后量子签名：Fiat-Shamir（上篇）

参考文献：

1. [vN51] Von Neumann J. Various techniques used in connection with random digits[J]. Applied Math Series, 1951, 12(36-38): 1.
2. [GGH97] Goldreich O, Goldwasser S, Halevi S. Public-key cryptosystems from lattice reduction problems[C]//Advances in Cryptology—CRYPTO’97: 17th Annual International Cryptology Conference Santa Barbara, California, USA August 17–21, 1997 Proceedings 17. Springer Berlin Heidelberg, 1997: 112-131.
3. [HILL99] Håstad J, Impagliazzo R, Levin L A, et al. A pseudorandom generator from any one-way function[J]. SIAM Journal on Computing, 1999, 28(4): 1364-1396.
4. [PS00] Pointcheval D, Stern J. Security arguments for digital signatures and blind signatures[J]. Journal of cryptology, 2000, 13: 361-396.
5. [BN06] Bellare M, Neven G. Multi-signatures in the plain public-key model and a general forking lemma[C]//Proceedings of the 13th ACM conference on Computer and communications security. 2006: 390-399.
6. [GPV08] Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions[C]//Proceedings of the fortieth annual ACM symposium on Theory of computing. 2008: 197-206.
7. [LM08] Lyubashevsky V, Micciancio D. Asymptotically efficient lattice-based digital signatures[C]//Theory of Cryptography: Fifth Theory of Cryptography Conference, TCC 2008, New York, USA, March 19-21, 2008. Proceedings 5. Springer Berlin Heidelberg, 2008: 37-54.
8. [Lyu09] Lyubashevsky V. Fiat-Shamir with aborts: Applications to lattice and factoring-based signatures[C]//Advances in Cryptology–ASIACRYPT 2009: 15th International Conference on the Theory and Application of Cryptology and Information Security, Tokyo, Japan, December 6-10, 2009. Proceedings 15. Springer Berlin Heidelberg, 2009: 598-616.
9. [Lyu12] Lyubashevsky V. Lattice signatures without trapdoors[C]//Advances in Cryptology–EUROCRYPT 2012: 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings 31. Springer Berlin Heidelberg, 2012: 738-755.
10. [GLP12] Güneysu T, Lyubashevsky V, Pöppelmann T. Practical lattice-based cryptography: A signature scheme for embedded systems[C]//Cryptographic Hardware and Embedded Systems–CHES 2012: 14th International Workshop, Leuven, Belgium, September 9-12, 2012. Proceedings 14. Springer Berlin Heidelberg, 2012: 530-547.
11. [BG14] Bai S, Galbraith S D. An improved compression technique for signatures based on learning with errors[C]//Topics in Cryptology–CT-RSA 2014: The Cryptographer’s Track at the RSA Conference 2014, San Francisco, CA, USA, February 25-28, 2014. Proceedings. Springer International Publishing, 2014: 28-47.
12. [SWIFFT] Lyubashevsky V, Micciancio D, Peikert C, et al. SWIFFT: A modest proposal for FFT hashing[C]//Fast Software Encryption: 15th International Workshop, FSE 2008, Lausanne, Switzerland, February 10-13, 2008, Revised Selected Papers 15. Springer Berlin Heidelberg, 2008: 54-72.
13. [BLISS] Ducas L, Durmus A, Lepoint T, et al. Lattice signatures and bimodal Gaussians[C]//Advances in Cryptology–CRYPTO 2013: 33rd Annual Cryptology Conference, Santa Barbara, CA, USA, August 18-22, 2013. Proceedings, Part I. Springer Berlin Heidelberg, 2013: 40-56.
14. [Dilithium] Lyubashevsky V, Ducas L, Kiltz E, et al. Crystals-dilithium[J]. Algorithm Specifications and Supporting Documentation, 2020.

简介

Fiat-Shamir 范式：令 $\Pi$ 是一个 Sigma 协议（$3$-round public-coin ZK proof/argument），证明者和验证者交互的副本形如 $(a,e,z)$，其中 $a$ 是承诺，$e$ 是公开掷币的一系列挑战（使得 soundness error 可忽略），$z$ 是对这些挑战的回应，证明者将证据 $w$ 作为私钥。我们用 $H$ 表示随机神谕（Random Oracle）。给定消息 $m$，签名者随机生成 $a$，询问 RO 获得挑战 $e=H(a,m)$，然后利用私钥 $s$ 做出恰当的响应 $z$，最后以副本 $(a,e,z)$ 作为签名值。验证者检验 $e$ 是否等于 $H(a,m)$，然后验证 $(a,e,z)$ 是否是一个可接受副本。

在早期格签名中的一个关键问题是，如何使得签名值不过多地泄露私钥信息。最早 [GGH97] 提出了一个基于 SIS 问题的 Hash-and-Sign 范式签名方案，但是它的签名值会泄露私钥的形状信息。[GPV08] 给出的解决思路是，让签名值与私钥的概率分布相互独立。对于 Fiat-Shamir 范式的格签名也有类似的问题，[Lyu09] 仿照 Schnorr 协议将分立的多个挑战合并为一个多项式 $c$，使用一个窄区间 $[-B,B]$ 上均匀采样的掩码 $y$ 来隐藏证据，签名值为 $z=y+sc$。但是当 $\Vert z-sc\Vert \ge B$ 时会泄露 $y$ 的信息，进而泄露私钥 $s$ 的信息，[Lyu09] 通过 abort 技术丢弃那些会泄露私钥信息的签名值，使得签名值的分布成为窄区间上的均匀分布（与私钥相互独立）。在 [Lyu12] 中使用拒绝采样技术，进一步推广到从任意分布 $g$ 中采样，然后按照概率 $\min \left(f(x)/(Mg(x)),1\right)$ 拒绝样本，这使得最终的输出分布与 $f$ 统计接近，其中 $f$ 不包含私钥的信息。[Lyu12] 按照中心高斯分布采样 $y$，则签名值 $z=y+sc$ 服从一个偏移为 $sc$ 的高斯分布，使得 $M$ 在截尾区间内满足 $Mg(x)\ge f(x)$。[Lyu12] 进一步指出，可以把签名方案建立在 LWE 问题上，这将降低公钥的规模。

