Post-Quantum-Cryptography
在 Sphincs(+) 變得不安全之前有多少消息?
在偽造者的成功機率變為之前需要多少條消息 $ 1/2 $ ? $ 1/4 $ ?
對於所有類似 SPHINCS 的結構,安全性的分析比散列函式稍微複雜一些。對於 SPHINCS,我們不僅有兩個維度,就像我們得到攻擊者花費的努力和相應機率的雜湊函式一樣。對於 SPHINCS,存在第三個維度,即“攻擊努力”-“機率”對僅以一定的機率發生。後一種機率隨著對手看到的每個簽名而緩慢增加。但是,選擇參數使得“攻擊努力”-“機率”對發生的機率乘以在該對下實現機率 1/2 所需的努力的倒數低於目標值(這被認為是完整的攻擊複雜性)。例如,對於 SPHINCS-256,這個目標值是 $ 2^{128} $ 考慮量子對手。這並不完全正確,正如我所說,發生的機率隨著每個簽名的增加而增加。因此,對於每個目標值,都有一個門檻值,它將通過。因此,必須確定不能通過目標的簽名數量。對於 SPHINCS-256,目標適用於 $ q = 2^{50} $ 簽名。對於 SPHINCS+,目標適用於 $ q = 2^{64} $ 簽名。如果使用者做的超過 $ q $ 簽名攻擊的複雜性開始降低。實際上,SPHINCS 和 SPHINCS+ 規範/論文給出了位安全性的公式。您可以自己回答您的問題,如下所示:
在類似 SPHICS 的結構的情況下,有點安全性 $ b $ 位大約對應於成功機率 $ 2^{-b} $ . 只需修復 $ b $ 相應地求解簽名的數量 $ q_{sign} $ 在公式。