysis of identification protocols, blind signatures and multi-signature schemes, most notably blind Schnorr signatures and the recent MuSig2 multi-signatures. Despite its wide use, surprisingly, OMDL is lacking any rigorous analysis. In this work we give rigorous proofs in the Generic Group Model of OMDL and a related assumption. The Schnorr blind signing protocol allows blind issuing of Schnorr signatures, one of the most widely used signatures. As for OMDL, despite its practical relevance, its security analysis (based on OMDL) is unsatisfactory. We analyze the security of these schemes in the algebraic group model (AGM), an idealized model closer to the standard model than the GGM.
L’hypothèse de sécurité appelée "one more-discrete logarithm" (OMDL) est centrale dans l’analyse de sécurité des protocoles d’identifications, les signatures aveugles ainsi que les récentes multi-signatures MuSig2. Malgré sa grande utilisation, il est surprenant que OMDL n’a jamais été rigoureusement analysée. Dans cette thèse, nous donnons une preuve rigoureuse de OMDL dans le Modèle du Groupe Générique (GGM) ainsi que d’autres hypothèses en lien. Les signatures de Schnorr aveugles sont un protocole qui permet d’envoyer à l’aveugle des signatures de Schnorr, qui sont parmi les signatures les plus utilisées. De même que OMDL, en dépit de leur utilité pratique, l’analyse de sécurité (basée sur OMDL) de ces signatures est insatisfaisant. Nous analysons la sécurité de ces protocoles dans le Modèle du Groupe Algébrique (AGM), qui est un modèle idéalisé plus proche du modèle standard que du GGM. Pour le renforcer, nous proposons une modification simple du protocole de signature, qui laisse les signatures inchangées.
Origine : Version validée par le jury (STAR)