后量子签名：Fiat-Shamir（下篇）

书接上回

压缩技术

载荷规模对于实用化格签名算法很重要。不同参数下的 [Lyu12] 签名方案，固定 $n=512$（安全级别约 $128$ 比特），基于 SIS 问题的签名值规模为 $70000$ 至 $160000$ 比特，基于 LWE 问题的签名值规模为 $14000$ 至 $19000$ 比特，两者的公私钥规模为 $2^{20}$ 至 $2^{23}$ 比特。人们提出了多种压缩技术，降低公钥规模和签名值规模。

丢弃低阶比特

[GLP12] 将整数划分为高阶比特和低阶比特，观察到：如果加上一个较小的整数，则低阶比特加上较小整数几乎不会溢出，从而这保持了高阶比特不变。

定义 $\mathcal{R}:={\mathbb{Z}}_p[x]/(x^n+1)$，其中元素的系数范围 $[-(p-1)/2,(p-1)/2]$。再定义 ${\mathcal{R}}_k$ 是 $\mathcal{R}$ 的子集，它的系数范围是 $[-k,k]$。令 $y\in [-(p-1)/2,(p-1)/2]$ 是任意整数，对于某正整数 $k$，分解它为 $y=y^{(1)}(2k+1)+y^{(0)}$，易知这个分解是唯一的。对于环元素 $y\in \mathcal{R}$，对每个系数分别做分解，我们将 $y^{(0)}\in {\mathcal{R}}_k$ 叫做低阶比特（lower-order），将 $y^{(1)}$ 叫做高阶比特（higher-order）。

对于任意的 $z\in {\mathcal{R}}_k$，均匀采样 $y{\leftarrow }_{\mathcal{U}}\mathcal{R}$，设置 $2nk/2>1$ 使得 $k$ 足够大，那么存在一个压缩算法，它以至少 $0.98$ 的概率，输出另一个 $z^{\prime }\in {\mathcal{R}}_k$ 使得 $(y+z{)}^{(1)}=(y+z^{\prime }{)}^{(1)}$，并且 $z^{\prime }$ 的长度为 $2n+\lceil \log (2k+1)\rceil \cdot 6kn/p$，这远比 $z$ 短的多。

压缩算法 $Compress(y,z,p,k)$ 定义为：

• 对于 $|y[i]|>(p-1)/2-k$ 的那些位置，$y[i]+z[i]$ 可能需要模 $p$，因此不能压缩，设置 $z^{\prime }[i]=z[i]$，表示为 $11z[i]$（前缀码），这需要 $2+\log 2k$ 比特
• 否则 $y[i]+z[i]$ 的低阶比特进位也只会影响高阶比特加减一（高阶比特不进位），对于 $y[i{]}^{(0)}+z[i]>k$ 的那些系数设置 $z^{\prime }[i]=k$，对于 $y[i{]}^{(0)}+z[i]<-k$ 的那些系数设置 $z^{\prime }[i]=-k$，其他情况设置 $z^{\prime }[i]=0$，分别表示为 $00,01,10$，这只需 $2$ 比特
• 记数未压缩系数的个数，如果大于 $6kn/p$，那么输出 $\perp$，否则可以输出 $z^{\prime }$。由于 $|y[i]|>(p-1)/2-k$ 的概率为 $2k/p$，若设置 $n\gg 2k/p$ 则输出 $\perp$ 的二项分布近似为参数 $\lambda =2nk/p$ 的泊松分布（期望和方差都是 $\lambda$），根据高斯分布的三西格玛原则，未压缩的个数大于 $6kn/p$ 的概率至多为 $2\%$

对于基于 RLWE 问题的 [Lyu12] 格签名，对于噪声 $s_2$ 的签名 $z_2=y_2+s_{2}c$ 是个短向量，验签等式为 $a{z}_1+z_2-tc$，因此可以执行 $z_2^{\prime }\leftarrow Compress(a{z}_1-tc,z_2,p,r-v)$，其中 ${\mathcal{R}}_r$ 是掩码 $y$ 的范围，${\mathcal{R}}_v$ 是 $s_{1}c,s_{2}c$ 的范围，那么根据 [Lyu09] 的均匀版本，当 $z>r-v$ 时需要拒绝样本，因此通过了的签名值大小至多为 $r-v$。根据 $z_2^{\prime }$，容易计算出 $(a{z}_1+z_2^{\prime }-tc{)}^{(1)}=(a{y}_1+y_2{)}^{(1)}$，因此我们使用高阶比特来进行 RO 查询。