利用拒绝采样技术可以构造出可证明安全的格签名方案，但是实用化的签名算法还对计算效率和载荷规模有着严格要求。提升格密码计算效率的一个常规手段，就是利用环结构以及 NTT 技术使得矩阵-向量乘法的计算复杂度从 $O(n^2)$ 降低到 $O(n\log n)$。然而，[Lyu12] 的格签名除了矩阵运算的开销，拒绝采样会导致签名程序反复执行直到生成一个合适的签名值，如果常数 $M$ 过大那么将会造成算力的较大浪费。[BLISS] 提出可以使用一个随机符号位 $b$，那么签名值 $z=y+(-1{)}^{b}sc$ 服从双峰高斯，这可以降低 $M$ 的大小，使得签名速度更快、签名值的规模更小。

为了继续降低载荷大小，人们尝试了多种压缩方法。[GLP12] 研究了基于 LWE 的签名方案，其签名值形如 $(z_1=y_1+sc,z_2=y_2+ec)$，前者是对私钥的 ZKPoK，后者是对噪声的 ZKPoK。[GLP12] 提出可以将数字划分为高阶比特和低阶比特两部分，在不影响进位的情况下可以简单丢弃低阶比特，这可以使得签名值第二分量的规模大幅减小。后续 [BG14] 发现对于噪声 $e$ 的知识证明可以被隐含在对于私钥 $s$ 的证明中，因此签名值的第二分量可以直接被丢弃。[Dilithium] 采用了更加激进的压缩策略，它将公钥也使用类似 [GLP12] 的技术进行了压缩，但是这导致验签时会出现进位错误，因此需要在签名值中引入额外的进位提示信息，虽然签名值变大了数百字节，但是公钥大小缩减了 约 $2.5$ 倍，总的载荷规模是下降的。

拒绝采样技术

Aborting Technique

基于格的哈希函数可以被用于构造可证明安全的一次签名方案 [LM08] [SWIFFT]，然后根据标准技术，使用 PRF 就可将它转化为树状无状态签名方案。它的复杂度仅为 $O(n{\log }^{2}n)$，这在理论上很有吸引力，然而在实际中有时人们并不希望使用树状结构。[GPV08] 提出的 PSF 在各种优化技术加持下也可以做到 $O(n\log n)$ 级别的复杂度，然而其中所需的离散高斯采样的速度很慢，并且对于代码实现的要求极高，否则容易出现漏洞。

[Lyu09] 提出了 Fiat-Shamir 范式的可证明安全格签名方案。首先我们构造一个安全的身份鉴别协议（ID），然后利用 RO 公开掷硬币作为验证者的随机挑战，将交互式协议转化为非交互式的签名方案。一般地我们令 ID 协议是一个 $3$-round public-coin WI PoK with negligible soundness error，最知名的一个 ID 协议就是 Schnorr 协议：考虑 $q$ 阶循环群 $⟨g⟩\subseteq {\mathbb{Z}}_p$，私钥为 $s$，公钥为 $g^s$。副本形如 $(a=g^y(\mathrm{mod}p),c\in {\mathbb{Z}}_q,z=y+c\cdot s(\mathrm{mod}q))$，验证者检验 $a\cdot (g^s{)}^c=g^z(\mathrm{mod}p)$ 是否成立。虽然在标准假设下没有证明 Schnorr 协议是安全的，但它至今也没有受到过较严重攻击。Schnorr 协议将分立的多比特挑战合并为单个挑战 $c\in {\mathbb{Z}}_q$，仅仅一次挑战就达成了 negl. s.e. 的目标，因此副本十分的紧凑。

然而，直接把 Schnorr 协议移植到格上还有一些阻碍。首先是 Schnorr 协议工作在有限群上，然而格是无限群，这导致在格上生成均匀的随机掩码 $y$ 成为不可能的任务。一种解决办法是，在一个远比 $R=\Vert sc\Vert$ 大得多的有限子集 $[-kR,kR]$ 中随机选取 $y$，这使得 $z=y+cs$ 以极大概率落在 $[-(k-1)R,(k-1)R]$ 内部，此时的 $y=z-cs$ 总是会落在 $[-kR,kR]$ 内，由于 $y$ 是其上均匀的，从而没法确定秘密 $s$ 的任何信息。但是这么选取的 $S$ 范围过大，这导致直接伪造 $z$ 变得更加容易（很大近似因子的 SIS 问题）。[Lyu09] 的解决办法是，在一个很窄的范围内选取 $y$，例如 $[-2R,2R]$，计算 $z=y+cs$ 之后判断它是否落在 $[-R,R]$ 内部。如果越界了，比如 $z\in [R,2R]$，那么满足 $y=z-cs\ge 2R$ 的那些候选 $s$ 就可以被排除掉，这泄露了秘密的部分信息。因此越界的这些 $z$ 都应该被丢弃，然后重复签名过程直到满足此条件。

