BUFF = Beyond UnForgeability Features for [[Digitale signaturer]]. Eksempel: Vanskelig å lage en ny verification key som også verifiserer en eksisterende signatur. Use-case: Sertifikater (en motstander kan da stjele et sertifikat og påstå det er hennes eget). BUFF omfatter hovedsaklig tre sikkerhetsmål i tillegg til EUF (med et par varianter for hver): - Exclusive Ownership: - (S-)CEO = (Strong) Conservative Exclusive Ownership - (S-)DEO = (Strong) Destructive Exclusive Ownership - MBS = Message-Bound Signatures - (w)NR = (weak) Non-Resignability Eksisterer en ganske enkel BUFF-transformasjon som oppnår *alle* BUFFeatures, nemlig: Ved signering, beregn $h \leftarrow H(vk, m)$, signer $\sigma \gets \text{Sign}_{vk}(m, h)$, og la $\sigma^\prime \leftarrow (\sigma, h)$. Ved verifisering re-beregnes hashen og det sjekkes at den er lik, og signaturen $\sigma$ verifiseres som vanlig. En mer effektiv variant (kalt PS-3 av én eller annen grunn) er i noen tilfeller tilstrekkelig for å oppnå alle BUFF-egenskapene. Denne gjør akkurat det samme, men uten å sende $h$ (og verifisering sjekker dermed ikke likhet for $h$ heller). NIST har i sin Round 4 call for signaturer sagt at BUFF-egenskaper er *ønsket* (uten at det er et krav). Til tross for dette var det bare 6 submissions som så på BUFF. Talk holdt av Michael Meyer på [[NaCl]], [[12024-06-26]], basert på [dette PQCrypto'24-paperet](https://eprint.iacr.org/2024/591). ![[Pasted image 20240626120332.png]] Interessant historisk notat: Cross oppfyller alt, men nærmest ut av flaks siden de ikke så på BUFF i sin submission. ![[Pasted image 20240626120511.png]] ![[Pasted image 20240626120532.png]] ![[Pasted image 20240626120648.png]] ### Non-resignability Har vist seg å være vanskeligere enn forventet å definere. Utvikling pågår, blant annet i submission til [[TCC'24]].