為什麼我們需要 Merkle 樹簽名方案的防碰撞雜湊函式？

我正在研究用於數字簽名的 Merkle Tree Construction。我不太明白為什麼我們需要抗碰撞雜湊函式來建構 Merkle 樹。

很少有像 XMSS 這樣的論文試圖通過引入位遮罩來降低從抗碰撞雜湊函式到第二原像雜湊函式的要求。但是，這是否意味著更長的公鑰，需要在驗證者方面做更多的工作？

是否存在對傳統 Merkle 樹的已知攻擊，僅使用第二個抗原像雜湊函式？

很少有像 XMSS 這樣的論文試圖通過引入位遮罩來降低從抗碰撞雜湊函式到第二原像雜湊函式的要求。

實際上，這不是 XMSS 具有位遮罩的原因。正如您所指出的，第二個原像電阻基本上是基於雜湊的簽名安全所需的一切；攻擊者需要為多個散列中的一個找到一個原像或第二個原像（取決於我們所討論的散列方案中的位置）。

相反，它與證明技術有關。正如 mephisto 指出的那樣，如果您對隨機預言模型（及其證明方法）感到滿意，那麼設計一個簡單的安全 HBS 方法很簡單（也就是說，您必須找到一個原像或第二個原像來破解）。

然而，XMSS 試圖做的是在具體模型中是安全的；也就是說，他們試圖爭辯說，由於位遮罩使輸入隨機化，因此您需要做的是找到有效隨機字元串的（第二個）原像。

引用自：https://crypto.stackexchange.com/questions/47158