基于格 Fiat-Shamir 签名随机数泄漏攻击的若干改进

• Published in: Journal of Cryptologic Research Vol. 9; no. 6; p. 1039
• Main Authors: Tian-Yu, WANG, XU, Jun, Yue-Jun, LIU, HU, Lei, Yong-Bin, ZHOU, 王天宇, 许军, 刘月君, 胡磊, 周永彬
• Format: Journal Article
• Language: Chinese
• Published: Beijing Chinese Association for Cryptologic Research, Journal of Cryptologic Research 01.12.2022
• Subjects: Complexity; Leakage; Least squares method; Polynomials; Randomness; Ring structures; Signatures
• ISSN: 2097-4116
• DOI: 10.13868/j.cnki.jcr.000566

基于格的 Fiat-Shamir 签名是一类重要的后量子签名方案, 其中 Dilithium 方案已成为 NIST 待标准化的签名算法. Liu 等人首次提出, 基于格的 Fiat-Shamir 签名对应的随机数只泄漏一比特时, 可以将攻击转化为 Bootle 等人证明可多项式时间求解的 ILWE 问题, 并采用最小二乘法进行恢复私钥. 虽然该攻击的时间复杂度是多项式级别的, 但是依然存在着所需签名较多、分析方法复杂以及无法攻击目前该类签名中效率最高的 BLISS 方案等不足. 本文提出了基于格的 Fiat-Shamir 签名随机数泄漏攻击三方面的改进. 利用猜测比特的方式降低私钥的搜索空间, 降低攻击所需签名数; 对 Ye 等人提出的带有环结构的 ILWE 的新的求解方法进行了理论分析和实验验证. 该方法更容易估计所需签名数, 并且以略微增加所需签名数为代价换来了计算效率的提升; 首次将 Liu 等人提出的攻击方法推广至 BLISS 方案中, 进一步证实了目前所有的基于格的 Fiat-Shamir 签名中, 随机数都需要做好足够的防护, 以防止可能的随机数泄漏攻击.