抗量子+紧凑!SM3-OTS:基于国产哈希算法的一次签名新方案
论文信息
| 信息类别 | 具体内容 |
|---|---|
| 论文原标题 | SM3-OTS: 基于国密算法SM3的紧凑型后量子一次签名方案 |
| 主要作者 | 杨亚涛、殷方锐、陈亮宇、潘登 |
| 研究机构 | 1. 北京电子科技学院 电子与通信工程系(北京 100070) 2. 西安电子科技大学 通信工程学院(陕西 西安 710071) |
| 通信作者 | 杨亚涛,E-mail: yy2008@163.com |
| 发表期刊 | 软件学报(ISSN 1000-9825, CODEN RUXUEW) |
| DOI | 10.13328/j.cnki.jos.007392 |
| APA引文格式 | 杨亚涛, 殷方锐, 陈亮宇, 潘登. (2024). SM3-OTS: 基于国密算法SM3的紧凑型后量子一次签名方案. 软件学报. https://www.jos.org.cn/1000-9825/7392.htm |
一段话总结
面对量子计算对传统密码的威胁,后量子签名方案SPHINCS+因核心组件WOTS+签名值过长限制应用,研究团队设计了基于国密算法SM3的紧凑型一次签名方案SM3-OTS:通过消息摘要的二进制信息索引前32条哈希链、十六进制信息索引后16条哈希链,大幅缩短密钥与签名长度;相较于WOTS+、Balanced WOTS+、WOTS+C,签名值分别缩短29%、27%、26%,密钥生成、签名生成、验证时间较WOTS+分别减少27.2%、18.7%、25.3%,同时依托SM3具备抗量子能力,适用于存储/带宽受限场景(如物联网)。
四、思维导图
研究背景
咱们先从“为什么要做这个研究”说起——毕竟任何技术方案,都是为了解决实际问题而生的。
首先,量子计算是传统密码的“天敌”。以前我们常用的密码(比如银行转账用的RSA、手机支付用的ECC),都依赖“大整数分解”“离散对数”这些数学难题——就像用一把复杂的锁把数据锁起来,传统计算机要解开得花几百年。但1994年Shor算法出现后,量子计算机能“秒解”这些难题;1996年Grover算法更狠,能把对称密码的破解时间砍半。这就好比,量子计算机手里有一把“万能钥匙”,传统密码的锁很快就不管用了。
为了应对这个危机,后量子密码(PQC) 应运而生——目标是设计“量子计算机也解不开”的密码。2022年NIST(美国国家标准与技术研究院)选出了4种首批标准化PQC方案,其中SPHINCS+ 很特别:它是唯一基于“哈希函数”的方案(其他3种基于格理论)。哈希函数就像“单向榨汁机”——把水果(输入)榨成汁(哈希值)容易,但想从汁还原出水果几乎不可能,这种特性让SPHINCS+的签名/验证速度快、安全性可靠,很适合物联网、嵌入式设备。
但问题来了:SPHINCS+的核心组件WOTS+(一次签名方案)有个大缺点——签名值太长。比如安全参数n=32时,WOTS+的签名要2144字节(差不多2KB)。这对手机、传感器这些“小身板”设备很不友好:想象一下,一个物联网传感器只有几KB存储,存一个签名就占了一半空间;或者偏远地区的设备靠窄带宽传输,一个2KB的签名要传半天——就像快递包装比里面的物品还大,小快递柜根本放不下,运输也费时间。
除此之外,国内场景还关注**“国产自主可控”**:很多现有方案用的是国外哈希函数(比如SHA-256),而国密算法SM3是我国自主设计的,安全性经过验证,更符合国内合规要求。但当时还没有基于SM3的“紧凑后量子签名方案”——这就是论文要填补的空白:用SM3做一个“又小又快、抗量子、国产化”的一次签名方案,解决WOTS+的“大体积”痛点。
创新点
这篇论文的核心亮点,简单说就是“用对方法,解决了老问题”,具体有三个关键创新:
双信息维度索引哈希链,从根源缩短签名长度
传统OTS方案(比如WOTS+)只用消息摘要的“单一格式”(比如二进制)索引哈希链,需要更多哈希链或更长节点才能覆盖安全需求。SM3-OTS则“一鱼两吃”:把32字节的消息摘要拆成两种格式——二进制(m_bin)和十六进制(m_hex),分别对应前32条、后16条哈希链的节点索引。这样既保证了安全覆盖,又减少了冗余,最终签名长度从WOTS+的2144字节压缩到1536字节,缩短了29%。深度结合国密SM3,兼顾合规与抗量子
很多后量子方案依赖国外哈希函数,而SM3-OTS全程用国密算法SM3:私钥生成、公钥推导、签名计算、验证都基于SM3。这不仅符合国内“自主可控”的合规要求,还利用了SM3的抗量子特性——哈希函数的“单向性”“无碰撞性”在量子环境下仅受Grover算法轻微影响(安全级别从128位降至85位,可通过扩展输出弥补),比基于数论的密码抗量子能力更稳定。算法流程优化,效率与紧凑性双赢
传统方案为了缩短签名,常牺牲效率(比如增加复杂计算),但SM3-OTS在紧凑的同时还提升了效率:密钥生成时,48个私钥块仅需各做255次SM3哈希就得公钥;签名/验证时,通过“索引直接定位哈希链节点”减少无效计算。实验显示,它比WOTS+的密钥生成快27.2%、签名快18.7%、验证快25.3%——相当于“包装变小了,快递速度还变快了”。
研究方法和思路、实验方法
(一)核心研究思路
论文的整体思路很清晰:“发现痛点→针对性设计方案→验证安全性→测试性能”,具体路径是:
