格签名的一般构造方式

最新推荐文章于 2025-05-13 11:27:17 发布
最新推荐文章于 2025-05-13 11:27:17 发布
阅读量2.1k 收藏 15
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 格密码 文章标签: 密码学 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CCCYYY090/article/details/115839976

现有的基于格的签名方案基本都是在下述两种框架中得到的。

第一种:哈希-签名的方法主要是基于Ajtai SIS问题及其相关的陷门函数。陷门函数用来生成优质基。原像采样函数使用优质基对格进行采样。原像采样函数生成的参数用来进行签名构造。

第二种:Fiat-Shamir框架:…(待补充)\dots(待补充)()

但是相对第二种Fiat-Shamir框架,哈希-签名这种模式要求格的维数要相对大的多,所以哈希-签名这种模式在密钥、签名的尺寸上来说相对非常大。(哈希-签名要求格维数大于5nlog⁡q5n\log q5nlogq,第二种Fiat-Shamir差不多是2n2n2n

Hash-and-sign 格签名一般构造方式

keygen(⋅):keygen(\sdot):keygen():

  1. 生成矩阵A(ai∈Rq)A(a_i\in R_q)A(aiRq)B(bi∈Rq)B(b_i\in R_q)B(biRq).

    (1)满足AT=0AT=0AT=0

    (2)TTT的范数比较小。

  2. AAA为公钥

  3. TTT为私钥(TTT为陷门基)

Sign(sk,μ):Sign(sk,\mu):Sign(sk,μ):

  1. 计算ttt满足At=H(μ)At=H(\mu)At=H(μ)
  2. 利用原像陷门采样选取距离H(μ)H(\mu)H(μ)最近的格点v∈L(T)v\in L(T)vL(T)
  3. e=t−ve=t-ve=tv

Verify(pk,μ,e):Verify(pk,\mu,e):Verify(pk,μ,e):

  1. eee的范数较小
  2. Ae=H(μ)Ae=H(\mu)Ae=H(μ)

Fiat-Shamir格签名一般构造方式

原文中叙述了两种表达,此处只记关于高斯分布的一种。

keygen(⋅):keygen(\sdot):keygen():

  1. 生成矩阵A∈Rqn×mA\in \mathbb R^{n\times m}_qARqn×mS∈Rqm×kS\in \mathbb R^{m\times k}_qSRqm×k.满足T←AST\leftarrow ASTAS
  2. 公钥(A,T)(A,T)(A,T)
  3. 私钥为SSS

Sign(sk,μ):Sign(sk,\mu):Sign(sk,μ):

  1. 从某一高斯分布中随机抽取y←Dsmy \leftarrow D^m_syDsm
  2. 计算c←H(Ay,μ)c\leftarrow H(Ay,\mu)cH(Ay,μ)
  3. 计算z=Sc+yz=Sc+yz=Sc+y
  4. 以概率min⁡(Dsm(z)MDSc,sm(z),1)\min(\frac{D^m_s(z)}{MD^m_{Sc,s}(z)},1)min(MDSc,sm(z)Dsm(z),1)输出(z,c)(z,c)zc

Verify(pk,μ,z,c,A,T):Verify(pk,\mu,z,c,A,T):Verify(pk,μ,z,c,A,T):

  1. ∥z∥≤ksm\|z\|\leq ks\sqrt{m}zksm,其中k>1k>1k>1
  2. c=H(Az−Tc,μ)c=H(Az-Tc,\mu)c=H(AzTc,μ)

[1]蔡杰. 基于格的指定验证者数字签名方案及身份鉴别协议研究[D].山东大学,2020.