首先，我们构造一个基于 Ring-SIS 的加法同态 Hash 函数簇。简记 $\mathcal{R}:={\mathbb{Z}}_p[x]/(x^n+1)$，令 D : = { y : ∥ y ∥ ≤ d } ⊆ R \mathcal D:=\{y:\|y\| \le d\} \subseteq \mathcal R D:={y:∥y∥≤d}⊆R 是取值范围很窄的子集。定义一族函数
H ( R , D , m ) = { h a ( y ) : = a T y ,    ∀ y ∈ D m } a ∈ R m \mathcal H(\mathcal R,\mathcal D,m) = \{h_a(y):=a^Ty,\,\, \forall y \in \mathcal D^m\}_{a \in \mathcal R^m} H(R,D,m)={ha​(y):=aTy,∀y∈Dm}a∈Rm​
容易看出，对于 $\forall y,y^{\prime }\in R^m,\forall c\in \mathcal{R}$，这个它是加法同态的，$h(y+y^{\prime })=h(y)+h(y^{\prime })$ 以及 $h(yc)=h(y)c$。并且在近似 SVP 假设下，它是个 CRHF（抗原像、抗碰撞）。接下来 [Lyu09] 使用这个 Hash 函数作为承诺方案，来构造类似于 Schnorr 协议的 ID 协议。

令 $n$ 是二的幂次，$m$ 是任意整数，$p$ 是充分大的素数，令 $R:={\mathbb{Z}}_p[x]/(x^n+1)$。假设挑战 $c$ 是重量 $\kappa$ 的二元挑战，满足 $2^{\kappa }\left(\genfrac{}{}{0ex}{}{n}{\kappa }\right)\ge 2^{160}$ 使得熵足够大。令 $\sigma$ 是任意的较小整数，它约束秘密 $s$ 的规模，那么 $sc$ 的大小约束在较小范围 $\sigma \kappa$ 以内。一些重要参数的取值范围如下：
D c : = { c ∈ R : ∥ c ∥ 1 ≤ κ } ⊆ R D s : = { s ∈ R : ∥ s ∥ ∞ ≤ σ } ⊆ D y D y : = { y ∈ R : ∥ y ∥ ∞ ≤ m n σ κ } ⊆ R D z : = { z ∈ R : ∥ z ∥ ∞ ≤ m n σ κ − σ κ } ⊆ D y \begin{aligned} D_c &:= \{c \in R: \|c\|_1 \le \kappa\} \subseteq R\\ D_s &:= \{s \in R: \|s\|_\infty \le \sigma\}\subseteq D_y\\ D_y &:= \{y \in R: \|y\|_\infty \le mn\sigma\kappa\} \subseteq R\\ D_z &:= \{z \in R: \|z\|_\infty \le mn\sigma\kappa - \sigma\kappa\}\subseteq D_y\\ \end{aligned} Dc​Ds​Dy​Dz​​:={c∈R:∥c∥1​≤κ}⊆R:={s∈R:∥s∥∞​≤σ}⊆Dy​:={y∈R:∥y∥∞​≤mnσκ}⊆R:={z∈R:∥z∥∞​≤mnσκ−σκ}⊆Dy​​
我们令 $\mathcal{D}=D_y,\mathcal{R}=R$，那么从 $\mathcal{H}(\mathcal{R},\mathcal{D},m)$ 中抽取的 $h:D_y^m\to R$ 是一个随机的同态哈希函数。[Lyu09] 构造的 ID 协议为：

1. Alice 持有私钥 $s\in D_s^m$，Bob 持有公钥 $S=h(s)\in R$
2. Alice 均匀随机采样掩码 $y\in D_y^m$，做承诺 $Y=h(y)\in R$ 发送给 Bob
3. Bob 均匀随机采样挑战 $c\in D_c$ 发送给 Alice
4. Alice 计算 $z=y+cs\in R^m$（这里是向量 $s\in D_s^m$ 关于数量 $c\in D_s$ 的标量积），如果 $z\in D_z^m$ 则发送给 Bob，而当 $z\notin D_z^m$ 时需要 abort
5. Bob 收到 $z$ 后首先检验 $z\in D_z^m$（确保 $z$ 是短的），然后检查 $h(z)\in R$ 是否等于 $Y+Sc\in R$（这里是数量 $S\in R$ 和数量 $c\in D_s$ 的乘积）

对比 $D_y$ 和 $D_z$，容易证明 completeness 的概率为 $(1-1/mn{)}^{mn}\approx 1/e$，期望上重复执行 $e\approx 2.718$ 次可以完成一次身份鉴别。

与 Schnorr 协议不同（仅有唯一的证据，无法证明安全），[Lyu09] 的协议随机挑选的证据 $s\in D_s$，会有多个其他证据使得 $S=h(s)=h(s^{\prime })$（除了可忽略的概率），其中 $s\ne s^{\prime }\in D_s$ 都是短向量。我们可以证明它是完美证据不可区分的（Perfect WI）：对于同一个副本 $(Y,c,z)$，两个证据 $s\ne s^{\prime }$ 都满足 $S=h(s)=h(s^{\prime })$，那么由于 $z=y+cs=y^{\prime }+c{s}^{\prime }$ 且 $z\in D_z^m$，那么存在 $y,y^{\prime }\in D_y^m$ 使得 $h(y^{\prime })=h(y+c(s-s^{\prime }))=h(y)=Y$，且两个掩码 $Pr[y]=Pr[y^{\prime }]$ 是同分布的。