- 痛点:SPHINCS+的WOTS+签名过长,缺乏国产方案;
- 方向:基于SM3设计紧凑型OTS,用双信息索引优化哈希链;
- 验证:从理论证明方案安全(归约到SM3特性),从实验验证性能(对比主流方案)。
(二)SM3-OTS方案的具体实现步骤
1. 密钥生成算法(KeyGen):“造钥匙”的过程
目标:生成一对“私钥(自己用)+公钥(别人验证用)”
步骤:
① 确定安全参数:默认n=256bits(行业常用安全级别);
② 生成私钥块:用伪随机数生成函数(PRNF),以“秘密种子(Seed)”为基础,生成48个32字节的私钥块(sk₀~sk₄₇),私钥sk就是这48个块的集合(1536Bytes);
③ 生成公钥块:对每个私钥块skᵢ,用SM3哈希255次(记为H²⁵⁵(skᵢ)),得到48个32字节的公钥块(pk₀~pk₄₇),公钥pk就是这48个块的集合(1536Bytes);
④ 形成哈希链:每个skᵢ到pkᵢ的过程就是一条“哈希链”(共48条),链上有256个节点(首节点=skᵢ,尾节点=pkᵢ)。
2. 签名生成算法(Sign):“签名字”的过程
目标:给明文消息M生成唯一签名σ
步骤:
① 算消息摘要:用SM3对M哈希,得到32字节的摘要m=H(M);
② 处理摘要格式:
- 二进制格式(m_bin):把m转成二进制,每8位分成一组,共32组,每组转成0-255的十进制数(作为前32条哈希链的“节点索引”);
- 十六进制格式(m_hex):把m转成十六进制(含0-F共16个字符),统计每个字符在64位十六进制串中的位置和,再对255取模(作为后16条哈希链的“节点索引”);
③ 生成签名块:对每条哈希链,根据索引找到对应的节点——比如前32条的第1条索引是10,就取sk₀哈希10次的结果(H¹⁰(sk₀))作为签名块σ₀;
④ 组合签名:48个签名块(σ₀~σ₄₇)组合成最终签名σ(1536Bytes)。
3. 签名验证算法(Verify):“验真假”的过程
目标:确认签名σ是不是“真的”(没被篡改)
步骤:
① 重复签名生成的①-②:对收到的M重新算摘要m,再得到m_bin和m_hex的索引;
② 推导验证公钥:对每个签名块σᵢ,用SM3哈希“255-索引值”次(比如σ₀索引是10,就哈希255-10=245次,记为H²⁴⁵(σ₀)),得到验证公钥块pk’ᵢ;
③ 对比验证:把48个pk’ᵢ组合成验证公钥pk’,如果pk’和原公钥pk完全一致,说明签名有效(输出true),否则无效(输出false)。
(三)实验方法:怎么证明方案“好用”
1. 实验环境(保证结果可信)
- 硬件:AMD Ryzen 7840S CPU(3.3 GHz)、4GB RAM(模拟嵌入式/物联网设备的中等配置);
- 软件:Ubuntu 22.04 LTS操作系统(Linux环境,常见服务器/设备系统)。
2. 对比对象(选行业主流方案)
- WOTS+(SPHINCS+核心组件);
- Balanced WOTS+(SPHINCS-α优化方案);
- WOTS+C(SPHINCS+C优化方案);
- LMOTS(经典哈希基OTS方案)。
3. 测试指标(关键性能维度)
- 尺寸指标:私钥长度、公钥长度、签名值长度(单位:Bytes);
- 效率指标:密钥生成时间、签名生成时间、签名验证时间(单位:ms)。
主要成果和贡献
(一)核心成果总结(用表格更清晰)
| 成果类别 | 具体内容 |
|---|---|
| 方案设计 | 完成SM3-OTS方案的完整设计,包含密钥生成、签名生成、验证3个核心算法 |
| 尺寸优化成果 | 安全参数n=32时,私钥/公钥/签名均为1536Bytes,较WOTS+(2144Bytes)缩短29%,较Balanced WOTS+(2112Bytes)缩短27%,较WOTS+C(2080Bytes)缩短26% |
| 效率优化成果 | 较WOTS+:密钥生成时间减少27.2%,签名生成时间减少18.7%,签名验证时间减少25.3% |
| 安全性成果 | 理论证明:方案安全归约到SM3的抗第一原像、抗第二原像、抗碰撞性;抗量子性:仅受Grover算法影响,可通过扩展SM3输出弥补 |
| 兼容性成果 | 基于国密SM3算法,符合国内密码合规要求,可直接替换SPHINCS+中的WOTS+ |
(二)领域贡献(实实在在的价值)
解决“签名过长”痛点,拓展后量子签名的应用场景
以前WOTS+签名太长,物联网传感器、智能卡等资源受限设备用不了;SM3-OTS的1536字节签名能轻松适配这些设备,让后量子密码从“实验室”走进“实际产品”。填补国产紧凑型后量子签名的空白
之前国内多是“用SM3替换国外方案的哈希函数”,而SM3-OTS是从算法设计层面深度结合SM3,首次实现“国产算法+紧凑结构+后量子安全”的结合,为国内行业提供了自主可控的选择。提供“效率+安全”平衡的参考方案
很多方案要么追求紧凑牺牲效率,要么追求效率牺牲紧凑;SM3-OTS证明了“两者可以兼得”,为后续哈希基后量子签名的优化提供了思路(比如双信息索引的设计)。
(三)开源代码/数据集说明
论文中未提及开源代码或公开数据集,推测目前处于理论验证与实验阶段,后续可能在相关学术平台(如GitHub、IEEE Xplore)发布。
关键问题
1. 问:SM3-OTS是怎么解决传统OTS方案(比如WOTS+)签名过长的问题?
