12、格基密码学中的签名与密钥交换方案研究

格基密码学中的签名与密钥交换方案研究

1. 格基线性同态签名方案

在密码学领域，线性同态签名（LHS）方案是一个重要的研究方向。有一种提出的 LHS 方案具有一些独特的性质。

1.1 弱上下文隐藏性质

该方案满足弱上下文隐藏性质。设 (V_b = span{v_{b1}, \cdots, v_{bk}}) （(b = 0, 1)），对于 (j = 1, 2, \cdots, k)，(e^{(0)}_j) 和 (e^{(1)}_j) 分别是 (V_0) 和 (V_1) 的基消息向量上的签名，它们在统计上接近高斯分布。对于挑战者选择的比特 (b \in {0, 1})，(e^{(b)}) 是由 (e^{(b)}_j)（(j = 1, 2, \cdots, k)）组合得到的签名。
- 当 (b = 0) 时，(e^{(0)}) 是在某些线性函数 (f_i)（(i = 1, \cdots, s)）下由 (e^{(0)}_j) 推导而来。根据引理 2，(e^{(0)}) 的分布在统计上接近依赖于 ((\Lambda, \sigma, f(V_0), f)) 的高斯分布，其中 (f) 属于函数集 ({f_1, \cdots, f_s})。
- 当 (b = 1) 时，同样的情况成立，并且 (f_i(V_0) = f_i(V_1)) （(i = 1, 2, \cdots, s)）。因此，(e^{(0)}) 和 (e^{(1)}) 的分布在统计上是接近的。这意味着没有概率多项式时间（PPT）敌手能够在隐私游戏中获胜。

1.2 效率比较

将该方案与标准模型下已知的格基 LHS 方案进行了效率比较，具体如下表所示：
| 方