科普 | 基于哈希的密碼學：通往量子安全的數學路徑（下）_AND

八、一次性簽名方案

一次性簽名方案是由三種算法組成的：一種用于生成一次性密鑰對，一種用于計算一次性簽名，還有一種用于簽名驗證。一個OTS方案的實例有一個特定的密鑰對，其中P是公鑰，S是私鑰。

OTS方案和Merkle樹都使用哈希函數。一個重要問題是，同一哈希函數是否可以安全地用于這兩種結構。事實上，通過在每個哈希中包括一點額外的數據，我們基本上可以把一個散列函數當作許多不同的散列函數。換句話說，如果我們使用SHA-256來生成OTS實例，我們仍然可以安全地使用SHA-256來構建Merkle樹。

多次或完整，基于哈希的簽名方案使用哈希樹來有效地結合OTS方案的許多實例。

九、基于哈希的密碼學是如何工作的？

我們現在將討論Merkle如何使用二進制樹-如圖1所示的二進制樹-結合許多個OTS來創建一個基于哈希的多次簽名方案的公鑰。雖然從這些OTS中構建樹的初始步驟與許多其他抗量子的構建相比通常很慢，但簽名卻很快。

民盟中央建議加速元宇宙科普和立法:3月4日消息，民盟中央已起草了《關于“元宇宙”技術發展的提案》，并將提交全國政協十三屆五次會議。在提案中，民盟中央建議，在科普層面需加速知識傳播，法律層面則需加快立法步伐。民盟中央擬提交的提案指出，目前，在新興網絡層面，相關政策法規相對缺失。“元宇宙”在未來將會帶動形成全新的網絡形態，當遇到突發輿情，全虛擬的環境、場景將更難進行源頭追蹤、問題疏導。因此建議應盡早加快立法研究，盡快形成與技術、市場發展相適應的治理模式和法律基礎，全面提升我國社會治理的水平。建議組織相關部門，針對“元宇宙”相關需求、風險進行立法研究，并盡快發布。此前消息，民進中央擬向全國政協十三屆五次會議提交《關于積極穩妥推進元宇宙技術和產業發展的提案》。建議推進元宇宙技術產業發展，建立相關監管治理體系。（華夏時報）[2022/3/4 13:37:12]

十、二叉樹

在一棵標準的二叉樹中，所有的節點都是成對出現的，它們上面有一個節點，從最下面的節點到最上面的節點的距離總是相同的。另一個節點的正上方是其父節點，父節點的正下方是其子節點，一對具有相同父節點的子節點被稱為兄弟姐妹節點。例如，在圖2和圖3中，N(1,0)和N(1,1)是兄弟姐妹節點。它們也是N(2,0)的子節點；也就是說，N(2,0)是它們的父節點。

聲音 | 浪潮集團云南分公司總經理：云南區塊鏈產業發展需從“科普”到“專精”不斷深化:據昆明日報消息，浪潮集團云南分公司總經理鄭昕表示，云南區塊鏈產業發展需從“科普”到“專精”不斷深化。下一步，浪潮將繼續加大云南農業產業高質量發展體系建設力度，重點以普洱茶等云南優勢產業為切入點，打造云南“綠色、有機農產品高地”的品牌形象，并在此基礎上，開展基于區塊鏈的供應鏈金融服務，解決中小企業貸款難、貸款貴問題。[2019/11/11]

最上面的節點被稱為根節點。樹的底部沒有子節點的節點被稱為葉節點。葉節點表示為L0,....，圖2中的L7。

一個節點的級別是它與底部的距離。我們的意思是葉子節點有0級，圖2中的節點N(j,i)有j級。根節點的級別，通常表示為h，稱為樹的高度。例如，圖2中的樹的高度為3。Merkle使用二進制樹來組合OTS，更具體地說：每個葉子節點來自一個OTS實例的公鑰，而樹上的每個其他節點都是由它的兩個子節點計算出來的。我們現在將描述這些節點是如何使用加密散列函數計算的。

