16、XMSS：实用的前向安全签名方案解析

XMSS：实用的前向安全签名方案解析

1. XMSS的安全性

在讨论XMSS的安全性时，我们有如下定理：若H(n)是抗二次原像哈希函数族，F(n)是伪随机函数族，那么XMSS在选择消息攻击下是存在不可伪造的。

在证明该定理前，我们先来看其对XMSS安全要求最小性的暗示。可以从安全签名方案构建抗二次原像哈希函数族和伪随机函数族，这意味着如果存在安全签名方案，就存在XMSS的安全实例，从而说明XMSS的安全要求是最小的。具体构建方式如下：
- 可从任何安全签名方案构建单向函数。
- 由单向函数构建目标抗碰撞哈希函数族，而目标抗碰撞哈希函数族是抗二次原像的，所以可从安全数字签名方案构建抗二次原像哈希函数族。
- 从单向函数构建伪随机生成器，再从伪随机生成器得到伪随机函数族，即安全签名方案能产生伪随机函数族。

接下来简述定理1的证明，需要先将选择消息攻击下的存在不可伪造性（EU - CMA）的概念适应到给定场景。XMSS中私钥会随时间变化，与EU - CMA定义中假设的常量签名密钥不同。在EU - CMA安全的实验中，攻击者可访问用常量签名密钥初始化的签名预言机，发送消息获取签名，最后需对未发送过的消息生成签名。对于一次性签名方案如W - OTS，查询次数限制为1次；在XMSS实验中，攻击者可访问XMSS预言机，该预言机会根据XMSS构造在每次签名后更改秘密签名密钥，攻击者可查询该预言机2H次。

定理1的证明分两步：
- 第一步，证明在XMSS构造中，使用伪随机函数族生成密钥的W - OTS仍保持EU - CMA安全。
- 第二步，修改相关安全证明，因为与其他签名方案不同，XMSS是伪随机生成签名密钥的。