Gravity-SPHINCS 和 SPHINCS+ 的區別？

從安全性和實用性的角度來看，Gravity-SPHINCS 和 SPHINCS+ 有什麼區別？它們只是底層 SPHINCS 算法的不同實現，還是底層算法的功能變體？

Gravity-SPHINCS 和 SPHINCS+ 是對原始 SPHINCS 算法的兩種不同的改進。兩者都以稍微不同的方式更改了幾次簽名方案 HORST（在 SPHINCS 中使用）。但是，兩者都是 HORST 的變體。這導致 Gravity-SPHINCS 的可變長度簽名和 SPHINCS+ 的固定長度簽名，這與在最壞情況下使用 SPHINCS+ 中的 Gravity-SPHINCS 少次簽名方案獲得的簽名一樣長。然而，通常較短的可變長度簽名是以更複雜的簽名和驗證為代價的。

此外，兩者都改變了計算使用的幾次簽名方案的索引的方式。雖然不同，但兩者都實現了索引可以由驗證者驗證，而 SPHINCS 並非如此。最後，Gravity-SPHINCS 使用的假設是，在某些關於儲存訪問時間的假設下，量子電腦的碰撞發現與第二原像發現一樣慢。因此，Gravity-SPHINCS 略微簡化了在構造中完成雜湊的方式，但代價是僅從內部雜湊函式的抗碰撞性中降低了安全性。相反，SPHINCS+ 從內部散列函式的第二原像阻力中獲得了安全性降低（在兩個提議中用於壓縮消息的散列函式有不同的假設）。

總而言之，這些方案遵循相同的高級設計原則，但以非常不同的方式對其進行實例化。哪個更好可能取決於您想要什麼。

引用自：https://crypto.stackexchange.com/questions/54304