签名重要论文简介1-GPV08
qq_44775134的博客
10-26 1993
Craig Gentry and Chris Peikert and Vinod Vaikuntanathan,2008,Trapdoors for Hard Lattices and New Cryptographic Constructions,IACR链接 1主要贡献 使用原像采样的陷门函数 高效hash-and-sign数字签名方案 IBE 2技术综述 高斯采样算法 3签名方案 ...
签名相似概念区分: SVP、SIS、LWE的区分
qq_44775134的博客
08-18 3866
参考. 的困难问题: 最短向量问题 (Shortest Vector Problem, SVP). SVP 问题定义为:对于给定的Λ\LambdaΛ ,找到一个非零的向量v\bold vv ,使得对于任意的非零向量u∈Λ\bold u \in \Lambdau∈Λ,∣∣v∣∣≤∣∣u∣∣||\bold v||\le||\bold u||∣∣v∣∣≤∣∣u∣∣。 类似问题有: 近似最短向量问题aSVP(Approximate Shortest Vector Problem) 唯一最短向量问题 (Uni
两类不同方法的签名实现-2:GPV&Fiat-Shamir
qq_44775134的博客
09-30 1035
1Hash-and-sign签名 2Fiat-shamir签名
Chameleon Hash Functions
不染心的博客
09-15 3895
Chameleon Hash Functions(变色龙哈希) ​ 文章目录Chameleon Hash Functions(变色龙哈希)前言一、变色龙Has是什么?二、变色龙散列基于无爪陷门排列三、 基于离散对数的变色龙哈希四、数字签名五、Github源码 前言 提示:这篇博客是我在阅读论文后根据自己的理解写的,可能有些翻译不准确,欢迎大家指正! 提示:以下是本篇文章正文内容,下面案例可供参考 一、变色龙Has是什么? 传统哈希函数的难以找到碰撞,变色龙哈希可以人为的设一个“弱点”或者“后门”:掌握了这
数字签名与认证:ElGamal和Fiat-Shamir方案解析
最新发布
weixin_33363025的博客
05-13 708
本文深入探讨了ElGamal数字签名协议和Fiat-Shamir识别与签名方案的原理和步骤。ElGamal协议基于因式分解和离散对数问题的计算困难性,通过私钥和公钥生成签名,并通过验证过程确认消息的完整性。Fiat-Shamir方案则是一种零知识证明协议,允许一方通过不泄露秘密信息的情况下证明自己的身份。本文还分析了UNIX密码加密的实际应用,解释了密码破解的攻击方法以及防御措施。
TypeScript 类型和构造器的签名new
Cang_Ye的博客
10-28 1764
定义构造签名分为三种方法: 1、字面量定义 const myCalss3: new (name: string, age: number) => Teacher = Teacher; 2、接口字面量 const myCalss4: { new(name: string, age: number): Teacher } = Teacher; 3、接口定义构造签名 // 接口中定义构造器(构造函数签名) :人 和 老师 interfa...
后量子签名Hash-and-Sign(下篇)
weixin_44885334的博客
06-19 766
书接上回 整数上离散高斯采样 无论是 [Klein00] 还是 [DP16],它们的采样算法都需要以 SampleZSample\mathbb ZSampleZ 作为最底层的部件。由于 SampleZSample\mathbb ZSampleZ 是在截尾了的区间 [c−t(n)⋅s,c+t(n)⋅s][c-t(n) \cdot s, c+t(n) \cdot s][c−t(n)⋅s,c+t(n)⋅s] 上执行拒绝采样算法生成与 DZ,s,cD_{\mathbb Z,s,c}DZ,s,c​ 统计接近的近似分
后量子签名Hash-and-Sign(上篇)
weixin_44885334的博客
06-19 993
Hash-and-Sign 范式:令 fff 是一个公开的 trapdoor OWF,签名者持有其陷门 ttt。我么用 HHH 表示随机神谕(Random Oracle)。给定消息 mmm,签名者访问 RO 获得随机数 d=H(m)d=H(m)d=H(m),令签名值为 s=f−1(d)s=f^{-1}(d)s=f−1(d)。验证者计算 d=f(s)d = f(s)d=f(s),判断它是否等于 H(m)H(m)H(m)。出于安全归约的需要,有时需要引入随机盐 rrr 以及随机带 rdrdrd,签名
