Signature

對基於散列的隨機預言機的量子原像攻擊對於格簽名是否嚴重?

  • May 22, 2017

對於基於散列的隨機預言模型(如 BLISS)中的大多數基於格的簽名方案,在安全估計中不考慮針對簽名的隨機預言組件的量子原像攻擊(例如 Grover 的 alg),這似乎是合理,因為原像攻擊不一定違反簽名的不可偽造性。但最近,一些論文,如TeslaTesla#this,都考慮到了這種攻擊。

我的問題是:這種攻擊真的很嚴重嗎?我們是否應該在安全評估中仔細觀察它們?

是的,這很重要。在基於格的 Fiat-Shamir 簽名方案中,簽名是 (z,c),其中 z 是低範數向量,c 是低範數挑戰。

然後驗證方程滿足 c=H(Az-tc,m),其中 A 和 t 是公鑰(A 是矩陣,t 是向量),m 是消息。如果敵手能夠找到滿足 c=H(Az-tc,m’) 的 m’,則 (z,c) 也是 m’ 的簽名。因此,僅具有 128 位經典原像電阻是不夠的。

引用自:https://crypto.stackexchange.com/questions/47622