Dilithium 簽名方案和定時攻擊——執行時間真的取決於密鑰嗎？

論文“CRYSTALS – Dilithium: Digital Signatures from Module Lattices”（作者：Léo Ducas、Tancrède Lepoint、Vadim Lyubashevsky、Peter Schwabe、Gregor Seiler 和 Damien Stehlé）介紹了一種基於 lattice 的數字簽名方案。

然而，它讓我擔心有兩個原因：

1. 沒有後量子安全性的證據。
2. 沒有證據表明執行時間不依賴於密鑰。

第一個似乎是證明技術的技術限制，不太可能導致實際攻擊，但如果我的恐懼是真的，第二個肯定是可以利用的。

執行時間實際上取決於密鑰嗎？

執行時間不依賴於密鑰。所有乘法、加法和模減少都可以實現為常數時間。

深入了解細節：

• goto簽名算法第 11 行的機率與 $ s_1 $ , $ s_2 $ （機率在等式*（4）*中）。
• 第goto13 行的 in 也獨立於 $ s_1 $ , $ s_2 $ 因為使用 $ s_2 $ 第 12 行中的可以替換為不使用的表達式 $ s_2 $ （如等式*（1）*），其中所有變數的分佈獨立於 $ s_1 $ , $ s_2 $ .

引用自：https://crypto.stackexchange.com/questions/50510