Code-based SIG: CROSS

参考文献：

1. [GGM86] Oded Goldreich, Shafi Goldwasser, Silvio Micali. How to construct random functions. J. ACM 33(4): 792-807 (1986).
2. [Merkle87] Ralph C. Merkle. A Digital Signature Based on a Conventional Encryption Function. CRYPTO 1987: 369-378.
3. [CE24] André Chailloux, Simona Etinski. On the (in)security of optimized Stern-like signature schemes. Des. Codes Cryptogr. 92(3): 803-832 (2024).
4. SDP-based ZKP & SIG
5. Merkle Tree & Hash-based SIG

Merkle Tree

场景：Alice 持有 $t$ 个数据块，想要将其中的 $k$ 个数据块发送给 Bob，并且 Bob 要确认这些数据块的位置和内容的正确性。可以使用 [Merkle87] 提出的 Merkle Tree 实现它。

方便起见，我们假设 $t$ 是二的幂次，从而 Merkle Tree 是一颗完全二叉树。如下图所示，将数据 $D_i$ 的摘要作为叶子，然后两两 Hash，最终得到对全部数据块的承诺 $com$，

首先 Bob 已经知道 $com$ 的值。现在，Alice 发送 $k$ 个橙色数据块给 Bob，同时发送从这些叶子到根的路径上各个节点的兄弟（绿色那些）。因为多个橙色数据块的路径存在重叠，某些节点不必发送。确切地说，最近公共祖先的两个孩子被省略，而从该祖先到根的兄弟被共用。因此，最近祖先的深度越大，那么省略的节点数就越多。当 $k$ 个数据块最分散时，是最坏情况：每个叶子到最近公共祖先的路径长度约为 $\log (t/k)$

对于一般的 $t$，假设 $wt(t)=m$，可以用 $m$ 颗完全二叉树来实现。可以证明 Merkle Proof 的长度上界为：
$$2\lambda \cdot \lfloor k\cdot \log (t/k)+m-1\rfloor$$
其中 $2\lambda$ 是 Hash 值的长度。 但是通常，Merkle Proof 的实际规模会远小于该上界。

PRNG Tree

场景：Alice 秘密生成了 $t$ 个随机数，想要将其中的 $t-k$ 个随机数发送给 Bob，并且 Bob 对其余的 $k$ 个随机数（在计算意义下）无知。可以使用 [GGM86] 提出的 PRNG Tree 实现它。

方便起见，我们假设 $t$ 是二的幂次，从而 PRNG Tree 是一颗完全二叉树。如下图所示，根据种子 $seed$，迭代计算 PRG 得到两个孩子，最终获得全部随机数 $R_i$，

现在，Alice 想要发送 $t-k$ 个橙色随机数给 Bob，只需发送 $k$ 个灰色叶子到根的路径上各个节点的兄弟（绿色那些）。类似的，多个路径可以合并。可以证明 Seed Path 的长度上界是：
$$\lambda \cdot \min (\lfloor k\cdot \log (t/k)+m-1\rfloor ,t-k)$$
其中 $\lambda$ 是 PRG 的种子长度，其中 $t-k$ 表示直接传输那些叶子。

函数 $f_t(k)=k\cdot \log (t/k)$，有两个零点 $k=0,t$，它在 $k\in (0,t)$ 上先增后降，并且当 $k\in (t/2,t)$ 时满足 $f_t(k)>t-k$，因此这里需要取两者之间的较小值。Merkle Proof 似乎也应当有类似的优化？

CROSS

我们回顾一下，[CVE10] 是一种基于 qSD 问题的 Shamir’s PKP 框架 ZKP 协议，

最近 [BBP+24] 提出了受限的 qSD 问题（R-SD in NPC），提高了错误重量 $w$ 的大小，

1. 在安全强度上，R-SD 问题比 qSD 更难，因此可以降低参数规模；
2. 在通信开销上，R-SD 问题可以选取 full weight 错误向量，从而省略置换 $\Sigma \in S_n$

