Hash
Winternitz One time 簽名安全
Winternitz-One 拍號方案有兩個版本, $ W-OTS $ 和 $ W-OTS^+ $
兩者的安全性如下
$ W-OTS $ 在選擇消息攻擊下是強不可偽造的,如果 $ F $ 是一種抗碰撞、不可檢測的單向函式族
$ W-OTS^+ $ 在選擇消息攻擊下是強不可偽造的,如果 $ F $ 是一個 $ 2nd $ -原像抗性,不可檢測的單向函式族
我的問題是哪個版本更安全 $ W-OTS $ 或者 $ W-OTS^+ $ ?
根據我的理解 $ W-OTS $ 比 $ W-OTS^+ $ 因為對於攻擊者來說,與 $ 2nd- $ 抗原像性。
如果是這樣使用是否安全 $ 2nd- $ 抗原像 Winternitz 一次拍號方案?
理想的方案應該是抗碰撞的或 $ 2nd- $ 抗原像性。
W-OTS+ 更強,因為它對散列函式的假設更弱。
讓我們舉一個比較極端的例子,讓我們考慮基於 MD5 雜湊函式的 W-OTS 和 W-OTS+。
現在,W-OTS 的證明是完全無效的;它假設雜湊函式是抗衝突的,並且我們知道如何與 MD5 產生衝突。
另一方面,基於 MD5 的 W-OTS+ 似乎是安全的;儘管 MD5 被“損壞”,但我們不知道如何為 MD5 創建第二個原像。
順便說一句:這似乎更多地是關於用於證明 W-OTS 的證明技術,而不是實際的安全性;我們可以創建 MD5 衝突(使證明無效),但是我們不知道如何使用這些衝突來實際攻擊 W-OTS-MD5;因此它看起來是安全的(但我們無法證明)。
另外,請注意:在已發表的文獻中,這些並不是 Winternitz 簽名的唯一版本……