1. $KeyGen(1^{\lambda })$：随机采样 $s_1,s_2{\leftarrow }_{\mathcal{U}}{\mathcal{R}}_1$（三元向量），随机采样 $a{\leftarrow }_{\mathcal{U}}\mathcal{R}$，计算 $t\leftarrow a{s}_1+s_2\in \mathcal{R}$，公开参数为 $a$ 私钥为 $(s_1,s_2)$ 公钥为 $t$
2. $Sign(\mu ,a,(s_1,s_2),t)$：均匀采样 $y_1,y_2{\leftarrow }_{\mathcal{U}}{\mathcal{R}}_r$，计算 $c\leftarrow H((a{y}_1,y_2{)}^{(1)},\mu )$（挑战重量为 $\kappa$），计算 $z_1\leftarrow y_1+s_{1}c$ 以及 $z_2\leftarrow y_2+s_{2}c$，如果 $z_1,z_2\notin {\mathcal{R}}_{r-\kappa }$ 那么重新执行（$s_{1}c,s_{2}c$ 的系数规模为 $\kappa$）。然后执行 $z_2^{\prime }\leftarrow Compress(a{z}_1-tc,z_2,p,r-\kappa )$，如果返回值为 $\perp$ 则重新执行。最终输出签名值 $(c,z_1,z_2^{\prime })$
3. $Verify(\mu ,(c,z_1,z_2^{\prime }),a,t)$：首先检查 $z_1,z_2\in {\mathcal{R}}_{r-\kappa }$ 是否满足，然后计算 $H((a{z}_1+z_2^{\prime }-tc{)}^{(1)},\mu )$ 判断是否等于 $c$

丢弃噪声的证明

基于 LWE 的格签名，它的 $z_1$ 视为是关于秘密 $S$ 的 PoK，而 $z_2$ 视为是关于噪声 $E$ 的 PoK。[BG14] 观察到：因为噪声是短的，对于噪声的 PoK 可以隐含在对于秘密的 PoK 内，从而可以消除 $z_2$ 部分。

基于标准 LWE 的格签名的公钥为 $(A,T:=AS+E)$，其中 $S,E$ 的范数很小。令 $z=y+Sc$（不取模）是对秘密的 PoK，挑战 $c$ 是根据 $v:=Ay(\mathrm{mod}q)$ 生成的。假设 $E$ 是短的，那么 $w:=Az-Tc\equiv Ay-Ec$（取模）是 $v$ 的近似，两者的高阶比特极大概率是相等的。[BG14] 使用 $v$ 和 $w$ 的高阶比特来计算挑战 $c$，如果双方计算出的 $c$ 相同，则隐含了 “$E$ 是短的” 这个 PoK。

给定 $d\in \mathbb{N}$，对于 $a\in \mathbb{Z}$，定义低阶比特 $[a{]}_d:=a(\mathrm{mod}{2}^d)$，取值范围 $(-2^{d-1},2^{d-1}]$，定义高阶比特 $\lfloor a{\rceil }_d:=(a-[a{]}_d)/2^d$，可推广到向量和多项式上。定义分布 $D_S=D_E$ 是相同标准差 ${\sigma }_S={\sigma }_E$ 的离散高斯分布，定义分布 $D_y$ 和 $D_z$ 是不同宽度 $B,B-U$的均匀分布。