因为 R-SD 问题是一组（关于有限域上加法的）线性方程组 $He=s$，其中 $e\in {\mathbb{E}}^n\subseteq {\mathbb{F}}_q^n$，所以限制到乘法子群 $G\subseteq {\mathbb{E}}^n$ 基本不影响其安全强度。利用群 $G$ 的代数结构和同构关系，可以进一步降低其表示的规模。

ZKP based on R-SDP(G)

CROSS（Codes and Restricted Objects Signature Scheme）是基于 R-SDP(G) 问题的 CVE 方案变体，做了如下的优化：

1. 不再采样 $\sigma \in G:=⟨g_1,\cdots ,g_m⟩\subseteq$ 然后计算 $\sigma (u),\sigma (s)$，而是直接根据 $Seed$ 采样 $s^{\prime }\in G$ 和 $u^{\prime }\in {\mathbb{F}}_p^n$，然后计算出满足 $s=\sigma (s^{\prime })$ 的映射 $\sigma \in G$，以及 $y=u^{\prime }+\beta s^{\prime }$，其中 $\beta \in {\mathbb{F}}_p^{\ast }$ 是第一个挑战。因为 $G$ 的传递群（transitive group）同构于 $G$ 本身，获得的 $\sigma$ 是均匀随机的。
2. 当第二个挑战 $b=1$ 时，仅发送种子 $Seed$ 即可重构 $u^{\prime }$ 和 $s^{\prime }$ 从而 $y$，
3. 还可以将 $y$ 推迟发送，先做承诺 $d=Hash(y)$；假如 $b=0$，仍需传输 $y$ 本身；但是如果 $b=0$，那么可以省略 $y$ 的传输。

CROSS 使用的基础 ID 协议如下：

该协议满足：Completeness，Zero Knowledge，以及 $(2,2)$-out-of-$(p-1,2)$ special soundness，满足 s.e. = $p/(p-1)$

这里重点看一下 soundness 的证明过程：敌手 $P^{\ast }$ 试图让 $V$ 相信其具有 $P$ 身份，存在如下的两种策略（构造性的，但是可证明最优，即给出了 s.e. 的上界），

1. $P^{\ast }$ 随机生成 $Seed$ 和 ${\beta }^{\ast }\in {\mathbb{F}}_p^{\ast }$，继续做出 $u^{\prime }$ 和 $e^{\prime }$
2. $P^{\ast }$ 随机生成 $\sigma \in G$（不知道 $e\in G$），计算出 $y^{\ast }=u^{\prime }+{\beta }^{\ast }{e}^{\prime }$
3. $P^{\ast }$ 计算 $\tilde{s}=\sigma (y^{\ast })H^T-{\beta }^{\ast }s$，然后发送 $c_0=Hash(\tilde{s},\sigma )$ 和 $c_1=Hash(u^{\prime },e^{\prime })$ 给 $V(\rho )$，这里 $\rho$ 是敌手 $P^{\ast }$ 为黑盒子程序 $V$ 选取的随机带

