?DAOrayaki：基于哈希的后量子數字簽名是如何工作的？（一）-ODAILY_TREE

基于哈希的數字簽名方案是后量子數字簽名的一個類別。與目前用于驗證區塊鏈交易的數字簽名方案不同，哈希函數為量子計算機提供的可利用結構要少得多，而且廣泛認為它是量子安全的。

目前區塊鏈基礎設施上廣泛使用的數字簽名，如BLS和ECDSA，都是基于離散對數問題。

對于那些不熟悉數字簽名的人來說，一個簽名方案由四部分組成：系統生成，密鑰生成，簽名生成，以及簽名驗證。

例如，在ECDSA中，公鑰Pk是通過橢圓曲線群上的生成點G來生成的，私鑰Sk滿足Pk＝Sk*G。給定Pk，利用經典算法很難找到Sk。

BLS簽名方案是在配對群

上構建的。公鑰/密鑰對滿足

量子算法善于尋找某些函數的周期性，它能發現經典難題的特殊結構，如因式分解和離散對數。當擁有數千個邏輯量子位的量子計算機出現時，BLS、ECDSA和其他依靠因式分解和離散對數問題的簽名方案將不再安全。

例如，求一個數N=p*q的素因子可以簡化為

求一個函數的周期。其中c是N的互素數。一旦找到周期，那么可以通過計算、

和找到兩個互素因子。使用著名的輾轉相除法可以很快找到最大公除數，它可以在經典的計算機上運行。反之，在經典計算機上很難找到D(x)的周期，但QPU可以在多項式時間內完成。

盡管當今的量子計算機只有幾百個噪聲的物理量子位，但量子計算機的建造者確實擁有大量的路線圖來實現大規模的量子計算機。像IBM和RigettiComputing這樣的超導量子計算機制造商正在向1000個物理量子位的量子計算機邁進，并使用可疊加的模塊以獲得更多數量的邏輯量子位。除此之外，在可預見的未來，還有其他幾種方法可以帶來有意義的量子計算系統，包括離子阱、中性原子和基于測量的量子計算。

ShapeShift?DAO鑄造的FOX Success Tokens獲得Coinbase Ventures與Chapter One戰略投資:3月25日消息，去中心化交易平臺ShapeShift DAO宣布其鑄造的FOX Success Tokens獲得Coinbase Ventures與Chapter One戰略投資。此前消息，去中心化交易平臺ShapeShift將推出附加收益的FOX代幣。[2022/3/25 14:16:59]

但是，到目前為止，還沒有發現有效的量子算法來破解哈希函數，而量子計算機只是將生日攻擊速度提高到

而在經典計算機上的生日攻擊速度為

現在讓我們來看看如何使用哈希函數來構建數字簽名，以及如何處理基于哈希的量子安全簽名。

一次性簽名方案

首個基于哈希的簽名是于1979年首次推出的Lamport簽名。一個Lamport簽名密鑰只能安全地簽署一條信息，因此這是一個一次性簽名方案。該簽名方案的工作原理如下：

對于每條信息，簽名者需要準備兩組密鑰對。

PKs是通過哈希SKs計算的。假設我們使用256位的加密哈希函數來產生消息摘要，每組密鑰對由256個密鑰和公鑰組成。總的來說，我們需要準備512個密鑰和512個公鑰來簽署任何一條消息。

要對一個消息簽名，首先將消息散列成一個256位的隨機數；然后，根據散列數的位值，相應地選擇SK。

德國上市礦企Northern?Data否認市場操縱指控:德國比特幣礦商Northern?Data否認市場操縱指控。（金十）[2021/10/6 20:08:07]

請注意，我們將始終對消息h(m)的摘要進行簽名，而不是對任意長度的消息進行簽名。為了簡化標記，我們在本文的剩余部分將使用m代替h(m)。當你看到m，即表示著h(m)。

圖片注釋：簽名是

和消息本身。

為了驗證簽名，首先計算H(m)，然后根據簽名計算

,驗證PK是否確實是來自SKs散列的結果，并且驗證索引是否正確。

在對任何消息進行簽名之后，該過程都會公開一半的密鑰。因此密鑰對只能使用一次，否則攻擊者將能夠使用公開的密鑰來驗證消息。

使用MerkleTrees管理OTS密鑰

從21世紀加密用戶的視角來看，Lamport簽名方案乍一看可能很奇怪、很混亂。寫下一次私鑰或助記詞可能就已經給人帶來壓力和煩惱，如果私鑰只能簽署一份信息，而每份消息都要共享不同的公鑰，這不讓人抓狂嗎？

