The Schnorr signature scheme is the most efficient signature scheme based on the discrete logarithm problem and a long line of research investigates the existence of a tight security reduction for this scheme in the random oracle model. Almost all recent works present lower tightness bounds and most recently Seurin EUROCRYPT 2012 showed that under certain assumptions the non-tight security proof for Schnorr signatures in the random oracle by Pointcheval and Stern EUROCRYPT’96 is essentially optimal. All previous works in this direction rule out tight reductions from the (one-more) discrete logarithm problem. In this paper, we introduce a new meta-reduction technique, which shows lower bounds for the large and very natural class of generic reductions. A generic reduction is independent of a particular representation of group elements. Most reductions in state-of-the-art security proofs have this property. It is desirable, because then the reduction applies generically to any concrete instantiation of the group. Our approach shows unconditionally that there is no tight generic reduction from any natural non-interactive computational problem $$\Pi $$Π defined over algebraic groups to breaking Schnorr signatures, unless solving $$\Pi $$Π is easy. In an additional application of the new meta-reduction technique, we also unconditionally rule out any (even non-tight) generic reduction from natural non-interactive computational problems defined over algebraic groups to breaking Schnorr signatures in the non-programmable random oracle model.

中文翻译：

---

关于 Schnorr 签名的严格安全证明

Schnorr 签名方案是基于离散对数问题的最有效的签名方案，大量研究调查了该方案在随机预言模型中是否存在严格的安全性降低。几乎所有最近的工作都提出了较低的紧密度界限，最近的 Seurin EUROCRYPT 2012 表明，在某些假设下，Pointcheval 和 Stern EUROCRYPT'96 的随机预言机中 Schnorr 签名的非紧密安全证明本质上是最优的。以前在这个方向上的所有工作都排除了（一个多）离散对数问题的严格缩减。在本文中，我们介绍了一种新的元归约技术，它显示了大而非常自然的通用归约类别的下限。通用归约与组元素的特定表示无关。最先进的安全证明的大多数减少都具有此属性。这是可取的，因为这样减少一般适用于组的任何具体实例。我们的方法无条件地表明，从代数群上定义的任何自然非交互式计算问题 $$\Pi $$Π 到破坏 Schnorr 签名都没有严格的泛型简化，除非求解 $$\Pi $$Π 很容易。在新的元归约技术的另一个应用中，我们还无条件地排除了从代数群上定义的自然非交互式计算问题到破坏非可编程随机预言机模型中的 Schnorr 签名的任何（甚至是非紧密的）通用归约。因为这样减少一般适用于该组的任何具体实例。我们的方法无条件地表明，从代数群上定义的任何自然非交互式计算问题 $$\Pi $$Π 到破坏 Schnorr 签名都没有严格的泛型简化，除非求解 $$\Pi $$Π 很容易。在新的元归约技术的另一个应用中，我们还无条件地排除了从代数群上定义的自然非交互式计算问题到破坏非可编程随机预言机模型中的 Schnorr 签名的任何（甚至是非紧密的）通用归约。因为这样减少一般适用于该组的任何具体实例。我们的方法无条件地表明，从代数群上定义的任何自然非交互式计算问题 $$\Pi $$Π 到破坏 Schnorr 签名都没有严格的泛型简化，除非求解 $$\Pi $$Π 很容易。在新的元归约技术的另一个应用中，我们还无条件地排除了从代数群上定义的自然非交互式计算问题到破坏非可编程随机预言机模型中的 Schnorr 签名的任何（甚至是非紧密的）通用归约。除非求解 $$\Pi $$Π 很容易。在新的元归约技术的另一个应用中，我们还无条件地排除了从代数群上定义的自然非交互式计算问题到破坏非可编程随机预言机模型中的 Schnorr 签名的任何（甚至是非紧密的）通用归约。除非求解 $$\Pi $$Π 很容易。在新元归约技术的另一个应用中，我们还无条件地排除了从代数群上定义的自然非交互式计算问题到破坏非可编程随机预言机模型中的 Schnorr 签名的任何（甚至是非紧密的）通用归约。