进而我们可以证明这个 ID 协议是主动安全的：如果存在某 PPT 敌手能够在学习之后伪装成 Prover 给出可接受副本，那么对于任意哈希函数 $h$，模拟器随机生成 $S=h(s)$ 并为敌手模拟 ID 协议，然后让敌手给出一个可接受副本 $(Y,c,z)$（这里 $Y$ 是某随机数 $y$ 的承诺），接着模拟器 rewind 敌手，重新选择随机挑战 $c^{\prime }$ 并获得另一个可接受副本 $(Y,c^{\prime },z^{\prime })$（还是同一个 $y$ 的承诺），两者满足 $h(z)=Sc+Y,h(z^{\prime })=S{c}^{\prime }+Y$，于是 $h(z-sc)=Y=h(z^{\prime }-s{c}^{\prime })$，接下来只需证明 $z-sc\ne z^{\prime }-s{c}^{\prime }$ 即可。因为上述 ID 协议是 Perfect WI 的，因此以至少 $1/2$ 的概率敌手猜错私钥 $s^{\prime }$，敌手设置了 $z-s^{\prime }c=y=z^{\prime }-s^{\prime }{c}^{\prime }$，替换为 $s\ne s^{\prime }$ 之后，以极高的概率使得 $(y_1:=z-sc)\ne (y_2:=z^{\prime }-s{c}^{\prime })$，它们是 CRHF 的一对碰撞，出现矛盾。

最后，我们并行多个 ID 协议（例如 $30$ 个），保持 WI 的同时，可以把 completeness probability 从仅 $1/e$ 提升到 $1-2^{-20}$（目的并非是降低 soundness error，因为 $c$ 的熵已经足够大），这里只需证明者成功完成其中一次 ID 协议证明即可。然后在 RO 模型下，利用 Fiat-Shamir heuristic 将这个 ID 协议转化为签名方案。值得注意的是，在签名方案中那些最终 abort 的 ID 协议副本不必发送，并且多个副本只需要同一个挑战 $c$ 即可（只要 $c,y_i$ 相互独立则 abort 概率相同），以及可使用标准的抗碰撞哈希 $H(Y_i)$ 取代同态承诺 $Y_i$（此时验签等式为 $H(Y_i)=H(h(z_i)-Sc)$），上述三种修正可以极大地减小签名值规模。

Rejection Sampling

von Neumann 拒绝采样技术（[vN51]）：令 $f,g$ 是集合 $R$ 上的两个分布，若存在 $M\in \mathbb{R}$ 使得 $f(x)\le Mg(x),\forall x\in R$，那么按照分布 $g$ 采样 $z$，然后以概率 $f(z)/(Mg(z))\le 1$ 输出 $z$，否则重新采样。则输出分布恰好为 $f$，期望的循环次数为 $M$。

[Lyu09] 中，掩码 $y$ 从 $D_y^m$ 中均匀采样，可视为半径 $r+v$ 的 $m$ 维球体。仅当签名值 $z=y+Sc$ 落入 $D_z^m$ 时才输出，可视为半径 $r$ 的 $m$ 维球体。如果 $f$ 是 $D_z^m$ 上均匀分布，$g$ 是 $D_y^m$ 上均匀分布，则需要设置 $M=(r+v{)}^m/r^m$ 才能使得输出 $z$ 的分布恰好是 $f$，并且如果 $z\in D_z^m$ 则为 $f(z)/(Mg(z))=1$，如果 $z\notin D_z^m$ 则为 $f(z)/(Mg(z))=0$。然而为了获得较小的 $M$，这需要 $r\ge mv=\tilde{O}(n^{1.5})$，导致签名 $z$ 的规模过大。

而 [Lyu12] 选取 $f,g$ 都是标准差 $\sigma =\tilde{O}(v)$ 的离散高斯分布，并且选择一个较小的常数 $M$ 使得 $f(x)\le Mg(x)$ 仅仅对于较短的 $x$ 成立（截尾后的区间），此时拒绝概率变成了 $\min (f(z)/(Mg(z)),1)$ 并且输出分布与 $f$ 是统计接近的（不再完美了），那么 $z$ 的期望长度可缩短为 $\sigma \sqrt{m}=\tilde{O}(n)$。

中心 $v$ 标准差 $\sigma$ 的 $m$ 维高斯函数定义为 ${\rho }_{\sigma ,v}^m(x):={\left(\frac{1}{\sqrt{2\pi {\sigma }^2}}\right)}^m\exp \left(\frac{-\Vert x-v{\Vert }^2}{2{\sigma }^2}\right)$，对应的离散高斯分布为 $D_{\sigma ,v}^m(x)={\rho }_{\sigma ,v}^m(x)/{\rho }_{\sigma ,v}^m({\mathbb{Z}}^m)$。[Lyu12] 证明一个关于离散高斯尾部的重要不等式：对于任意的 $v\in {\mathbb{R}}^m$ 和任意的 $\sigma ,r>0$，都有
$$Pr\left[|⟨z,v⟩|>r:z\leftarrow D_{\sigma }^m\right]\le 2\exp \left(\frac{-r^2}{2\Vert v{\Vert }^2{\sigma }^2}\right)$$
进而可以推出：

1. 对于任意的 $k>0$，一维中心离散高斯分布满足 $Pr[|z|>k\sigma :z\leftarrow D_{\sigma }]\le 2\exp (-k^2/2)$
2. 对于任意的 $z\in {\mathbb{Z}}^m$ 以及 $\sigma \ge 3/\sqrt{2\pi }$，密度函数满足 $D_{\sigma }^m(z)\le 2^{-m}$
3. 对于任意的 $k>1$，高斯尾部的概率为 $Pr[\Vert z\Vert >k\sigma \sqrt{m}:z\leftarrow D_{\sigma }^m]<k^m\exp \left((1-k^2)m/2\right)$
4. 对于任意的 $v,z\in {\mathbb{Z}}^m$ 满足 $D_{\sigma }^m(z)/D_{\sigma ,v}^m(z)=\exp \left(\frac{-2⟨z,v⟩+\Vert v{\Vert }^2}{2{\sigma }^2}\right)$，选取标准差 $\sigma =\tau \Vert v\Vert$ 和截尾界 $r=\tau \sigma \Vert v\Vert$，那么以至少 $1-2\exp (-{\tau }^2/2)$ 的概率使得 $D_{\sigma }^m(z)/D_{\sigma ,v}^m(z)\le \exp (1+1/(2{\tau }^2))$

