最緊湊的安全後量子簽名和公鑰?
哪個後量子公鑰和簽名系統包含最緊湊的可重用密鑰對?例如,與使用次數有限的基於散列的 Merkle 樹驅動的簽名相比,生成幾乎無限的簽名而不會失去最初提供的安全性(如 RSA)的私鑰?
首先,您必須與您獲得 RSA 甚至 ECDSA 之類的假設說再見。後量子候選的尺寸比經典方案大。時期。存在具有小公鑰或簽名的方案,但從來沒有兩者兼而有之。關鍵是您經常可以在公鑰和簽名之間轉移資訊,但總和保持不變或變得更糟。
通常,您可以從三個方面進行選擇:基於散列的、基於格的或多變數簽名。基於程式碼和基於同源的還沒有真正的實用建議。這些領域中的每一個都有其優點和缺點。
基於散列的為您提供最可靠的安全保證、小公鑰和中等大小的簽名。對於需要維護狀態的小而快速的簽名(XMSS / LM-HSS),對於無狀態方案(SPHINCS、SPHINCS+、Gravity-SPHINCS),簽名達到 10 千字節的數量級。
基於格的加密目前為您提供最佳尺寸。如果目前參數證明是安全的,您可以使用 2.5 KB 簽名和 1.5 KB 公鑰 (Dilithium)。然而,格問題的密碼分析仍在進行中。如果有人找到比目前攻擊快一個數量級的算法(這並不意味著方案會被破壞,而是必須調整參數),這並不完全令人驚訝。
最後,對於 MQ 或多變數簽名,您有兩個選擇:您可以使用像 UOV 或 Rainbow(小心:專利)這樣的方案,它們提供極短的簽名但有點大的公鑰(我不知道確切的數字,因為我發現的只是數字經典攻擊和 80 位安全性…)。如果您進一步向密鑰添加循環結構,則公鑰大小會減小。然而,這些結構是啟發式的,我們只知道它們還沒有被已知的攻擊破壞。特別是,它們的安全性不僅與 MQ 問題有關,還與 IP 和 MinRank 等鮮為人知的問題有關。或者,您可以使用諸如 MQDSS 之類的東西,它從 MQ 中降低了安全性。但是,您的尺寸比 SPHINCS 略大。