rejection sampling: 拒絕取樣或拋棄取樣
1.格上的高斯取樣較為複雜,嚴重影響簽名效率。
2. z=s
c+
y\mathbf
z=sc+y
形如這樣的簽名z
\mathbf z
z直接輸出會導致金鑰的洩露,因為z
\mathbf z
z的分布於s
\mathbf s
s的分布有關聯,所以要使用拒絕取樣技術來減少這種關聯性(使簽名z
\mathbf z
z的範數小於β
\beta
β)。3. 拒絕取樣生成的簽名尺寸較小。
第乙個提出拒絕取樣實現簽名方案,其實就是fiat-shamir型別格簽名
2023年,lyubashevsky1
等人提出了拒絕取樣技術(rejection sampling technique ),並利用該技術提出了格上首個無陷門簽名方案。
演算法 格上的無陷門簽名方案:lyubashevsky2012,lattice signatures without trapdoors ↩︎h :∗
→k,∣
∣v∣∣
1≤κ}
h:∗→k,
∣∣v∣
∣1≤
κ},κ
κ是乙個常量
signing key:
s ←m
×k
\bold s\leftarrow\^
s←m×
kverification key:
a ←z
qn×m
\bold a\leftarrow \z^_q
a←zqn×
mt ←a
s\bold t\leftarrow \bold
t←as
簽名(μ,
a,s)
(\mu,\bold)
(μ,a,s
):
1.y :←
dσ
m:\leftarrow d^m_\sigma
y:←dσm
2.c←h
(ay,
μ)
\leftarrow h(ay,\mu)
c←h(ay
,μ)3.z←s
c+
y\leftarrow +
z←sc+y
4.輸出簽名(z,
c)
(,)(z
,c),概率為min(
dσm(
z)md
sc,σ
m(z)
,1
)\min (\frac)}},\sigma }^m()}},1)
min(md
sc,σ
m(z
)dσm
(z)
,1)
驗證(μ,
z,c,
a,t)
(\mu,,,,)
(μ,z,c
,a,t
):
1.∥ z∥
⩽2σm
\left\| \mathbf z \right\| \leqslant 2\sigma \sqrt m
∥z∥⩽2σ
m2.c =h
(az−
tc,μ
)=h(-,\mu)
c=h(az
−tc,
μ)
格密碼學重要概念 高斯取樣
許多最近的基於格的方案需要從離散高斯中取樣 例如,參見 bai14 mp12 lyu12 gpv08 bliss13 離散高斯引數由特殊方案的安全證明決定。現有演算法不能從離散高斯分布中取樣,因此必須從統計上接近它的分布中取樣。通常的做法是要求取樣分布與期望的離散高斯分布的統計距離小於2 100 2...
密碼學概念
aes,advanced encryption standard,高階加密標準 des,data encryption standard,資料加密標準。64位的分組長度,金鑰為64bit,實際為56bit,含有8bit的奇偶校驗位。idea,international data encryption...
密碼學相關概念
密碼學中提到的密碼 cipher 是一種用於加密和解密的演算法,和我們平常所提到的密碼 password 是不一樣的,password 是一種口令,是用來驗證的一組文字字串。金鑰是使用密碼 cipher 的過程中輸入的引數,同乙個明文在相同的密碼演算法下,不同的金鑰計算會產生不同的密文。金鑰的長度越...