General Rejection Sampling Lemma：令 $V$ 是任意集合，$h:V\to \mathbb{R}$ 和 $f:{\mathbb{Z}}^m\to \mathbb{R}$ 是两个分布。令 { g v : Z m → R } h \{g_v: \mathbb Z^m \to \mathbb R\}_h {gv​:Zm→R}h​ 是一族分布，并满足
$$\exists M\forall v,Pr[M{g}_v(z)\ge f(z):z\leftarrow f]\ge 1-ϵ$$

• 算法 $A$ 定义为：采样 $v\leftarrow h$ 和 $z\leftarrow g_v$，依概率 $\min \left(\frac{f(z)}{M{g}_v(z)},1\right)$ 输出 $(z,v)$

• 算法 $F$ 定义为：采样 $v\leftarrow h$ 和 $z\leftarrow f$，依概率 $1/M$ 输出 $(z,v)$

则两者的输出分布的统计距离为 $ϵ/M$，且算法 $A$ 有输出的概率至少为 $(1-ϵ)/M$。如果令 $V\subseteq {\mathbb{Z}}^m$ 是范数至多为 $T$ 的整数格点的收集，选取 $\sigma =w(T\sqrt{\log m})$，再令 $g_v=D_{\sigma ,v}^m$，$f=D_{\sigma }^m$，那么存在小常数 $M=O(1)$ 使得 $A,F$ 的输出分布统计距离为 $2^{-w(\log m)}/M$，且算法 $A$ 有输出的概率至少为 $\left(1-2^{-w(\log m)}\right)/M$。

Main Theorem：对于离散高斯分布 $f=D_{\sigma },g_v=D_{\sigma ,v}$，我们选取 $\sigma =\tau T$，并设置 $M=\exp (1+1/(2{\tau }^2))\approx e$，则以至少 $1-2\exp (-{\tau }^2/2)$ 的概率满足 $f(z)\le M{g}_v(z)$，选取 $\tau =12$ 时此概率约为 $1-2^{-100}$。

基于 SIS 问题的签名方案：

1. $KeyGen(1^n)$：均匀采样 $S{\leftarrow }_{\mathcal{U}}[-d,d{]}^{m\times k}$ 和 $A{\leftarrow }_{\mathcal{U}}{\mathbb{Z}}_q^{n\times m}$，计算 $T=AS\in {\mathbb{Z}}_q^{n\times k}$，公开参数为 $A$ 私钥为 $S$ 公钥为 $T$
2. $Sign(\mu ,A,S)$：高斯采样 $y\leftarrow D_{\sigma }^m$，访问 RO 计算挑战 $c\leftarrow H(Ay,\mu )$（这里是 Hash to point， D H : = { c ∈ { − 1 , 0 , 1 } k : ∥ c ∥ 1 ≤ κ } D_H:=\{c \in \{-1,0,1\}^k: \|c\|_1 \le \kappa\} DH​:={c∈{−1,0,1}k:∥c∥1​≤κ}），然后计算 $z\leftarrow y+Sc$（服从偏移高斯分布 $D_{\sigma ,Sc}^m(z)$，不要取模，否则容易伪造签名），最后以概率 $\min \left(\frac{D_{\sigma }^m(z)}{M{D}_{\sigma ,Sc}^m(z)},1\right)$ 输出签名值 $(c,z)$
3. $Verify(\mu ,(c,z),A,T)$：首先检查 $\Vert z\Vert \le \eta \sigma \sqrt{m}$ 确保签名值是短的（对于短格基 $S$ 的 PoK），然后验证 $H(Az-Tc,\mu )$ 是否等于 $c$，其中系数 $\eta \in [1.1,1.3]$ 确保正确签名极大概率可通过长度检查。

Renyi 熵：令 $\mathcal{D}$ 是集合 $S$ 上分布，定义 $H_{Renyi}(\mathcal{D}):=-\log Pr[X=Y]$，其中 $X,Y{\leftarrow }_{\mathcal{D}}\mathcal{S}$ 是独立选取的。可以证明 $H_{Renyi}(\mathcal{D})\le H_{Shannon}(\mathcal{D}),\forall \mathcal{D}$，并且对于均匀分布 $H_{Renyi}=H_{Shannon}$

剩余哈希引理（Leftover Hash Lemma, [HILL99]）：令 $\mathcal{H}:X\to Y$ 是一族 Pairwise Independent 哈希函数（即 $P{r}_{h\leftarrow \mathcal{H}}[h(x)=h(x^{\prime })]=1/|Y|,\forall x\ne x^{\prime }$）。令 $\mathcal{D}$ 是集合 $X$ 上的 $H_{Renyi}(\mathcal{D})=m$ 的分布，值域大小 $|Y|=2^{m-2e}$，那么
$$\Delta \left(\{(h,h(x)):h{\leftarrow }_{\mathcal{U}}\mathcal{H},x{\leftarrow }_{\mathcal{D}}X\},\mathcal{U}(\mathcal{H}\times Y)\right)\le 2^{-(e+1)}$$
如果 $\mathcal{D}$ 是 $X$ 上均匀分布，那么 $\Delta \le \frac{1}{2}\sqrt{|Y|/|X|}$，当值域 $Y$ 对比定义域 $X$ 是极度压缩的，那么 { h ( x ) } \{h(x)\} {h(x)} 与 $\mathcal{U}(Y)$ 统计不可区分。