答:核心是“双信息维度索引哈希链”:传统方案只用消息摘要的单一格式(如二进制)索引哈希链,需要更多链或更长节点;SM3-OTS把32字节摘要拆成二进制(m_bin)和十六进制(m_hex),分别索引前32条、后16条哈希链,既覆盖安全需求,又减少冗余——比如WOTS+需要更多哈希链节点才能保证安全,而SM3-OTS通过“精准索引”直接定位节点,最终签名从2144Bytes缩到1536Bytes,缩短29%。
2. 问:SM3-OTS的抗量子能力从哪里来?和传统密码(如RSA)比有什么优势?
答:抗量子能力来自国密算法SM3的特性:哈希函数的“单向性”(从哈希值反推输入难)和“无碰撞性”(找两个不同输入得相同哈希值难),在量子环境下仅受Grover算法影响(安全级别从128位降至85位,可通过扩展SM3输出弥补);而RSA依赖大整数分解,会被Shor算法“秒破”。优势在于:SM3-OTS的抗量子能力更稳定,不会被量子算法完全破解。
3. 问:SM3-OTS的“国密属性”有什么实际意义?国内企业为什么要关注?
答:国密属性的核心意义是“自主可控+合规”:① 避免依赖国外算法的“卡脖子”风险(比如国外算法升级或限制使用);② 符合国内《网络安全法》《密码法》对“关键信息基础设施用国产密码”的要求。国内企业(尤其是金融、政务、物联网领域)用SM3-OTS,既能满足后量子安全需求,又不用为合规额外改造,降低成本。
4. 问:SM3-OTS是“一次签名方案”,这意味着什么?怎么扩展到“多次签名”场景?
答:“一次签名”是指一对私钥/公钥只能给一条消息签名(重复用会被伪造);论文提到未来可通过“二叉哈希树(Merkle Tree)”扩展:把多个SM3-OTS的公钥作为哈希树的“叶子节点”,树的“根节点”作为总公钥——用户每次签名用一个叶子节点的SM3-OTS密钥,就能实现“多次签名”,同时保持无状态(不用记录已签名次数)。
5. 问:和SPHINCS+的其他优化方案(如Balanced WOTS+、WOTS+C)比,SM3-OTS的核心优势是什么?
答:核心优势是“综合性能最优”:① 签名更短:比Balanced WOTS+短27%、比WOTS+C短26%;② 效率更高:密钥生成、签名、验证时间均优于这两种方案;③ 国密兼容:后两者基于国外哈希函数,SM3-OTS基于SM3,更适合国内场景。简单说,SM3-OTS在“短、快、合规”三个维度上都做到了更好。
总结
论文针对后量子签名方案SPHINCS+中WOTS+签名过长的痛点,设计了基于国密算法SM3的紧凑型一次签名方案SM3-OTS。该方案通过消息摘要的二进制与十六进制信息双维度索引哈希链,有效缩短了密钥与签名长度(较WOTS+缩短29%);同时依托SM3的抗量子特性,从理论上证明了方案的安全性(归约到SM3的单向性与抗碰撞性);实验验证显示,方案在密钥生成、签名生成、验证效率上均优于主流OTS方案(较WOTS+效率提升18.7%-27.2%)。
SM3-OTS的价值在于:既解决了传统OTS方案“大体积”的应用瓶颈,又填补了国产紧凑型后量子签名的空白,为物联网、嵌入式设备等资源受限场景提供了“安全、紧凑、高效、合规”的后量子签名选择。未来通过二叉哈希树扩展为无状态方案后,其应用范围还将进一步扩大。