位遮罩或種子以及 WOTS+ 後量子簽名中的公鑰
最先進的基於散列的後量子簽名方案,如Sphincs和XMSS,正在使用WOTS (Winternitz OTS) 的變體,如WOTS+,它們需要額外的隨機位遮罩以及公鑰。
一些歷史:這些位遮罩最初是從Dahmen 等人引入的。為了從 2nd-preimage 抗性函式中建構基於雜湊的簽名。主要好處是不需要抗碰撞,並且簽名方案不受生日悖論的影響。前述允許WOTS+在相同安全級別下使用輸出比原始WOTS更短的雜湊函式。
然而,與以前的 W-OTS 變體相比,W-OTS+ 的一個缺點是由於包含這些位遮罩而增加了公鑰大小;即使我們重用位遮罩,我們仍然需要它們的列表。例如,這會影響Sphincs密鑰大小。另一方面,如果我理解正確,XMSS rfc 對所需的單個 SEED 進行了引用,該 SEED 將在 PRF 中用於生成所有所需的位遮罩。
也就是說,說我們不需要發送位遮罩列表,但單個 n 大小的 SEED 就足夠了,這是否正確?
請注意,使用 L-trees 的 WOTS+ 密鑰壓縮超出了範圍。我知道那裡也使用位遮罩。本題重點關注沒有公鑰壓縮的原始WOTS+方案。
XMSS 網際網路草案實際上並沒有實現原始的 XMSS 方案,而是 XMSS-T,如Hülsing、Rijneveld 和 Song (PKC 2016)在Mitigating Multi-Target Attacks in Hash-based Signatures中所述。還給出了安全性降低,表明這完全可以(使用 SEED 而不是列表)。它還引入了鍵控所有散列函式呼叫(這也在網際網路草案中實現)以防止多目標(第二)原像攻擊。使用 SEED 的缺點是此步驟需要 (Q)ROM 證明。原因是標準模型 PRF / PRG 安全屬性都要求種子 / PRF 密鑰保密(當它在給定場景中發佈時)。