对于由 $A\in {\mathbb{Z}}_q^{n\times m}$ 索引的同态哈希函数 $h_A(s):=As,\forall s\in {\mathbb{Z}}^m$，当 $q$ 是素数时它是 Pairwise Independent 的。对于均匀的 $S\in [-d,d{]}^{m\times k}$，那么承诺值 $T\leftarrow h_A(S)$ 与均匀分布的统计距离为 $\Delta \le \frac{1}{2}\sqrt{q^n/(2d+1{)}^m}$。安全参数 $\lambda$，我们设置 $m\gg n$ 使得 $\Delta \le 2^{-\lambda }$，从而可以抵御私钥恢复攻击。

另外通过降低 $d$，这使得 SIS 问题变得更难，我们就可以降低 $q$ 和 $m$ 使得载荷减小。如果令 $m=2n$ 那么 $A=[A_1|I],S=[S_1|S_2{]}^T$，那么 $T=AS=A_1{S}_1+S2$，这就转化为了基于 LWE 的格签名，签名值形如 $(c,z_1,z_2)$，满足 $z_1=y_1+S_{1}c,z_2=y_2+S_{2}c$。也容易将 LWE 和 SIS 转化到 RLWE 和 RSIS 变体上。

Forking Lemma

接下来证明 [Lyu12] 的签名方案可以抵御签名伪造攻击。

General Forking Lemma（[PS00], [BN06]）：令 $IG$ 是 input generator，$H$ 是大小 $h\ge 2$ 的集合，$q$ 是随机访问 $H$ 的次数。敌手 $A$ 定义为
x ← I G , { h 1 , ⋯   , h q } ← R H , ( J , σ ) ← A ( x , { h 1 , ⋯   , h q } ) x \leftarrow IG, \{h_1,\cdots,h_q\} \leftarrow_R H, (J,\sigma) \leftarrow A(x,\{h_1,\cdots,h_q\}) x←IG,{h1​,⋯,hq​}←R​H,(J,σ)←A(x,{h1​,⋯,hq​})
其中 $\sigma$ 是关于 $h_J$ 的，当 $J\ge 1$ 时我们说 $A$ 的输出是可接受的，其概率记为 $acc$。我们再定义一个分叉程序 $F_A$：

1. 输入 $x$，为 $A$ 挑选随机带 $\rho$，访问 $H$ 获得 $h_1,\cdots ,h_q$，调用 A ( x , { h 1 , ⋯   , h q } ; ρ ) A(x,\{h_1,\cdots,h_q\};\rho) A(x,{h1​,⋯,hq​};ρ) 得到 $(I,\sigma )$
2. 当 $I=0$ 时输出 $(0,\perp ,\perp )$，当 $I=1$ 时访问 $H$ 获得新的 $h_I^{\prime },\cdots ,h_q^{\prime }$，调用 A ( x , { h 1 , ⋯   , h I − 1 , h I ′ , ⋯   , h q ′ } ; ρ ) A(x,\{h_1,\cdots,h_{I-1},h_I',\cdots,h_q'\};\rho) A(x,{h1​,⋯,hI−1​,hI′​,⋯,hq′​};ρ) 得到 $(I^{\prime },{\sigma }^{\prime })$
3. 当 $I=I^{\prime }$ 且 $h_I\ne h_I^{\prime }$ 时，输出 $(1,\sigma ,{\sigma }^{\prime })$，否则输出 $(0,\perp ,\perp )$

定义成功分叉的概率为 $frk:=Pr\left[b=1:x\leftarrow IG,(b,\sigma ,{\sigma }^{\prime })\leftarrow F_A(x)\right]$，那么有
$$frk\ge acc\cdot (\frac{acc}{q}-\frac{1}{h})$$
[Lyu09] 可以作为 [Lyu12] 的 Ring-SIS 版本变体，并且其中分布 $f,g$ 选取了窄区间均匀分布。对于 [Lyu12] 的格签名方案，其安全归约为：首先利用 Hybrid 技术，修改挑战为 c ← U { v ∈ { − 1 , 0 , 1 } k : ∥ v ∥ 1 ≤ κ } c \leftarrow_\mathcal U \{v \in \{-1,0,1\}^k: \|v\|_1 \le \kappa\} c←U​{v∈{−1,0,1}k:∥v∥1​≤κ}，修改回应为 $z\leftarrow D_{\sigma }^m$，修改拒绝概率为 $1/M$，则它与原始签名方案统计不可区分。假设 PPT 敌手 $F$ 是成功概率 $\delta$ 的 Forger，我们构造 PPT 敌手 $B$，它持有 Forger 和上述的 Signer 的代码并为它们提供随机带 $r_F,r_S$ 作为子程序。在学习阶段它为 $F$ 模拟它与 Signer 以及 RO 的交互视图，模拟 RO 时依次使用 $r_1,\cdots ,r_t$ 来回应并打表。在伪造阶段 $F$ 给出了一个可接受副本 $(\mu ,(c,z))$。如果 $c=H(Az-Tc,\mu )$ 之前没有 RO 查询过，根据 RO 定义可知其成功率不会超过 $1/|D_H|$，因此以至少 $\delta -1/|D_H|$ 的概率使得 $H(Az-Tc,\mu )=r_j$ 位于表格中。