事實證明，如果我們能夠適當地引入管理密鑰的機制和工具，OTS簽名方案也不是那么糟糕。

因為LamportOTS和WinternitzOTS一次只能簽署一條消息，如果需要簽署多條消息，就必須有多個密鑰。MerkleTree的簽名方案是由RalphMerkle發明的，用于管理LamportOTS密鑰。

其基本原理是使用MerkleTree的葉子來存儲LamportOTS密鑰。因為MerkleTree是二叉樹，高度為h的MerkleTree有

動態 | 最近一周幣價下跌ETH?Dapp單個用戶平均周交易額卻環比上升32.51%:據RatingDapp和RatingToken大數據監測顯示，最近一周EOS/ETH/TRON三大主流公鏈平臺Dapps活躍用戶分別為EOS(153376)>TRON(92267)>ETH(62855)，交易額交易額ETH($121246679.6)>TRON($84993044.2)>EOS($71845387.4)，ETH?Dapp周交易額超越EOS、TRON成為第一。從單個用戶平均周交易額來看，最近一周EOS?Dapp為468.43美元，環比上周下降13.79%；ETH Dapp為1928.99美元，環比上周上升32.51%；TRON Dapp為921.16美元，環比上周上升11.49%。[2019/7/19]

的葉子。如果使用葉子來管理LamportOTS密鑰的摘要，那么MerkleTree可以管理

的LamportOTS密鑰對。

當簽署消息時，需要從樹上摘取一個之前從未使用過的Lamport密鑰對。簽名由葉子的索引、Lamport公鑰、Lamport公鑰摘要和該葉子的認證路徑組成。

密鑰對，從而將空間從

減少到O(1)。這意味著，安全地交換一個Merkle根就允許多個簽名驗證。

使用MerkleTree的結果是，每次簽名都必須包括認證路徑，這是一個更大空間，而且驗證者要對O(h)計算更多的哈希值來驗證每個簽名。

動態 | 昨日EOS?Dapp活躍用戶達到近一個月最高值:據RatingDapp和RatingToken大數據監測顯示，昨日EOS/ETH/TRON三大主流公鏈平臺Dapps活躍用戶分別為EOS(124835)>TRON(39244)>ETH(46351)，其中EOS?Dapp活躍用戶達到近一個月最高值。Dapp活躍用戶頭部現象明顯，昨日僅137款Dapp日活躍用戶大于100，其中48款活躍用戶大于1000，各公鏈平臺日活躍用戶最多的Dapp分別為：EOS（Endless Game，42867），ETH（IDEX，2696），TRON（LIMITLESS,15541）。[2019/7/16]

WinternitzOTS

LamportOTS的另一個問題是，Lamport公鑰和Lamport簽名太長。RobertWinternitz提供了一個改進的簽名方案，大大減少了簽名的大小。

WinternitzOTS不是為每一條消息準備私鑰和公鑰對，而是將哈希的消息分成幾塊。如果一個信息被分成N個塊，并且每個塊有1個比特，那么我們就得到了lenth(m)=N*L。我們將在本文中使用相同的$l,N&符號，以便于閱讀。

假設我們仍然在信息上使用256位哈希函數，并獲得信息的256位摘要。在這種情況下，N*L=256

使用上面的例子，m被分割成64個塊，每個塊有4位。所以，WOTS只需要準備64個私有密鑰sk0，…，sk64。公鑰是通過對每個私鑰上應用

次哈希函數來計算的。

一個WOTS簽名的生成方法如下。

動態 | EOS/ETH/TRON?Dapps周交易額環比上周均呈下降趨勢:據RatingDapp和RatingToken大數據監測顯示，最近一周，EOS/ETH/TRON三大主流公鏈平臺Dapps活躍用戶分別為：EOS 169519，環比上周上漲3.25%；ETH 77608，環比上漲31.92%；TRON 102381，環比下降6.92%，為近一個月來最低。從周交易額來看，三大公鏈Dapps周交易額環比上周均呈下降趨勢，其下降比例分別為：EOS （-4.95%）、ETH（-7.32%）、TRON（-7.77%）。[2019/5/31]

