對基於散列的隨機預言機的量子原像攻擊對於格簽名是否嚴重？

對於基於散列的隨機預言模型（如 BLISS）中的大多數基於格的簽名方案，在安全估計中不考慮針對簽名的隨機預言組件的量子原像攻擊（例如 Grover 的 alg），這似乎是合理，因為原像攻擊不一定違反簽名的不可偽造性。但最近，一些論文，如Tesla、Tesla#和this，都考慮到了這種攻擊。

我的問題是：這種攻擊真的很嚴重嗎？我們是否應該在安全評估中仔細觀察它們？

是的，這很重要。在基於格的 Fiat-Shamir 簽名方案中，簽名是 (z,c)，其中 z 是低範數向量，c 是低範數挑戰。

然後驗證方程滿足 c=H(Az-tc,m)，其中 A 和 t 是公鑰（A 是矩陣，t 是向量），m 是消息。如果敵手能夠找到滿足 c=H(Az-tc,m’) 的 m’，則 (z,c) 也是 m’ 的簽名。因此，僅具有 128 位經典原像電阻是不夠的。

引用自：https://crypto.stackexchange.com/questions/47622