• 假设 $r_j$ 是被 Signer 使用的（即 ${\mu }^{\prime },(c=r_j,z^{\prime })$ 是合法签名），则 $H(A{z}^{\prime }-Tc,{\mu }^{\prime })=H(Az-Tc,\mu )$，于是 $Az-Tc\equiv A{z}^{\prime }-Tc$ 且 $\mu ={\mu }^{\prime }$（除了可忽略的概率 $F$ 找到了 RO 的一对碰撞），因此 $A(z-z^{\prime })\equiv 0$，然而 $z\ne z^{\prime }$（因为 $F$ 成功伪造）从而 $v=z-z^{\prime }$ 是一个满足 $Av=0(\mathrm{mod}q)$ 的非零短向量，这打破了 SIS 问题。
• 假设 $r_j$ 是被 Forger 做 RO 查询时使用的，那么我们记录下 $(c=r_j,z)$ 后 rewind，对相同的 $\mu$ 和随机带 $r_F,r_S$，使用新的 RO 查询结果 $r_1,\cdots ,r_{j-1},r_j^{\prime },\cdots ,r_t^{\prime }$，根据分叉引理 Forger 将会以至少 $(\delta -1/|D_H|)((\delta -1/|D_H|)/t-1/|D_H|)$ 的概率输出一个新的可接受伪造签名 $({\mu }^{\prime },(c^{\prime }=r_j^{\prime },z^{\prime }))$，并且 $r_j^{\prime }\ne r_j$。由于两次调用中的 $y$ 是相同的，从而有 $Az-Tc\equiv Ay\equiv A{z}^{\prime }-T{c}^{\prime }$（除了可忽略的概率 $F$ 找到了 RO 的一对碰撞），也就是 $A(z-Sc-z^{\prime }+S{c}^{\prime })\equiv 0$，那么 $v=z-Sc-z^{\prime }+S{c}^{\prime }$ 以至少 $1/2$ 的概率（因为 ID 协议是 WI 的）是一个满足 $Av=0(\mathrm{mod}q)$ 的非零短向量，这也打破了 SIS 问题。

在 SIS 困难性假设下，敌手 $B$ 不存在，那么任意的敌手 $F$ 都不存在。这就证明了基于 SIS 问题的签名方案是 EUF-CMA 的。

而基于 LWE 问题的签名方案，由于 $d$ 和 $m$ 都较小，那么 $T=AS$ 不一定拥有多个证据 $S\ne S^{\prime }$，所以 WI 性质是平凡的，依照上述的归约过不去。[Lyu12] 的思路是，使用 Hybrid 技术将 $d$ 扩大到足够大的 $d^{\prime }$ 使得存在多个证据，然后便可以用上述的安全归约了。需要注意，基于 LWE 的签名方案，抵御私钥恢复攻击是基于 LWE 问题的，但是抵御签名伪造依然是基于 SIS 问题的。

双峰高斯分布

虽然 [Lyu12] 使用高斯分布取代 [Lyu09] 的均匀分布，在保持 $M\approx e$ 时使得签名值 $z$ 的规模从 $\tilde{O}(n^{1.5})$ 降低到了 $\tilde{O}(n)$，但是仍需要选取标准差为 $\sigma =12\Vert Sc\Vert$ 的离散高斯分布，系数 $\tau =12$ 依然过大。[BLISS] 将 $g_v(z)$ 替换为了双峰离散高斯分布 $(D_{\sigma ,Sc}^m+D_{\sigma ,-Sc}^m)/2$，这使得 $g_v(z)$ 与中心离散高斯分布 $f(z)=D_{\sigma }^m$ 更加接近，从而可以降低 $M$ 的大小。可以证明：
$$\frac{D_{\sigma }^m}{\frac{1}{2}{D}_{\sigma ,Sc}^m+\frac{1}{2}{D}_{\sigma ,-Sc}^m}(x)=\frac{\exp \left(\frac{\Vert Sc\Vert }{2{\sigma }^2}\right)}{\cosh \left(\frac{⟨x,Sc⟩}{{\sigma }^2}\right)}\le \exp \left(\frac{\Vert Sc\Vert }{2{\sigma }^2}\right)$$
其中 $\cosh (x)=(e^x+e^{-x})/2\ge 1,\forall x$，它以概率 $1$ 成立（而不仅仅是 $1-2^{-100}$，因此不必截尾）。如果维持 $M\approx e$，这可以降低标准差为 $\sigma =\Vert Sc\Vert /\sqrt{2}$，从而缩小签名的大小。

对于 $y\leftarrow D_{\sigma }^m$，选取 b ← U { − 1 , + 1 } b \leftarrow_\mathcal U \{-1,+1\} b←U​{−1,+1}，计算签名值 $z=y+bSc$，它服从双峰高斯。对于验签程序，给定公钥 $T=AS$，需要满足 $H(Ay,\mu )=H(Az-Tc,\mu )$，这需要 $Ay=Az-Tc=Ay+bTc-Tc$，于是有 $bTc\equiv Tc(\mathrm{mod}q)$，那么必须满足 $Tc\equiv -Tc,\forall c$，当 $q$ 是素数时 ${\mathbb{Z}}_q$ 是无零因子环，从而求出 $T\equiv 0(\mathrm{mod}q)$。因此 [Lyu12] 中的验签公式不再奏效，[BLISS] 的解决方案是转换到 ${\mathbb{Z}}_{2q}$ 上工作，选取 $T\equiv qI(\mathrm{mod}2q)$，那么验签公式 $Ay\equiv Az-Tc(\mathrm{mod}2q)$ 就可以正确验签了。

