什么样的签名是安全的

签名肯定是可以被伪造的，只是概率大小的问题，当选择的密文空间足够大时，伪造者能够猜到的概率就越低，而且对于拥有无限计算时间和计算能力的敌手而言，对于固定的m，总能试验出对应的签名。

那么定义安全就是说敌手在多项式时间内伪造签名的概率是可忽略的。

但是对于签名有一个问题是，签署了m，但是单纯的验证不能够知道m到底是什么时候签署的。

对于伪造签名又分为两种概念：1存在性不可伪造，对于之前未曾签署过的消息不能再用了，只能对于未曾签署过的消息伪造一个签名，能够通过验证，这成为存在性伪造。

2强存在不可伪造性，只要不是一个曾经的消息签名对就可以，也就是说只要不是一次消息的重放就行，你可以用原来的消息再构造一个签名，而且它能够通过验证，这种情况也称为伪造成功了，如果这种签名都构造不出来，那就称之为强存在不可伪造性。

随机消息攻击条件下存在性不可伪造：就是说只能够由签名者给定固定的签名给攻击者，这个时候攻击者进行伪造。

比随机消息攻击稍微强一点的就是已知消息攻击安全性：攻击者能够控制由签名者签什么消息。但是这些消息是在看到公钥和得到签名之前。

最强的安全定义是适应性选择消息攻击下的安全性：敌手获得了公钥之后，还可以让预言机给自己签任意的信息，而且得到签署信息后，还可以让其接着签署信息。