基於雜湊的簽名的優缺點
我們知道基於散列的簽名(Winternitz 簽名、HORS(T) 簽名)是量子安全且高效的。它們可以是有狀態的或無狀態的、一次性的或多次的。但是為什麼它們在實踐中沒有被廣泛使用呢?或者也許他們是,請告訴我一些應用程序,優點和缺點。
這張表——Ed25519與基於晶格的後量子候選者 Dilithium與SPHINCS+ 變體在相當的後量子安全級別,在簽名大小和簽名時間之間進行權衡——可能有助於解釋:
$$ \begin{equation*} \begin{array}{r|rr|rr|rr} \text{sig scheme} && \text{sig bytes} && \text{cycles to sign} \ \hline \text{ed25519} & \times1= & 64 & \times1= & 45,400 \ \text{dilithium3} & \times42= & 2,701 & \times101= & 4,600,060 \ \text{sphincss192sha256simple} & \times266= & 17,064 & \times46,000= & 2,105,269,820 \ \text{sphincsf192sha256simple} & \times557= & 35,664 & \times1,850= & 84,025,740 \end{array} \end{equation*} $$
從具有 64 x 2000MHz 核心的 2019 AMD EPYC 7702 上的 SUPERCOP 測量得出的中值週期數;查看完整結果https://bench.cr.yp.to/results-sign.html了解更多詳細資訊、不同機器上的比較以及其他簽名方案。
儘管基於散列的簽名被很好地理解並且基於保守的設計原則,但它們的成本比現代簽名安全標準(橢圓曲線簽名方案 Ed25519)的成本要高出數千倍,而且還要大數百倍。(也就是說,SPHINCS+ 的驗證成本並沒有那麼糟糕。)
狀態簽名方案 XMSS 已經部署在 OpenSSH 中,這有點傻,因為(a)狀態簽名對運營商來說是一個嚴重的腳槍,以及(b)長時間不需要部署後量子線上認證機制——只有在量子電腦成為嚴重威脅時部署它們才重要,這樣未來的會話就不會被量子對手偽造。
(相比之下,後量子加密和後量子密鑰協議對於盡快部署很重要——OpenSSH 也在試驗這一點——以防止未來的量子電腦追溯解密過去的會話。)