签名方案构造如下：

1. $KeyGen(1^{\lambda })$：采样一个短矩阵 $S\in {\mathbb{Z}}_{2q}^{m\times n}$，计算矩阵 $A\in {\mathbb{Z}}_{2q}^{n\times m}$ 使得 $AS\equiv qI(\mathrm{mod}2q)$（也就是 $A=q{S}^{-1}(\mathrm{mod}2q)$），公开参数为 $A$ 私钥为 $S$，公钥为 $qI$ 可省略
2. $Sign(\mu ,A,S)$：采样 $y\leftarrow D_{\sigma }^m$，计算 $c\leftarrow H(Ay,\mu )$（Hash to point， c ∈ { − 1 , 0 , 1 } n c \in \{-1,0,1\}^n c∈{−1,0,1}n 是 $\kappa$ 重的短向量），然后采样 b ← U { 0 , 1 } b \leftarrow_\mathcal U \{0,1\} b←U​{0,1}，计算 $z\leftarrow y+(-1{)}^{b}Sc$，依概率 $\frac{\exp \left(\Vert Sc\Vert /2{\sigma }^2\right)}{M\cosh \left(⟨z,Sc⟩/{\sigma }^2\right)}$ 输出 $(c,z)$，否则重新执行 $Sign(\mu ,A,S)$
3. $Verify(\mu ,(c,z),A)$：首先检查 $\Vert z\Vert \le \eta \sqrt{m}\sigma$（其中 $\eta \in [1,1,1,4]$ 使得正确签名通过此检查的概率至少为 $1-2^{-\lambda }$），额外检查 $\Vert z{\Vert }_{\infty }<q/4$（出于安全归约的需要），最后检查 $H(Az+qc,\mu )$ 是否等于 $c$（因为 $(-1{)}^{b}ASc=qc$）

由于 $M=\exp \left(\frac{\Vert Sc\Vert }{2{\sigma }^2}\right)$，选取 $\sigma \ge \tau \Vert Sc\Vert$ 时使得 $M=\exp (1/(2{\tau }^2))$。因此确定 $\Vert Sc\Vert$ 的紧上界可以降低签名大小。容易知道 $\Vert Sc\Vert \le \kappa \Vert S\Vert$（[Lyu12] 使用的），另一个上界 $\Vert Sc\Vert \le \sqrt{\kappa }{s}_1(S)$，其中 $s_1(S)$ 是奇异范数（singular norm，$\Vert A{\Vert }_{LSV}:=\sqrt{{\max }_{\Vert x{\Vert }_2=1}{x}^T{A}^{T}Ax}$ 或者是 $\Vert A{\Vert }_{\infty ,1}:={\max }_{\Vert x{\Vert }_{\infty }=1}\Vert Ax{\Vert }_1$，文章中没写啊）。[BLISS] 给出了一个更紧的上界，定义 $N_k:{\mathbb{R}}^{m\times n}\to \mathbb{R}$ 为
N κ ( X ) : = max ⁡ I ⊆ { 1 , ⋯   , n } , ∣ I ∣ = κ ∑ i ∈ I ( max ⁡ J ⊆ { 1 , ⋯   , n } , ∣ J ∣ = κ ∑ j ∈ J T i j ) ,    T = X T X ∈ R n × n N_\kappa(X) := \max_{I \subseteq \{1,\cdots,n\},|I|=\kappa} \sum_{i \in I}\left( \max_{J \subseteq \{1,\cdots,n\},|J|=\kappa} \sum_{j \in J} T_{ij}\right),\,\, T=X^TX \in \mathbb R^{n \times n} Nκ​(X):=I⊆{1,⋯,n},∣I∣=κmax​i∈I∑​ ​J⊆{1,⋯,n},∣J∣=κmax​j∈J∑​Tij​ ​,T=XTX∈Rn×n
那么对于任意的 $S\in {\mathbb{R}}^{m\times n}$ 以及任意的 $c\in {\mathbb{B}}_{\kappa }^n$，都有 $\Vert Sc{\Vert }^2\le N_{\kappa }(S)$。相较于 [Lyu12]，标准差 $\sigma$ 降低了大约 $\sqrt{\kappa }/2$ 的因子。并且，$N_{\kappa }(S)$ 可以快速计算：计算 $T=S^{T}S$，找出最长的 $\kappa$ 列加起来，然后找出它最大的 $\kappa$ 个元素加起来。

我们还要实现 Hash to $B_{\kappa }^n$，[BLISS] 从 RO 中获得 ${\kappa }^{\prime }>\kappa$ 个随机数 $x_i\in {\mathbb{Z}}_n$（丢弃 $\ge kn$ 的值保证均匀），然后设置 $c_{x_i}=1$ 直到 $\Vert c{\Vert }_1=\kappa$。选取足够大的 ${\kappa }^{\prime }$ 使得成功率够高，否则需要重新执行。在 [GLP12] 中，它将 $512$ 长的串分成 $32$ 组，对每组使用 $5$ 比特 $r_1{r}_2{r}_3{r}_4{r}_5$，其中 $r_2{r}_3{r}_4{r}_5$ 用来确定组内的位置，$r_1$ 用于确定符号，于是 $32$ 个分组中恰有 $1$ 个位置非零，且一共只需 $160$ 比特的哈希值。而在 [Dilithium] 中，对于 $i=n-\tau ,\cdots ,n$，从 $XOF(\rho )$ 中获得 j ∈ { 0 , 1 , ⋯   , i } j \in \{0,1,\cdots,i\} j∈{0,1,⋯,i} 以及 s ∈ { 0 , 1 } s \in \{0,1\} s∈{0,1}，然后设置 $c_i\leftarrow c_j$ 以及 $c_j\leftarrow (-1{)}^s$（布谷鸟）。

虽然 $AS=0(\mathrm{mod}q)$ 很特殊，但是可以证明仅根据 $A$ 难以求解出短矩阵 $S$ 或者短向量 $v=Sc$：任给一个格基 $B$，设置 $A\in {\mathbb{Z}}_{2q}^{n\times m}$ 满足 $A=2B(\mathrm{mod}q)$，如果 PPT 敌手找到了一个短向量 $v$ 使得 $Av=0(\mathrm{mod}q)$，那么由于 $2(\mathrm{mod}q)$ 是可逆的，因此有 $Bv=0(\mathrm{mod}q)$，这就破解了 SIS 问题。