11、UOV和HFE签名方案的可证明安全性分析

UOV和HFE签名方案的可证明安全性分析

1. UOV方案的另一种方法

在UOV（Unbalanced Oil and Vinegar）方案中，对于醋变量 $x’ v$，我们考虑映射 $x_n \to F {UOV}(x_n, x’ v)$。在典型的UOV参数设置中，使用的是 $n \times n$ 的方阵 $A(x’_v)$。然而，根据公式，随机 $n \times n$ 方阵的秩小于 $n$ 的概率为 $\delta = 1 - \prod {j=1}^{n}(1 - q^{-j})$。这意味着映射 $x_n \to F_{UOV}(x_n, x’_v)$ 以不可忽略的概率不是一一映射。例如，当 $q = 2^8$ 且 $n = 10$ 时，$\delta \approx 0.004$。

为了将 $\delta$ 降低到可忽略的概率，我们采用另一种方法。设 $w$ 为正整数，使用 $m \times n$ 矩阵 $A(x’ v)$（其中 $n = m + w$）来代替 $n \times n$ 矩阵。此时，UOV函数变为 $P {UOV} = F_{UOV} \circ S$，其中 $F_{UOV} : k^{n+v} \to k^m$ 定义为：
$F_{UOV}(x_n, x_v) = A(x_v)x_n^T + (g_1(x_v), \ldots, g_m(x_v))^T$
这里 $A(x_v) = [a_{i,j}(x_v)]$ 是 $m \times n$ 矩阵，$a_{i,j}$ 和 $g_i$ 与定义3中的相同。根据公式，随机 $m \times n$ 矩阵的秩小于 $m$ 的概率为 $\delt