超级会员免费看
后量子密码学:设计、实现与挑战
1. 后量子密码学签名方案
1.1 格上的Schnorr签名
任何身份识别(ID)方案都可通过Fiat - Shamir变换转换为签名方案,Schnorr的3 - 步协议是一种高效的ID方案。早期的NSS格签名方案被统计攻击破解,原因是其ID方案不满足诚实验证者零知识(HVZK)属性。Lyubashevsky的方案解决了这个问题,允许证明者以一定概率中止协议,从而证明HVZK属性。
对于格上的学习带误差(LWE)问题,最低有效位(LSBs)不太重要。通过丢弃一些LSBs可以在不影响安全性的前提下减小签名大小,如[15]通过丢弃z2并仅检查com的高位,将签名大小减少约2倍。然而,qTESLA在应用此思想时未检查安全性证明的保留,导致完全不安全。
以下是Schnorr签名的不同实例化对比:
| 元素 | Schnorr | Lyubashevsky (w/ LWE) |
| — | — | — |
| sk | 均匀的x | 短向量(s1, s2) |
| pk | g, h = gx | A, t = A · s1 + s2 |
| com | gr(r均匀) | A · r1 + r2((r1, r2)短) |
| chal | 均匀的c | 短的c |
| rsp | r - cx | (z1, z2) = (r1 - cs1, r2 - cs2) |
| cond | com = grsp · hc | (com = Az1 + z2 - ct) ∧ ((zi)i短) |
| Abort? | 否 | 是 |
订阅专栏 解锁全文
扫一扫
19
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