1、計算消息摘要中每個塊的十進制值。例如，第一塊的十進制值是5。

2、通過將相應的私鑰哈希運算計算第

i個區塊的簽名。在上面的示例中，sk0將被哈希運算次

3、對N個塊應用和并生成簽名

圖片注釋：每個公鑰是通過對相應的私鑰哈希運算

次來獲得的。

為了驗證簽名，驗證者將首先對信息進行哈希運算，得到一個256位的摘要m。然后驗證者將m分成幾塊，得到每組的十進制值。

然后驗證者將簽名的每個值哈希運算

次，得到

。如果

與公鑰集pk相同，則簽名有效，否則簽名被拒絕。

WOTS的折衷方案是在簽名生成和驗證中增加了更多的計算量。因此，WOTS的簽名將明顯比Lamport的簽名小得多。

值得注意的是，WOTS仍然是一個一次性的簽名方案，因為一旦使用了密鑰對，只要塊的十進制值小于原始值，攻擊者就可以為每個塊生成有效消息。因此，多次使用WOTS根本不安全。

WOTS+

WOTS+為WOTS增加了隨機性。它首先向公鑰集

元素匹配pk，則該簽名有效，否則拒絕簽名。

盡管WOTS和WOTS的一些變體使用簡單的哈希鏈，但它們的迭代方法也很常見和簡單。然而，WOTS+有一些特殊的迭代模式，可以實現嚴密的安全性證明，而不需要使用的哈希函數族具有抗沖突性。

擴展的MerkleTree簽名方案

因為WOTS+仍然是一個一次性簽名方案，如果有多條消息需要簽名，那么密鑰管理就非常重要。

擴展的MerkleTree簽名方案使用MerkleTree來管理WOTS+密鑰，其方式類似于MSS使用MerkleTree來管理Lamport密鑰。

我們已經知道MSS是如何使用Lamport密鑰對的，所以讓我們先看看頂層的MerkleTree。

圖片注釋：用顏色標記驗證最終XMSS公鑰的認證路徑

在XMSS中，公鑰是XMSSMerkle根。MerkleTree的每個葉子都是WOTS+公鑰集的Merkle根。為了說明這一點，從上面“擴展”

我們將有一棵“子”MerkleTree連接到上面的葉

上。這棵樹在文獻中也稱為“L-tree”。

圖片注釋：一個由L-tree管理的WOTS+密鑰集。實際樹高取決于WOTS+密鑰集的大小。

位掩碼用于L-tree。在每次將哈希函數應用于兩個節點之前，兩個底部值將使用相應的位掩碼進行異或運算。L-tree的每一層都有兩個位掩碼值

它們將該層的左、右節點進行異或運算。因此，一棵高度為h的L-tree總共需要2h的位掩碼。

圖片注釋：L-trees是如何計算的——在進入哈希函數之前，將一個值與一個位掩碼進行異或運算。

現在沿著L-tree向下移動——L-tree的葉子是WOTS+公鑰。每片葉子代表一個WOTS+公鑰，該公鑰是使用WOTS+中描述的私鑰的哈希值鏈創建。

圖片注釋：L-trees是如何計算的——在進入哈希函數之前，將一個值與一個位掩碼進行異或。

要對消息m簽名，首先從XMSS樹中選擇一個由i索引的葉子，并確保該葉子以前從未被使用過。然后我們知道該葉子是WOTS+公鑰集的一個Merkle根。WOTS+私鑰可以用來對消息進行簽名，并得到消息m的WOTS+簽名

。XMSS簽名

和使用i索引的WOTS+公鑰，然后使用

的正確性。

使用XMSS，可以管理和驗證多個WOTS+密鑰。

拓展閱讀

本文介紹的簽名方案是基于哈希的簽名方案的基本構建塊。AndreasHülsing等人在該論文中對基于哈希的簽名方案的算法特性進行了更深入的分析。

還有其他以前NIST推薦的簽名方案和多樹方差和多樹XMSS）。NIST最近的第三輪后量子密碼學標準化過程目前不推薦這些簽名方案以及本文第一部分所介紹的簽名方案。然而，了解這些簽名方案的細節非常重要，因為更新的、通常更復雜的簽名方案是根據這些算法思想設計的。

本文的第二部分將介紹基于哈希的簽名方案的最新發展，包括SPHINCS/SPHINCS+，以及工程和開源軟件的現狀。

Tags：WOTTREEORTERKWOTGDoge of Woof Streetforth幣總量Meta Meerkat

火幣交易所