科普 | 基于哈希的密碼學：通往量子安全的數學路徑（上）_區塊鏈

原文鏈接：

https://www.isara.com/blog-posts/hash-based-cryptography.html

數字簽名算法是公鑰密碼體系的一個重要組成部分，其應用范圍從代碼簽名到建立安全連接。然而，經典的數字簽名算法將容易受到量子霸權的攻擊。基于哈希(hash-based)的密碼學是最古老的量子安全密碼學領域之一，數字簽名算法可以追溯到1979年，比橢圓曲線密碼學發明還早。

一、基本思想是什么？

在20世紀70年代末，LeslieLamport提出了一次性簽名的概念--一種最多只能使用一次的簽名算法。盡管使用一個最多只能使用一次的簽名方案似乎并不實際，但在Lamport發表了有影響力的論文后不久，RalphMerkle將這個看似不實際的想法變成了可以多次使用的簽名算法，并由此誕生了第一個基于多次哈希的算法。

現場 | 火幣中國推出數字經濟及區塊鏈產業科普新書:金色財經現場報道，12月6日，由海南省工業和信息化廳主辦，南南合作金融中心協辦，海南生態軟件園、火幣中國承辦的“海南自貿港數字經濟和區塊鏈國際合作論壇”在海口舉行，這是全球首次區塊鏈部長級論壇。

在本次論壇上，火幣中國舉行了“數字經濟及區塊鏈產業科普系列新書發布”儀式，希望通過教材、專業教育、培訓等多種方式，幫助從業者、高校、研究機構深入了解區塊鏈，從而建立起區塊鏈全局性知識模型，真正推動區塊鏈應用落地。火幣中國CEO袁煜明介紹，將聯合機械工業出版社面向普通高等教育推出《區塊鏈導論》、《區塊鏈系統設計與應用》和《區塊鏈新商業模式分析》系列教材，這是國內最早推動的區塊鏈教材之一；火幣中國還積極參與數字經濟的研究，由中信出版社出版的新書《讀懂Libra》已經上市；由火幣中國負責編寫的區塊鏈技術科普讀物《區塊鏈技術進階指南》將于12月面世；首本行業內最全的區塊鏈應用案例集《區塊鏈產業應用100例》在本次論壇進行了首次刊印。[2019/12/6]

二、“有狀態stateful"與"無狀態stateless"的基于哈希的簽名

科普時報：區塊鏈與云計算長期發展目標不謀而合:據《科普時報》今日報道，區塊鏈與云計算兩項技術的結合，從宏觀上來說，一方面，利用云計算已有的基礎服務設施或根據實際需求做相應改變，實現開發應用流程加速，滿足未來區塊鏈生態系統中初創企業、學術機構、開源機構、聯盟和金融等機構對區塊鏈應用的需求。另一方面，對于云計算來說，“可信、可靠、可控制”被認為是云計算發展必須要翻越的“三座山”，而區塊鏈技術以去中心化、匿名性，以及數據不可篡改為主要特征，與云計算長期發展目標不謀而合。[2018/5/4]

基于哈希的簽名分為兩種不同類型：有狀態和無狀態。

所有基于多次哈希的簽名算法都是通過有效地結合許多OTS的實例來工作的。然而，對于有狀態的基于哈希的簽名算法，至關重要的是不要意外地用同一個OTS簽名密鑰簽署多個信息。每次簽名后，狀態都會被更新，這實質上是在跟蹤哪些OTS密鑰已經被使用。如果實施不當，管理狀態可能很困難，會產生嚴重后果。如果有多個硬件或設備必須一起工作，做出正確的決策來安全地管理狀態是很重要的。出于這個原因，我們建議與具有基于狀態哈希密碼學專業知識的公司合作。

金色財經獨家分析 監管機構、媒體、業界提示詐騙風險 區塊鏈科普道阻且長:新華社今日發文表示，近來“區塊鏈”類詐騙案件頻發，不法分子以“投資虛擬貨幣周期短、收益高、風險低”為借口，騙取用戶信任并誘使其轉賬進行投資。無獨有偶，同日消息，騰訊手機管家安全專家也提醒此類風險，并從技術上提出防騙建議。在美國，監管機構警示加密貨幣欺詐現象普遍承諾高收益而不披露潛在風險。金色財經獨家分析，不法分子假借新技術之名進行詐騙，一方面是抓住民眾趨利的心理，一方面反映出區塊鏈科普的欠缺。區塊鏈是新興科技和底層技術并有改變社會生產關系的潛力，應該進行系統性的科普教育，當前，部分大學已經開始設置了區塊鏈課程，但對于普通民眾仍然有科普的需求，人們應該了解到系統和正確的知識，不僅要了解區塊鏈的好，也要明確局限和弊端，以在高收益的誘惑下，保持清醒客觀。[2018/4/11]

