在 Sphincs(+) 變得不安全之前有多少消息？

在偽造者的成功機率變為之前需要多少條消息 $ 1/2 $ ? $ 1/4 $ ?

對於所有類似 SPHINCS 的結構，安全性的分析比散列函式稍微複雜一些。對於 SPHINCS，我們不僅有兩個維度，就像我們得到攻擊者花費的努力和相應機率的雜湊函式一樣。對於 SPHINCS，存在第三個維度，即“攻擊努力”-“機率”對僅以一定的機率發生。後一種機率隨著對手看到的每個簽名而緩慢增加。但是，選擇參數使得“攻擊努力”-“機率”對發生的機率乘以在該對下實現機率 1/2 所需的努力的倒數低於目標值（這被認為是完整的攻擊複雜性）。例如，對於 SPHINCS-256，這個目標值是 $ 2^{128} $ 考慮量子對手。這並不完全正確，正如我所說，發生的機率隨著每個簽名的增加而增加。因此，對於每個目標值，都有一個門檻值，它將通過。因此，必須確定不能通過目標的簽名數量。對於 SPHINCS-256，目標適用於 $ q = 2^{50} $ 簽名。對於 SPHINCS+，目標適用於 $ q = 2^{64} $ 簽名。如果使用者做的超過 $ q $ 簽名攻擊的複雜性開始降低。實際上，SPHINCS 和 SPHINCS+ 規範/論文給出了位安全性的公式。您可以自己回答您的問題，如下所示：

在類似 SPHICS 的結構的情況下，有點安全性 $ b $ 位大約對應於成功機率 $ 2^{-b} $ . 只需修復 $ b $ 相應地求解簽名的數量 $ q_{sign} $ 在公式。

引用自：https://crypto.stackexchange.com/questions/62362