1. $KeyGen(1^{\lambda })$：均匀采样 $A{\leftarrow }_{\mathcal{U}}{\mathbb{Z}}_q^{m\times n}$，采样 $S\leftarrow D_S^{n\times k}$ 以及 $E\leftarrow D_E^{m\times k}$，如果 $\exists i,j,|E_{ij}|>\tau {\sigma }_E$，那么重新采样。计算 $T\equiv AS+E$，公开参数为 $A$ 私钥为 $S$ 公钥为 $T$
2. $Sign(\mu ,A,S,T)$：采样 $y\leftarrow D_y^n$，计算 $v\equiv Ay(\mathrm{mod}q)$，计算 $\rho =H(\lfloor v{\rceil }_d,\mu )$ 并生成挑战 c = X O F ( ρ ) ∈ { − 1 , 0 , 1 } k c=XOF(\rho)\in \{-1,0,1\}^k c=XOF(ρ)∈{−1,0,1}k，计算 $z=y+Sc$，计算 $w\equiv Az-Tc$，如果 $\exists i,|[w_i{]}_d|>2^{d-1}-\tau {\sigma }_E\kappa$ 则重新执行（确保 $w+Ec$ 的低阶比特不发生进位），最后依照概率 $\min \left(\frac{D_z^n(z)}{M{D}_{y,Sc}^n(z)},1\right)$ 对签名值 $(\rho ,z)$ 拒绝采样。
3. $Verify(\mu ,(c,z),A,T)$：生成挑战 $c=XOF(\rho )$，计算 $w\equiv Az-Tc$，重新生成计算 ${\rho }^{\prime }=H(\lfloor w{\rceil }_d,\mu )$，如果 $\rho ={\rho }^{\prime }$ 并且 $\Vert z\Vert \in D_z$ 那么接受此签名，否则拒绝。

假设 $w\in {\mathbb{Z}}_q^m$ 是均匀的，那么 $Sign$ 中的条件 $\exists i,|[w_i{]}_d|>2^{d-1}-\tau {\sigma }_E\kappa$ 发生的概率为 ${\left(1-\tau {\sigma }_E\kappa /2^{d-1}\right)}^m$，为了降低 $Ay\approx w+Ec$ 发生低阶比特进位的概率，选取 $d$ 满足 $2^d\ge \tau {\sigma }_E\kappa m$。根据 [Lyu12] 的高斯尾部不等式，[BG14] 选取足够大的 $\tau$ 使得 $E_{ij}\ge \tau {\sigma }_E$ 的概率可忽略（[BG14] 设置 $\tau =7,Pr=2^{-34}$），从而 $(Ec{)}_i\ge \tau {\sigma }_E\kappa$ 的概率可忽略。然而 $Ec$ 服从标准差 $\sqrt{\kappa }{\sigma }_E$ 的离散高斯分布，似乎选取边界 $\tau {\sigma }_E\sqrt{\kappa }m$ 更合理些，设置 $\tau =10,Pr=2^{-100}$ 或者 $\tau =14,Pr=2^{-140}$。

签名值 ( ρ ∈ { 0 , 1 } λ , z ∈ D z n ) (\rho \in \{0,1\}^\lambda, z \in D_z^n) (ρ∈{0,1}λ,z∈Dzn​) 的大小，依赖于 $n,D_S,D_y,\kappa$，并不依赖 $m,k,d$。因此可以选取 $d$ 使得 $q$ 仅略大于 $2^d$ 若干比特，只要保证 $\lfloor v{\rceil }_d=\lfloor w{\rceil }_d$ 仍有足够高的熵即可。

压缩公钥

采用标准技术，仅发送 PRG 种子来取代发送整个矩阵 $A$，这可以大幅降低公钥载荷大小。此时，公钥中主要部分是矩阵 $T$，[Dilithium] 采用了激进的公钥压缩策略，将矩阵 $T$ 分为高阶比特 $T_1$ 和低阶比特 $T_0$，然后将 $T_1$ 作为公钥。然而，这导致的一个问题是，由于验签者缺少了 $T_0$ 会导致存在误差，但是这个误差可能会导致进位，于是 $w$ 和 $v$ 的高阶比特不相同，验签无法通过。

定义 $a,b\in {\mathbb{Z}}_q$ 的距离为 $\min (|a-b|,||)$。整数 $r\in {\mathbb{Z}}_q$ 分解为 $r=r_1{2}^d+r_0$，那么对于 $r_1^{\prime }\ne r_1$ 的两个数 $r_1^{\prime }{2}^d\ne r_1{2}^d$，它们的距离至少为 $2^d$，但是对于边界的两个数 $0$ 和 $\lfloor q/2^d\rfloor \cdot 2^d$，它们的距离可能会非常小，[GLP12] 的解决办法是对于边界点不执行压缩。而 [Dilithium] 采用了另外一种分解方案：选择 $\alpha$ 满足 $\alpha |q-1$，做分解 $r=r_1\alpha +r_0$，那么 $r_1\alpha$ 的取值范围是 { 0 , α , 2 α , ⋯   , q − 1 } \{0,\alpha,2\alpha,\cdots,q-1\} {0,α,2α,⋯,q−1}，边界点之间的距离为 $1$，只要我们丢弃 $q-1$（把它舍入到 $0$），那么这个集合中所有点的距离就都会大于等于 $\alpha$ 了。对于任意的 $z\in [-\alpha /2,\alpha /2)$，加和 $r+z$ 至多导致 $r$ 的高阶比特加减一（取模 $m=(q-1)\alpha$ 的意义下），不会出现 [GLP12] 遇到边界情况高阶比特剧烈变化的情况。