基于的变色龙签名方案
03-09
构造这种变色龙签名方案时,研究者们详细描述了签名生成过程、签名验证过程以及密钥生成过程。方案的具体细节涉及到对随机数的选取、矩阵运算、哈希函数的选择和应用,以及针对输入消息的特定操作,以确保签名的...
论文研究-高效的上基于身份的签名方案.pdf
07-22
利用Micciancio和Peikert在Eurocrypt’12上提出的陷门生成算法GenTrap、原像抽样算法SampleD和陷门委托算法DelTrap构造了一个新的基于的IBS方案,在标准模型下基于小整数解(SIS)问题证明了所提出的方案满足选择...
中的无证书和基于证书的签名
03-18
无证书签名方案旨在减轻传统签名中的证书管理问题,同时通过特定的方式消除基于身份的签名中的密钥托管问题。基于证书的签名方案则不完全依赖于传统的证书权威,而是结合证书和密钥托管的某种形式,以提供更灵活的...
密码基础理论与CRYSTALS-Dilithium数字签名算法学习分享
2301_79846954的博客
01-15 2256
本篇文章旨在通过理论的概念、的困难问题、基于的密码算法的设计思路、和基于的Dilithium数字签名算法的解析的学习路径,帮助大家初步理解的概念,理清学习脉络。
论文总结:Efficient Publicly Verifiable 2PC over a Blockchain with Applications to Financially-Secure....
吴彦祖的博客
03-17 603
这篇论文主要做了以下几件事儿: present a new efficient two-party secure computation protocol which allows the honest party to catch dishonest behavior (if any) with a publicly-verifiable, non-repudiable proof without sacrificing the honest party’s secret Comparing to th
基于NTRU的签名算法学习1
m0_63642362的博客
06-03 1253
基于NTRU的签名算法学习1
抗量子密码算法这些知识,你了解吗?
2201_75346516的博客
06-14 6067
干是,对能够抵抗量子攻击的后量子密码体制的研究开始逐步火热起来,基干椭圆曲线同源的密码体制正是其中一个重要的研究方向。与经典的基于数论问题的密码算法相比,基于多变量的算法的计算速度快,但公钥尺寸较大,因此适用于无需频繁进行公钥传输的应用场景,例如物联网设备等。椭圆曲线同源最早于1997年被应用到密码学中,但直到2006年才有相关论文被正式发表出来,尽管这些论文提出的方案能够满足基本的公钥加密和秘钥交换的功能,但当时的方案不仅实现效率低下,并且在2010年被证明在量子计算下都是不安全的。
密码基础:NTRU
forest_LL的博客
01-03 4924
NTRU是1998年由 Brown大学三位数学家 Silverman、Hoffstein和 Pipher提出的公钥密码算法,将其命名为NTRUEncrypt。该密码算法是基于的,所以被认为具有抵抗量子计算攻击能力。又因为已知 NTRU公钥求解私钥的问题可规约到相应中求解最短向量问题。密码基础:详解最短向量问题(SVP)以及攻击算法_svp加密-优快云博客所以除了利用传统方法对 NTRU 密码安全性进行分析,也可以通过求解中最短向量恢复 NTRU 密钥.
NTRUSign
qq_44775134的博客
08-14 978
什么是NTRUSign1 NTRUSIGN [15] is a special instantiation of GGH with the compact lattices from the NTRU encryption scheme [12], which we briefly recall: we refer to [4,15] for more details. In the NTRU standards [4] being considered by IEEE P1363.1 [19], on.
基于的密码函数构造与应用详解
总结起来,本文全面地探讨了基于密码学技术,特别是如何利用随机和理想构造安全的哈希函数和原像采样陷门函数,以及这些函数在实际应用中的价值,如签名和加密方案的构建。这些研究不仅深化了我们对理论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值