47、实用的基于格的分布式签名技术解析

实用的基于格的分布式签名技术解析

1. 基于分叉引理的分析

在相关的签名验证过程中，当 auth′ = (t′, str ′₀, …, str ′ₕ₋₁) 与 auth 包含相同的哈希值序列，即对于所有 i ∈{0, …, h - 1} 都有 strᵢ = str ′ᵢ ，且 h = ⌈log(ωn)⌉ 时，根据分叉引理，我们能得到 root = root′，t = t′，m = m′，并且 c ≠ c′。由于在分叉索引 i∗ 之前，算法 A 的视图在两次执行中是相同的，且 auth = auth′，所以有 w = w′，其中 w = ¯A · z - bc ，w′ = ¯A · z′ - bc′。由此可以推导出 [Iₖ|A|b] · [z - z′; c′ - c] = 0。

需要注意的是，0 < ∥c′ - c∥ ≤ 2√κ，并且因为两个伪造签名都是有效的，所以 ∥z∥ ≤ B 且 ∥z′∥ ≤ B，进而可得 ∥z - z′∥ ≤ 2B。向量 [z - z′; c′ - c]⊤ 构成了关于 pp′′ 的 MSIS（小整数解问题）的一个非平凡解。因此，分叉概率 frk ≤ AdvMSISₐ(pp′′)。

2. 具体参数设置

2.1 参数选择原则

为分布式签名协议以及其他相关协议提出了样本参数。参数的选择遵循一定的约束条件：
- 对于所有方案，设置模数 q > β（β 是 MSIS 解的边界），以防止出现像 (q, 0, …, 0) 这样的平凡解。
- 承诺数量 ω 的选择要使得签名者在计算响应时，几乎不需要重启签名协议，即每个签名者的重启次数 S = 1/(1 - 2⁻²⁵) ≈ 1，从而整个签名协