3、二元域上的线性同态签名技术解析

二元域上的线性同态签名技术解析

1. 定理9介绍

定理9指出，设 $\Lambda \subseteq \mathbb{Z}^m$ 是一个格，$\sigma \in \mathbb{R}$。对于 $i = 1, \ldots, k$，设 $t_i \in \mathbb{Z}^m$，且 $X_i$ 是从 $D_{\Lambda + t_i, \sigma}$ 中采样的相互独立的随机变量。设 $c = (c_1, \ldots, c_k) \in \mathbb{Z}^k$，定义 $g := \gcd(c_1, \ldots, c_k)$，$t := \sum_{i = 1}^{k} c_i t_i$。若对于某个可忽略的 $\epsilon$ 有 $\sigma > |c| \cdot \eta_{\epsilon}(\Lambda)$，则 $Z = \sum_{i = 1}^{k} c_i X_i$ 在统计上接近 $D_{g\Lambda + t, |c| \sigma}$。在相关完整版本中，该定理被推广到 $\overline{Z} = A \cdot \overline{X}$ 的情况，其中 $\overline{X} = (X_1, \ldots, X_k)$，$A$ 是一个 $s \times k$ 矩阵。

2. F₂上的线性同态签名方案

此方案的构建受Gentry、Peikert和Vaikuntanathan的签名方案启发。在GPV方案中，签名是 $\Lambda_{u}^{q}(A)$ 中的短向量，其中 $u$ 是待签名消息的哈希值。而本方案构建同态签名的关键思路是同时在模2和模一个奇素数 $q$ 下进行操作。具体而言，向量 $v \in \mathbb{F