我们看到教科书RSA签名是不安全的,因为你可以将两个不同的签名相乘以获得新消息的新签名。然而,教科书RSA至少是一个一次性签名方案吗?也就是说,假设对手只在单个消息m上获得签名。对手能在不等于m的另一个消息m‘上产生签名吗?
该回答引用ChatGPT
教科书RSA签名并不是一个一次性签名方案。 它是通过使用哈希函数和私钥加密来生成签名的。如果对手只在一个特定的消息m上获得签名,则它可以将该签名与另一个不同的消息m'结合起来以生成另一个签名。
因此,如果想要实现一次性签名,您需要使用一个更先进的签名方案,例如基于数学证明的签名方案,例如素数签名方案(PSS)或椭圆曲线数字签名算法(ECDSA