動態 | 幣安科普MimbleWimble算法:幣安官方推特今日發布隱私算法Mimblewimble的科普貼，在下方留言區大量網友留言猜測是否是基于 Mimblewimble算法的隱私幣Grin或者Beam即將登陸幣安交易所，其中猜測Grin的呼聲更高。[2019/9/2]

十一、加密哈希函數(CryptographicHashFunctions)

簡單地說，加密哈希函數H是一個將任意數量的數據映射到一個合理的、通常是固定長度的輸出的函數，在這種情況下，實際上不可能找到一個映射到特定輸出的輸入。

直觀來講，我們可以認為默克爾樹是使用哈希函數將一個有序的數值集壓縮成一個單一的數值，其方式是很容易證明一個數值屬于原來的數值集。更具體地說，Merkle樹可以從O的公鑰的一個有序集合P0...Pm的OTS的公鑰和哈希函數H，以如下方式構造：

每個葉子節點是一個OTS公鑰的哈希輸出。換句話說，讓底部一行的第i個條目為L(i)=H(P(i))；見圖2。樹上的每一個其他節點都是其兩個子節點的哈希值。例如，如圖3N(1,0)=H(L(0)||L(1))andN(2,1)=H(N(1,0)||N(1,1))通用表達如下：

聲音 | 中科院姚建銓：要加快推進區塊鏈與物聯網融合的科普 培訓:據新華網消息，日前，在區塊鏈與物聯網融合發展峰會上，中國科學院院士姚建銓說，關注區塊鏈技術里面的大數據，跟區塊鏈技術結合起來進行測量和檢測，能更好地提升激光清洗技術。姚建銓建議，無錫今后要加快推進區塊鏈與物聯網融合的科普、培訓，正確引導廣大人民群眾對技術的認知；同時，建立專業、權威，但又普適、成套的理論體系和標準，以此切入區塊鏈的實際應用。[2018/9/18]

N(1,i)=H(L2(i)||L2(i+1))andN(j+1,i)=H(N(j,2i)||N(j,2i+1)))Merkle簽名算法的公鑰是根節點。在圖2中，根節點是N(3,0)

哈希樹是Merkle樹的一個概括，其中P(i)是任意數據而不是OTS公鑰，見圖2。

由于你無法找到哈希函數的逆運算，所以實際上不可能從樹中較高的節點中找到樹中較低的節點。因此，給定樹中的任何一組節點，特別是給定根節點，都不可能找出關于OTS簽名鑰匙的信息。

金色財經獨家分析 監管機構、媒體、業界提示詐騙風險 區塊鏈科普道阻且長:新華社今日發文表示，近來“區塊鏈”類詐騙案件頻發，不法分子以“投資虛擬貨幣周期短、收益高、風險低”為借口，騙取用戶信任并誘使其轉賬進行投資。無獨有偶，同日消息，騰訊手機管家安全專家也提醒此類風險，并從技術上提出防騙建議。在美國，監管機構警示加密貨幣欺詐現象普遍承諾高收益而不披露潛在風險。金色財經獨家分析，不法分子假借新技術之名進行詐騙，一方面是抓住民眾趨利的心理，一方面反映出區塊鏈科普的欠缺。區塊鏈是新興科技和底層技術并有改變社會生產關系的潛力，應該進行系統性的科普教育，當前，部分大學已經開始設置了區塊鏈課程，但對于普通民眾仍然有科普的需求，人們應該了解到系統和正確的知識，不僅要了解區塊鏈的好，也要明確局限和弊端，以在高收益的誘惑下，保持清醒客觀。[2018/4/11]

十二、驗證路徑

請注意，對于任何用于創建Merkle樹的P(i)，都有一條從葉子節點L(i)到根節點的唯一路徑。例如，在圖4中，從L(2)到頂部的路徑是用紅色畫的。給定P(i)，如果你能構建一個這種形式的路徑，那么這幾乎可以肯定地證明P(i)是用來創建Merkle樹的值之一。這源于這樣一個事實，即找到具有特定輸出的哈希函數H的輸入在計算上是不可行的，因此你不能從樹中較高的節點找到樹中較低的節點。