[Dilithium] 定义了如下的分解函数以及提示信息：

• $Decompos{e}_q(r,\alpha )$：计算 $r\in [0,q)$，再计算 $r_0:=r(\mathrm{mod}\alpha )$ 属于 $[-\alpha /2,\alpha /2)$，如果 $r-r_0=q-1$ 那么设置 $r_1:=0,r_0:=r_0-1$（将 $q-1$ 舍入到 $0$），否则设置 $r_1:=(r-r_0)/\alpha$，最终输出 $(r_1,r_0)$，其中 $r_1$ 记为 $HighBit{s}_q(r,\alpha )$，$r_0$ 记为 $LowBit{s}_q(r,\alpha )$
• $MakeHin{t}_q(z,r,\alpha )$：计算 $r_1:=HighBit{s}_q(r,\alpha )$ 和 $v_1:=HighBit{s}_q(r+z,\alpha )$，当 $r_1\ne v_1$ 时输出 $1$，否则输出 $0$，这判断了 $r+z$ 是否出现低阶比特进位/借位
• $UseHin{t}_q(h,r,\alpha )$：计算 $m:=(q-1)/\alpha$，计算 $(r_1,r_0):=Decompos{e}_q(r,\alpha )$，当 $h=1$ 并且 $r_0>0$ 时输出 $r_1+1(\mathrm{mod}m)$，当 $h=1$ 并且 $r_0\le 0$ 时输出 $r_1-1(\mathrm{mod}m)$，当 $h=0$ 时直接输出 $r_1$，这利用提示信息 $h$ 计算 $r+z$ 的高阶比特，容易验证 $UseHint(MakeHint(z,r),r)=HighBits(r+z)$

[Dilithium] 基于 MLWE 问题，公开参数为 $A\in {\mathcal{R}}_q^{k\times l}$，私钥是一对短向量 $(s_1\in {\mathcal{R}}_q^l,s_2\in {\mathcal{R}}_q^k)$，计算 $t=A{s}_1+s_2\in {\mathcal{R}}_q^k$，对它执行 [GLP12] 的那种压缩方案 $t=t_1{2}^d+t_0$，然后将高阶比特 $t_1$ 作为公钥。签名算法采用 [BG14] 的方案，承诺值是高阶比特 $(Ay{)}^{(1)}$，用它去询问 RO 生成挑战 $c\in {\mathcal{R}}_q$，签名值为 $z=y+c{s}_1\in {\mathcal{R}}_q^l$。验证者持有 $t_1$，因为 $t-t_1{2}^d=t_0\le 2^{d-1}$，所以可以计算 $Az-tc$ 的近似值
$$\begin{array}{rl}Az-c\cdot t_1{2}^d& \equiv A(y+c{s}_1)-c(t-t_0)\\ & \equiv Ay-c{s}_2+c{t}_0\\ & \equiv (Az-tc)+c{t}_0\end{array}$$
两者之间的差值为 $-c{t}_0$，这可能会导致低阶比特进位改变高阶比特。我们使用 $MakeHin{t}_q(-c{t}_0,Az-c\cdot t_1{2}^d,\alpha )$ 产生提示信息 h ∈ { 0 , 1 } k n h \in \{0,1\}^{kn} h∈{0,1}kn，然后再使用 $UseHint(h,Az-c\cdot t_1{2}^d,\alpha )$ 正确计算出 $Az-tc$ 的高阶比特。[Dilithium] 启发式地约束 $h$ 的重量为 $w$，如果超重了则重新执行，这使得传输 $h$ 只需发送位置信息即可，规模仅为 $w\log (kn)$ 比特。