還有一些無狀態的基于哈希的簽名，不需要管理狀態，而且更容易實現。不幸的是，無狀態簽名的效率要低得多：簽名要大得多，而且計算量也大得多。此外，無狀態簽名離標準化還有2-4年的時間。另一方面，有狀態的基于哈希的算法有望在一年內實現標準化，而且憑借現實世界的專業知識，它們可以被安全地實現。

財政部副部長朱光耀：數字經濟還處在發展的過程中，要以科普、推動的態度來推進數字經濟發展:今日，在中國發展高層論壇2018年會上，財政部副部長朱光耀表示：“數字經濟還處在發展的過程中，要以科普、推動的態度來推進數字經濟發展。也要關注數字經濟的其他影響，包括稅收征管、反洗錢監管措施等要跟上。”[2018/3/25]

三、什么是基于哈希的簽名方案？基于哈希的密碼學是由LeslieLamport和RalphMerkle在20世紀70年代末首次開發的。自從Merkle的原始方案以來，基于哈希的算法已經變得更加高效。后量子哈希簽名的主要競爭者是有狀態的算法，如：Multi-TreeeXtendedMerkleSignatureScheme、HierarchicalSignatureSystem、WOTS+，以及無狀態算法SPHINCS+。

四、是否有基于哈希值的簽名方案的標準？

基于哈希的簽名的一個主要優勢是對其數學安全性的高度信任。不像其他量子安全的加密算法還有2-4年才能被標準化，有狀態的基于哈希的簽名方案XMSSMT和HSS已經被加密論壇研究小組研究和批準，并分別作為RFC8391和RFC8554發布。

雖然CFRG的RFC在技術上不被認為是標準，但美國國家標準與技術研究院最近發布了一份特別出版物草案，該草案一旦定稿，將成為XMSSMT和HSS的國家標準。按照NIST標準的慣例，該特別出版物也將成為事實上的國際標準。

五、為什么基于哈希的密碼學是安全的？

基于哈希的密碼學創建了簽名算法，其安全性在數學上是基于選定的加密哈希函數的安全性。

例如，考慮NIST的一套廣受信任和無處不在的加密哈希函數SecureHashAlgorithm2。SHA-2被認為是安全的，可以抵御擁有當今最強大的超級計算機的攻擊，而且它被認為也是量子安全的。這意味著使用SHA-2的基于哈希的簽名算法本質上和SHA-2一樣安全，也就是說，非常安全。

此外，即使萬一SHA-2被破壞，基于哈希的簽名的安全性也可以通過切換到另一個未被破壞的哈希函數來恢復。像這些基于哈希的簽名的系統，在算法之間切換的成本很低，被稱為加密的敏捷性(crypto-agile)。

六、如何使用基于哈希的加密技術？

需要立即行動的用例在許多情況下可以從基于哈希的解決方案中受益。例如，許多長壽命的連接設備，特別是那些在難以到達的地方運行的設備，如衛星，在大規模量子計算機可能存在之后，還需要安全。

出于這個原因，這些設備可以受益于一個被認可的基于哈希的數字簽名算法。這樣的算法現在就可以被整合，以避免將來在財務上被禁止或在后勤上無法升級。

七、基于哈希的密碼學的優勢

1、安全性。

基于散列的簽名算法的安全性是基于高度信任的散列函數的安全性，如SHA-2。

2、標準化。

有狀態的基于哈希的簽名算法很可能在今年內被NIST標準化，為此，它們為需要緊急行動的關鍵資產提供了最好的解決方案。

3、利用當前的硬件。

與量子安全密碼學的其他領域不同，基于散列的簽名算法中的大部分計算涉及計算哈希函數。對于大多數NIST批準的哈希函數，這些計算已經在硬件中進行了優化，使基于哈希的實現在長壽命的連接設備中更加實用。

4、公鑰小。

相對于其他后量子簽名方案，基于哈希的簽名公鑰可以非常小。

5、私鑰小。

通過存儲更少的信息，我們可以減少私鑰的大小。事實上，我們可以通過使用一個的種子來生成多個值，進一步減少私鑰的大小。

6、時間/空間的平衡。

底層哈希樹的一部分可以被存儲，而其他部分可以在必要時被計算。這導致了在簽名期間CPU利用率和內存使用之間的各種權衡。選擇一個合適的策略和算法參數在很大程度上取決于目標平臺的硬件限制。例如，一個CPU受限的設備會從避免重新計算節點中受益，而一個更快的設備則可以承受。

Tags：區塊鏈SHAMERERK區塊鏈可以看著是什么techsharesBOOMERCYBERKONGZ

Pol幣