Signature
我們可以將 WOTS 方案放入 Merkle 樹結構中嗎?
在(簡單地說)由默克爾樹建構的後量子簽名方案中,它們通常在最底層的葉子上採用某種 OTS 方案。即 WOTS Winternitz 方案。
Merkle等相對簡單的方案是製作一堆 Lamport/WOTS 密鑰並將它們放在 merkle 樹上。
是否可以將 WOTS 方案本身放在樹上,其中每個葉子代表一個字節值,每個葉子是一個簡單的 1 個雜湊鏈?
通過將製作單次使用 WOTS 密鑰所需的計算量增加三倍,它成為潛在的有限使用密鑰,並且您不會遇到通常通過校驗和解決的散列轉發問題。
這樣做有一些明顯的安全缺點嗎?
這個問題本質上是“我們可以把HORS方案放在樹上嗎”。答案是肯定的,因為它基本上是 HORST。
該問題通過提及 Merkle 樹而不提及索引來增加混亂。實際的問題是(或應該是)“可以將 x HORS 公鑰集放在樹上,每個 HORS 樹都用於對每個 x 字節進行簽名”。
也許將 HORS/T 視為索引/樹上的 WOTS 壓縮(或 Lamport 膨脹)是不正常的,但我會留下這個問題,以防它幫助其他任何人。