关于拒绝采样介绍:转自https://blog.csdn.net/jteng/article/details/54344766
如Lyu2012方案分析,
签名算法的输出是以一定的概率。之所以是以一定的概率输出,是为了使签名(z,c)与私钥S无关,因此需要使签名的分布与S无关。但是由于z=Sc+y,z的实际分布1是
为使z的输出分布2为
在实际分布的基础上,进行拒绝采样。即把实际分布1看做是q(z),输出的分布2是p(z),选择https://blog.csdn.net/jteng/article/details/54344766 所示的拒绝采样方式进行采样,使得输出的采样与私钥无关。
参考文献:基于格的数字签名和认证协议研究,牟雁飞。