• Strategy 0：对于 $b=0$ 总是成功，并且对于 $b=1$ 猜测 $\beta$ 使之有可能成功，
  1. $P^{\ast }$ 求解出 $\tilde{e}$ 使之满足 $\tilde{e}{H}^T=s$（不限制 $\tilde{e}$ 范围，简单高斯消元，然后随机采样），以及 $\tilde{u}$ 使之满足 $\tilde{u}{H}^T=\tilde{s}$（同理，随机采样）
  2. 收到 $V$ 的挑战 $\beta$，
     • 假如 $\beta ={\beta }^{\ast }$，那么发送 $h=Hash(y^{\ast })$，再根据 b ∈ { 0 , 1 } b \in \{0,1\} b∈{0,1} 决定发送 $(y^{\ast },\sigma )$ 或者 $Seed$，两者都必定被接受；
     • 假如 $\beta \ne {\beta }^{\ast }$，那么 $P^{\ast }$ 计算 $y={\sigma }^{-1}(\tilde{u})+\beta {\sigma }^{-1}(\tilde{e})$，然后发送 $h=Hash(y)$，对于 $b=0$ 该副本被接受（因为 $\sigma (y)H^T-\beta s=\tilde{s}$），但对于 $b=1$ 基本无法成功（得让 $See{d}^{\ast }$ 生成 $h$ 的原像/第二原像）
  3. 该策略的成功率是 $\frac{1}{p-1}+\frac{p-2}{p-1}\cdot \frac{1}{2}=\frac{p}{2(p-1)}$
• Strategy 1：对于 $b=1$ 总是成功，并且对于 $b=0$ 猜测 $\beta$ 使之有可能成功，
  1. 收到 $V$ 的挑战 $\beta$，$P^{\ast }$ 直接计算 $y=u^{\prime }+e^{\prime }\beta$，并发送 $h=Hash(y)$
     • 假如 $b=1$，那么发送 $Seed$，此时必定被接受；
     • 假如 $b=0$，则仅当 $\beta ={\beta }^{\ast }$ 时才被接受（此时有 $\sigma (y)H^T-\beta s=\tilde{s}$），否则无法成功（不然 $\sigma (e^{\prime })H^T=s$ 就破解了 R-SDP）
  2. 该策略的成功率是 $\frac{1}{2}+\frac{1}{2}\cdot \frac{1}{p-1}=\frac{p}{2(p-1)}$

4. 这两个策略的公共步骤是随机的，Strategy 0 的专属步骤也是随机的，但是 Strategy 1 的专属步骤却是确定性的（在执行了公共步骤的条件下）；两者的成功率都只依赖公共步骤的随机性（确切地说，就是 $\rho$）

现在，假设对于固定的 $c_0=Hash(\tilde{s},\sigma )$ 和 $c_1=Hash(u^{\prime },e^{\prime })$，存在四个可接受副本，具有以下形式（即使用 $(2,2)$-out-of-$(p-1,2)$ 的挑战）：
$$\begin{array}{rlrl}{T}_1& :=(c_0,c_1,\beta ,h,b_0,y,\sigma ),& T_2& :=(c_0,c_1,\beta ,h,b_1,Seed)\\ T_3& :=(c_0,c_1,{\beta }^{\ast },h^{\ast },b_0,y^{\ast },{\sigma }^{\ast }),& T_4& :=(c_0,c_1,{\beta }^{\ast },h^{\ast },b_1,See{d}^{\ast })\end{array}$$
其中 $\beta \ne {\beta }^{\ast }\in {\mathbb{F}}_p^{\ast }$ 以及 $b_0=0,b_1=1$

那么，可以构造知识提取器，

1. 首先根据 $T_2$ 和 $T_4$，生成 $(u^{\prime },e^{\prime })$ 和 $(u^{\prime \ast },e^{\prime \ast })$，构造出 $y^{\prime }$ 和 $y^{\prime \ast }$，满足 $Hash(u^{\prime },e^{\prime })=Hash(u^{\prime \ast },e^{\prime \ast })=c_1$，由于抗碰撞性，可得到 $y-y^{\ast }=(\beta -{\beta }^{\ast })e^{\prime }$
2. 其次根据 $T_1$ 和 $T_3$，满足 $Hash(\sigma (y)H^T-\beta s,\sigma )=Hash(\sigma (y^{\ast })H^T-{\beta }^{\ast }s,{\sigma }^{\ast })$，由于抗碰撞性，可得到 $\sigma (y-y^{\ast })H^T=(\beta -{\beta }^{\ast })s$
3. 最终有 $\sigma (e^{\prime })H^T=s$，这就解出了秘密 $e:=\sigma (e^{\prime })$

因此 s.e. 严格小于 $\frac{(p-1)+2}{2(p-1)}$（否则敌手就能够给出上述形式的四个可接受副本），这说明 s.e. 恰好就是 $\frac{p}{2(p-1)}$

