13、基于代码的签名方案高效攻击及“埃舍尔世界中的麦利耶斯”方案漏洞分析

基于代码的签名方案高效攻击及“埃舍尔世界中的麦利耶斯”方案漏洞分析

基于代码的签名方案攻击

在基于代码的签名方案中，存在一种可利用的攻击方法。首先，有矩阵 $S_p$，它与矩阵 $S$ 相差一个列置换，即 $S_p = S\Pi$，其中 $\Pi$ 是一个置换矩阵，可假设它由大小为 $p$ 的循环块组成（通过对 $S_p$ 进行重新排序，使其仅由大小为 $p$ 的循环块构成）。

恢复矩阵 $Q$（列置换意义下）

之前的攻击能在列置换意义下找到矩阵 $S$，这也有助于在置换意义下恢复矩阵 $Q$。这里需要用到以下命题：
设 $M_{r_0×r_0}$ 是由大小为 $p×p$ 的循环块组成的 $r_0p×r_0p$ 矩阵环，$A_{r_0×r_0}$ 是 $M_{r_0×r_0}$ 中仅由 $0$ 块 $0_{p×p}$ 或全 $1$ 块 $1_{p×p}$ 组成的矩阵子集。$A_{r_0×r_0}$ 是 $M_{r_0×r_0}$ 的一个子环，且在乘法下稳定，即 $A_{r_0×r_0}M_{r_0×r_0} = M_{r_0×r_0}A_{r_0×r_0} = A_{r_0×r_0}$。矩阵 $Q$ 的逆具有 $T^{-1} + A$ 的形式，其中 $A$ 属于 $A_{r_0×r_0}$。

已知矩阵 $S_p$ 与 $S$ 相差一个列置换（$S_p = S\Pi$），以及公共奇偶校验矩阵 $H’$ 与秘密奇偶校验矩阵 $H$ 的关系 $H’ = Q^{-1}HS^{-1}$，且 $H = [P | I]$。将这些方程组合起来，在 $H’$ 右侧乘以 $S_p$ 可得：
$H’S_p = Q^{-1}HS^{-1}S_p = Q^{-1