32、基于量子随机预言模型中多项式同构的可证明安全后量子签名方案

基于量子随机预言模型中多项式同构的可证明安全后量子签名方案

1. 引言

量子计算机的出现对现有的基于整数分解和离散对数问题的标准公钥加密方案构成了严重威胁。为了应对这一挑战，后量子密码学应运而生，旨在寻找能够抵抗量子计算机攻击的新型加密方案。

目前，已经提出了许多后量子身份识别方案及其通过Fiat - Shamir变换得到的相应签名方案。然而，这些方案的安全性证明大多仅针对经典对手，而非量子对手。近年来的研究表明，一些假设为经典对手的安全证明在面对量子对手时可能不再有效。

量子对手具有强大的计算能力，能够在多项式数量的量子比特中存储指数数量的值，并且对这些量子比特的一次计算操作可以应用于所有由它们表示的指数数量的值。例如，经典对手在多项式时间内只能逐个计算多项式数量的哈希值，而量子对手可以通过对由多项式数量的量子比特组成的一个变量应用哈希函数来评估指数数量的哈希值。

在使用随机预言机进行安全证明时，哈希值的一次计算对应于对随机预言机的一次查询。因此，为了表示量子对手对指数数量的哈希值的评估，随机预言机需要能够接收以量子态形式表示的查询，该量子态是指数数量的值的叠加，并以量子态形式返回查询结果，即哈希函数应用于每个值的评估结果的叠加。这使得量子对手可以“隐藏”其实际用于“攻击”的哈希值。

在证明通过Fiat - Shamir变换得到的签名方案的安全性时，传统的重绕技术面临巨大困难。重绕技术通常要求归约算法至少两次重绕对手，以获得两个不同的伪造签名，这些签名对应于随机预言机返回的不同哈希值，而这些哈希值实际上是同一个查询的答案。但在量子环境中，由于量子对手可以将用于伪造的哈希值“隐藏”在指数数量的值的叠加态中，很难确定需要重绕到哪个阶段。 </