雜湊樹是可以替代 RSA 的替代性抗量子簽名方案嗎？

雜湊樹能否提供抗量子簽名來代替 RSA 進行安全簽名？密鑰大小是多少？我們可以使用多少次相同的密鑰？

單獨的雜湊樹​​不會這樣做。但是雜湊樹與一次簽名相結合（這稱為 Merkle 簽名方案）。

如果您使用基於散列的一個時間簽名，例如 Lamport-Diffie，那麼可以。

基本上，雜湊樹用於“聚合” $ k $ 公鑰通過將公鑰的散列值表示為散列樹的葉子並遞歸計算樹的內部節點的散列值作為其子級連接的散列，直到獲得“根公鑰散列”。然後每個離開公鑰都可以通過一次簽名方案使用一次，並允許您生成 $ k $ 共簽名。

因此，您使用公鑰計算簽名 $ i $ 並且您必須添加“根公鑰雜湊”和公鑰的身份驗證路徑 $ i $ ，即公鑰的所有兄弟節點的雜湊值 $ i $ 在樹根的唯一路徑上（這是檢查公鑰是否為必需的 $ i $ 通過重新計算根被“包含”在樹中）。後者包含 $ \log n $ 高度樹的雜湊值 $ n $ .

密鑰和簽名大小取決於使用的​​一次簽名方案，進而取決於散列函式。

是的，例如 Merkle 樹雜湊將能夠替換基於 RSA 的簽名。請記住，尋找碰撞的最佳量子算法是 Groover 算法，但這需要 $ 2^{n/3} $ 雜湊函式的評估。

引用自：https://crypto.stackexchange.com/questions/5973