56、Biscuit：新型MPCitH签名方案解析

Biscuit：新型MPCitH签名方案解析

1. 攻击类型分析

1.1 密钥恢复攻击

密钥恢复攻击旨在解决PowAff2问题，即从系统 (t = f(x))（其中 (x = (x_1, \ldots, x_n))）中恢复 (s \in F_q^m)。目前，针对Biscuit的最佳攻击方法是一种专门的混合方法，用于求解PowAff2方程。该混合方法结合了穷举搜索和类似Gröbner基的计算。

具体步骤如下：
1. 设 (g = {g_1(x) = u_1(x) \cdot (x_1 + c_1) + w_1(x), \ldots, g_n(x) = u_n(x) \cdot (x_n + c_n) + w_n(x)} \in F_q[x_1, \ldots, x_n]^n)，其中 (x = (x_1, \ldots, x_n))，(u_1, \ldots, u_n, v_1, \ldots, v_n \in F_q[x_1, \ldots, x_n]) 为仿射多项式，(c_1, \ldots, c_n \in F_q)。根据引理1，大概率存在 (L \in GL_n(F_q)) 使得 (f(x \cdot L) = {g, A_{n + 1, 0}’(x) + \sum_{j = 1}^{2} A_{n + 1, j}’(x), \ldots, A_{m, 0}’(x) + \sum_{j = 1}^{2} A_{m, j}’(x)})，其中 (A_{n + 1, 0}, A_{n + 1, 1}, A_{n + 1, 2}, \ldots, A_{m, 0}, A_{m, 1}, A_{m, 2} \in F_q[x_1, \ldots, x_n]) 为仿射形式。