22、探秘 HFEv- 签名原语的差分安全性

探秘 HFEv- 签名原语的差分安全性

1. HFEv 与 HFEv- 的差分对称结构

1.1 HFEv 的差分对称结构

HFEv 在特定参数下，经证明不存在非平凡的差分对称结构。不过，对多项式单项式的 q 次幂的限制，会降低密钥空间的熵，可能还会增加所需醋变量的数量，达到不安全或不理想的水平。但即便有这些限制，密钥空间仍有足够的熵，能实现对差分对称攻击的可证明安全性。实验表明，即使要求满足 HFE 度界的每个可能单项式都有非零系数，广义算法也只会输出平凡解，从而能以最小的熵损失实现可证明的安全性。

1.2 HFEv- 的差分对称结构

算法自然地扩展到了 HFEv-。HFEv 生成的系统中的每个非零项也存在于 HFEv- 生成的系统中，只是多了一些项。通过选择合适的基，利用相关关系和算法 2，可以创建 m0,0 上所有非零区域的集合列表。取所有集合的交集，就能找到子矩阵 m0,0 中非零项的最终位置。在实际取值下，唯一的非零值是 m0，这使得矩阵 M 是由对角矩阵组成的分块矩阵，从而为抵御对称攻击提供了安全性。

以下是相关算法：

算法 1: HFEv

HFEvKeyCheck
Input: An HFEv central map f, a flag flg
Output: Set of indices of coefficients mi of submatrix m00 which are possibly nonzero in a
linear map inducing differential symmetry fo