人们将第一个挑战有 $q$ 种取值、第二个挑战有 $2$ 种取值的 5-pass 协议称为 $q2$-Identification scheme。如果它满足 $(2,2)$-out-of-$(q,2)$-special soundness，那么其 s.e. 不超过 $\frac{q+1}{2q}$。

SUF-CMA SIG

将上述的 $q2$-Identification scheme 并行重复 $t$ 次，采用 Fiat-Shamir transformation 得到 SUF-CMA SIG 方案。令 $T^{(i)}:=(Co{m}^{(i)},C{h}_1^{(i)},Rs{p}_1^{(i)},C{h}_2^{(i)},Rs{p}_2^{(i)})$ 表示 $t$ 个副本，将 Hash 建模为 RO，将挑战设置为当前视图的散列，
$$\begin{array}{rl}C{h}_1& =Hash(Msg,Com)\\ C{H}_2& =Hash(Msg,Com,C{h}_1,Rs{p}_1)\end{array}$$
其中的 $Com,C{h}_1,Rs{p}_1,C{h}_2,Rs{p}_2$ 视为长度 $t$ 的向量。

承诺 $Com$ 通常是对长度 $\lambda$ 比特的种子做的，而承诺方案一般直接使用具有单向、抗碰撞的 Hash 函数来实例化，其为确定性承诺方案。但是根据 [CE24]，存在一种利用碰撞的攻击，以 $O(2^{\lambda /2})$ 时间打破恢复出私钥（自然打破 SUF-CMA 安全性）

采取随机化承诺方案，即在每次承诺 $Co{m}^{(i)}$ 时都加入 $\lambda$ 比特的随机带，可以避免该问题，然而这导致通信量增大。[CE24] 提出了 salt + index construction，对于多个承诺只需加入单个 $2\lambda$ 比特的盐（视为共享随机带），并且添加索引，承诺形如
$$Co{m}^{(i)}=Hash(x^{(i)}\Vert Salt\Vert i)$$
最终的签名值设置为 $Sign=(Salt,Com,Rs{p}_1,Rs{p}_2)$

为了减小通信开销，继续做如下优化：CROSS-ID 的副本形如 $(c_0^{(i)},c_1^{(i)},{\beta }^{(i)},h^{(i)},b^{(i)},f^{(i)})$，

1. 因为 $b^{(i)}=0$ 时需要发送 $(y^{(i)},{\sigma }^{(i)})$，而 $b^{(i)}=1$ 时仅需发送 $See{d}^{(i)}$，假如选取固定重量 $w<t$ 使之取 $1$，令 $w$ 尽可能接近 $t$，那么就可以减小签名；注意这会影响 forgery attacks 的复杂度，因此需要增大轮数 $t$
2. 使用 PRNG Tree 产生种子 $See{d}^{(i)}$，传输 $b^{(i)}=1$ 的那些叶子对应 Seed Path；当 $w$ 增大时，这部分的规模也会降低
3. 只有少量的 $c_0^{(i)}$ 可被重构，使用 Merkle Tree 承诺 $c_0^{(i)}$，树根为 $c_0$；发送 $b^{(i)}=1$ 的那些 $c_0^{(i)}$ 对应的 Merkle Proof，当 $w$ 增大该部分变小
4. 因为大多数 $c_1^{(i)}$ 可被重构，将 $c_1^{(i)}$ 合并承诺，计算 $c_1=Hash(c_1^{(1)},\cdots ,c_1^{(t)})$；仅需传输 $b^{(i)}=0$ 的那些 $c_1^{(i)}$，当 $w$ 增大该部分变小
5. 将 $y^{(i)}$ 合并承诺，计算 $h=Hash(y^{(1)},\cdots ,y^{(t)})$；无论 $b^{(i)}$ 如何取值，$V$ 总可以得到全部的 $y^{(i)}$（直接传输、可重构）

