默克爾簽名生成
在“後量子密碼學”一書的第 2 節(第 42 頁)中,它說:
然後他生成一次性簽名 $ \sigma_{\text{OTS}} $ 摘要使用 $ s $ -th 一次性簽名密鑰 $ X_s $ , $ s\in{0,\dots,2^H-1} $ .
我的問題:是 $ s $ 以隨機形式選擇?有沒有可能 $ s $ 簽名過程的衝突?
如果他選擇 $ s $ 隨機,則該方案將是無狀態的,但使用相同的方案後會失敗 $ s $ 兩次,這應該在大約給予之後發生 $ : $ $ \Theta $ $ \big(\hspace{-0.05 in} $ $ 2^{H/2} $ $ \hspace{-0.01 in}\big): $ 簽名。
如果他選擇 $ s $ 通過將PRF應用於 $ g(m) $ ,則該方案將是確定性和無狀態的,
但在給出大約 $ :\Theta\left(2^{H/2}\right): $ 簽名。
如果他保持一個最初為空的列表作為狀態,則選擇 $ s $ 從不在列表中的葉子中隨機抽取 $ s $ 到列表中,如果此時列表包含所有葉子,則再次使列表為空,那麼該方案將需要保持一定數量的狀態,該狀態量隨著給定的簽名數量線性增長。
在這種情況下,該方案將在給予後失敗 $ :2^H\hspace{-0.045 in}+\hspace{-0.03 in}1: $ 簽名。
如果他選擇 $ s $ 比之前的值大一 $ s $ 當有先前
的值時 $ s $ 和這樣的一片葉子,然後選擇 $ s $ 等於 $ 0 $ 在所有其他情況下,
該方案將是確定性的,但需要保持 $ H $ 位的狀態。
在這種情況下,該方案將在給予後失敗 $ :2^H\hspace{-0.045 in}+\hspace{-0.03 in}1: $ 簽名,並且在此之前,
每個簽名還將顯示和驗證先前已簽名的消息數量。
這將阻止對手重新排序消息,但也會減少簽名者的隱私。
(Paŭlo Ebermann 在評論中建議了以下選項。)
如果他選擇 $ c $ 就像上一段描述他選擇的方式 $ s $ , 並選擇
$ s $ 通過將PRP應用於 $ c $ ,則該方案將是確定性的,需要保持 $ H $ 狀態位
和給予後失敗 $ :2^H\hspace{-0.045 in}+\hspace{-0.03 in}1: $ 位的狀態。 $ : $ 在這種情況下,該方案將使
任何擁有 PRP 密鑰的人(這通常只是簽名者,儘管其他 學習簽名密鑰的人也會知道 PRP 密鑰)來確定 在給出特定簽名之前簽署
了多少消息
,並向其他人隱藏該資訊。
我懷疑最重要的是該方案是確定性和無狀態的。