然而，我們實際上是利用葉子到根的路徑節點的同級節點來檢查路徑是否被合法地構建。出于這個原因，我們引入了P(i)的認證路徑的概念，即從L(i)到根節點的路徑中的兄弟節點的有序集合。在圖4中，P(2)的認證路徑是L(3),N(1,0),N(2,1)。給出P(i)，以及P(i)的認證路徑，我們可以驗證P(i)對應的是一個葉子節點。也就是說，如果P(i)確實被用于生成樹，那么鑒于認證路徑，重建從P(i)到根節點的路徑應該很簡單。

參照圖4，我們可以證明P(2)被用來創建Merkle樹的公鑰，只需給它的認證路徑L(3),N(1,0),N(2,1)，通過構建一個從P(2)到根節點的路徑。

要做到這一點，我們只需檢查值：

H(P(2)),H(L(3)||H(P(2))),H(N(1,0)||H(L(3)||H(P(2)))),H(N(2,1)||H(N(1,0)||H(L(3)||H(P(2)))))給出一個路徑，其中最后一個值H(N(2,1)||H(N(1,0)||H(L(3)||H(P(2)))))是多次簽名算法的公鑰。由于P(2)實際上是用來構建Merkle樹的，所以構建H(N(2,1)||H(N(1,0)||H(L(3)||H(P(2)))))=N(3,0)。

如果上述計算得到了公鑰，那么我們就證明了P(2)是最初用于創建哈希樹的OTS密鑰之一。

十三、基于狀態哈希的簽名方案一覽

多次方案的一般構造總結如下。

密匙生成創建m=2^h個OTS公私鑰對(Pi,Si)。直觀地講，我們可以認為多次秘鑰(many-timescheme)是生成OTS密鑰對所需的材料。公鑰生成(PublicKeyGeneration)為P1,......,Pm創建如上所述的哈希樹,根節點是基于哈希的簽名方案的公鑰。簽名(Signatures)為了簽署一個信息，選擇一個以前從未使用過的索引i。用Si(OTS簽名密鑰)對消息進行簽名，得到一次性簽名，并計算出Pi的認證路徑。該信息的簽名是一次性簽名以及Pi的認證路徑。驗證(Verification)為了驗證一個消息的簽名，我們首先使用消息和運行一次性驗證方案。接下來，檢查Pi的認證路徑是否提供了一個從Pi到基于哈希的簽名的公鑰的有效路徑。如果是這樣，則接受該消息和簽名為真實的。時間/空間的權衡(Time/SpaceTradeoffs)由于樹可以從P1...Pm生成，存儲整個樹并不總是必要的。決定存儲多少樹以及如何管理樹，會導致各種CPU/內存等資源消耗的權衡。此外，所有的密鑰P1...Pm也可以從一個單一的短種子再生，進一步減少所需的長期存儲量。簽名的數量(NumberofSignatures)如果樹的高度是h，那么它可以用來簽署多達2^h的信息。有狀態的簽名(StatefulSignatures)由于每個OTS簽名密鑰最多只能使用一次，在一個有狀態的基于哈希的簽名方案中，跟蹤哪些一次性密鑰對被使用是很重要的。參考文獻：

DavidCooper,DanielApon,QuynhDang,MichaelDavidson,MorrisDworkin,andCarlMiller.Recommendationforstatefulhash-basedsignatureschemes.Technicalreport,NationalInstituteofStandardsandTechnology,2019.

AndreasHülsingetal.SPHINCS+.NISTRound2SubmissionsforPost-QuantumCryptographyStandardization,2019.

AHülsing,DButin,SGazdag,JRijneveld,andAMohaisen.XMSS:eXtendedMerkleSignatureScheme.CryptoForumResearchGroupRFC.rfc-editor.org/info/rfc8391,2018.

DavidMcGrew,MichaelCurcio,andScottFluhrer.Leighton-Micalihash-basedsignatures.CryptoForumResearchGroupRFC.rfceditor.org/info/rfc8554,2019.

RalphMerkle.Secrecy,authentication,andpublickeysystems.Ph.D.Thesis,StanfordUniversity,1979.

Tags：區塊鏈ERKMERAND區塊鏈存證的特征有BerkshireSheBollETH CommerceWANDER

TRX