CROSS 的签名算法描述如下：

CROSS 的验签算法描述如下：

公钥和签名大小为：

因为 $t$ 个副本中有 $t/2<w<t$ 个位置是 $b^{(i)}=1$，这会使得伪造更加容易。考虑如下的伪造算法，

1. 采样 $Salt$ 和 $MSeed$（确定性的签名算法），猜测各个 ${\beta }^{(i)}$ 和 $b^{(i)}$ 的取值，记为 ${\tilde{\beta }}^{(i)},{\tilde{b}}^{(i)}$
2. 对于各个副本执行 Strategy 0/1 的公共步骤，制作出 $(Co{m}^{(i)},C{h}_1^{(i)})$
3. 假如位置 $S\subseteq [t]$ 上的 ${\tilde{\beta }}^{(i)}$ 猜对了，其中 $|S|\ge t^{\ast }$，那么继续执行如下步骤；否则回到 Step 1 重新猜测
4. 对于 $i\in S$，直接根据 CROSS-ID 并做出副本的 $y,h$ 部分（必定被接受）
5. 对于 $i\notin S$ 的副本，
   • 如果 ${\tilde{b}}^{(i)}=0$，那么运行 Strategy 0 做出必定被接受的副本（如果猜对了 $b^{(i)}$）
   • 如果 ${\tilde{b}}^{(i)}=1$，那么运行 Strategy 1 做出必定被接受的副本（如果猜对了 $b^{(i)}$）
6. 根据 Step 4, 5 构造出的 $Rs{p}_1^{(i)}$，生成 $C{h}_2^{(i)}$
7. 假如 $i\notin S$ 位置的 ${\tilde{b}}^{(i)}$ 全都猜对了，那么就给出了一个伪造签名；否则回到 Step 5 重新生成 $Rs{p}_1^{(i)}$（随机的 Strategy 0 专属步骤，确定的 Strategy 1 专属步骤）

上述伪造算法包含串行的两个猜测阶段，第一阶段使得足够多位置的 ${\beta }^{(i)}$ 猜对，第二阶段使得其余位置的 $b^{(i)}$ 猜对，期望的计算复杂度为：

这被用来确定 $t$ 和 $w$ 的取值（但毕竟是构造性算法，给出的是安全强度上界；该算法是否有最优性？虽然 Strategy 0/1 确是最优的）

Parameter Set

CROSS 采取枚举方法来生成参数集：由于 R-SDP 的困难性依赖 $\mathbb{E}$ 的结构，将 ${\mathbb{F}}_p$ 设置为素域，并让 $\mathbb{E}$ 是素数阶 $z$ 的乘法子群，

1. 首先枚举素数 $17\le p\le 2477$，素数 $z\mid (p-1)$，还有码率 $R\in [0,3,0.7]$
2. 采用 full weight 的错误向量，根据 R-SDP 的安全强度评估脚本（国内连不上）找出最小的 $n$ 以及最优的 $m$，使得安全强度至少 $\lambda$ 比特
3. 然后枚举 $w$，计算出最小的 $t\ge \lambda$，使得伪造算法的计算复杂度超过 $2^{\lambda }$，并且限制 $t<1100$ 以确保计算足够高效
4. 最后根据签名大小和轮数 $t$，挑出某些合适的参数集

对于 R-SDP，他们固定选取 $p=127$ 以及 $z=7$（都是 Mersenne primes），使得 ${\mathbb{F}}_p,{\mathbb{F}}_z$ 上的运算可以在 int16 内快速完成。但是 R-SDP(G) 要求 $z$ 足够大，否则容易解码，他们固定选取了 $p=509$ 和 $z=127$，使得至少后者可以高效计算。

参数集如下：

其 ref 实现的性能如下：

CROSS 的公钥规模比 RSA 更小，是 Dilithium 的二十分之一；签名规模与 SPHINCS+ 接近，是 Dilithium 的 3~11 倍；密钥生成的速度远比 SPHINCS+ 快，比 Dilithium 快 2~6倍；签名的速度远比 SPHINCS+ 快，比 Dilithium 慢 2~30 倍，与 RSA 接近；验签速度接近 SPHINCS+，比 Dilithium 慢 7~35 倍。