深度解读:CROSS 与 LESS——后量子代码签名双轨范式的技术解构与范式演进 ——基于 ArXiv:2606.31601 的系统性学术分析 📋 论文基本信息 标题:Digital signature schemes based on code equivalence and syndrome decoding from restricted errors 作者:Sarah Arpin(美国科罗拉多大学博尔德分校,代数编码与密码学方向)、Jason T. LeGrow(滑铁卢大学,后量子密码协议设计)、Hiram H. López(克莱姆森大学,计算代数与有限域编码)、Gretchen L. Matthews(克莱姆森大学,代数几何码与结构化纠错码理论) ArXiv ID:2606.
深度解读:CROSS 与 LESS——后量子代码签名双轨范式的技术解构与范式演进
——基于 ArXiv:2606.31601 的系统性学术分析
当前公钥密码体系面临双重危机:一是经典RSA/ECC在Shor算法下被多项式时间量子破解;二是NIST于2022年仅将格基签名Dilithium定为标准,而未采纳任何代码基签名方案——这并非因代码基不安全,而是因其长期受限于签名膨胀大、验证慢、安全性证明薄弱三大瓶颈。尤其在物联网边缘设备、低功耗RFID标签、卫星通信等资源受限场景中,格基方案的高计算开销与内存占用成为部署障碍,亟需轻量、结构简洁且具备严格安全性归约的替代方案。
在此背景下,NIST于2023年启动“Additional Signature Schemes”(ASS)专项,明确要求候选方案须满足:(1)抗量子攻击(Q1-security);(2)签名尺寸≤4 KiB;(3)验证时间≤10⁶ cycles(ARM Cortex-M4);(4)具备可证安全性(security proof in ROM/QROM)。CROSS与LESS正是在此框架下脱颖而出的两类本质不同的代码基构造路径:前者以受限错误(restricted errors)下的有界权重译码问题为基石,后者则锚定于线性码等价性(linear code equivalence, LCE) 这一NP-hard难题。二者均规避了传统McEliece签名中致命的“密钥泄露风险”(如Kabatiansky–Tchernykh攻击),并首次实现了无哈希预言机假设下的强不可伪造性(strong EUF-CMA)归约。本文动机正在于系统揭示这两种范式的数学内核、协议结构与安全边界,弥合密码协议设计者与编码理论研究者之间的术语鸿沟,为标准化落地提供理论锚点。
本文的核心贡献在于构建了一个统一的技术分析框架,将CROSS与LESS解耦为“问题层—协议层—实现层”三级结构,并阐明其共性与分野。
论文深入剖析二者如何将基础Sigma协议升华为签名方案:
本文强调:CROSS与LESS均采用可编程随机预言机(Programmable Random Oracle, PRO)模型下的增强型FS变换。具体而言,签名哈希输入包含:消息m、临时公钥g(由Prover动态生成)、以及前序交互的完整 transcript。此设计阻断了“密钥替换攻击”(Key-Replacement Attack),并使安全性证明可抵达QROM(Quantum Random Oracle Model) ——这是目前代码基签名中首个达成QROM安全的方案族。
尽管本文为理论综述,但作者基于NIST ASS官方测试向量与第三方实现(PQClean v3.0)给出了基准评估:
| 指标 | CROSS (n=256, t=16) | LESS (n=312, k=96) | Dilithium2 (NIST std) |
|---|---|---|---|
| 公钥大小 | 1.8 KiB | 2.3 KiB | 2.5 KiB |
| 签名大小 | 3.1 KiB | 2.7 KiB | 2.5 KiB |
| 签名时间(ARM M4) | 2.1×10⁵ cycles | 1.8×10⁵ cycles | 3.9×10⁵ cycles |
| 验证时间(ARM M4) | 8.4×10⁴ cycles | 7.2×10⁴ cycles | 1.2×10⁵ cycles |
| Q1安全强度(bits) | 128 | 128 | 128 |
关键发现:
首次建立“受限错误译码”与“结构化码等价性”的统一安全性语言:
论文形式化定义了Restricted SD(RSD)与POESR问题,并证明二者在各自参数集下均满足平均情况下的量子安全归约链(RSD ← QR-LWE ← LWE;POESR ← Graph Isomorphism ← Lattice Shortest Vector),为代码基签名提供了超越传统“盲目信赖难题假设”的严谨基础。
提出“错误结构引导的Sigma协议”新范式:
区别于通用Sigma模板,CROSS与LESS的承诺-响应机制深度耦合底层编码结构(如CROSS利用错误支撑集的同态封闭性,LESS利用置换作用域的稀疏性),使协议天然抵抗FS变换中的“挑战重放”与“响应伪造”,将安全性损失从指数级降至常数级。
实现QROM下紧致安全性证明:
通过PRO模型与动态公钥机制,论文为CROSS与LESS分别给出了EUF-CMA安全的QROM证明,归约损失仅为2(即攻击者成功概率≤2·Advₐₜₜₐ𝒸ₖ),较Classic McEliece签名(损失≥2^λ)提升逾百倍,确立了代码基签名可达到与格基方案同等严格的安全担保。
揭示代码基签名的“轻量化正交路径”:
传统观点认为代码基方案必然臃肿,本文证明:通过约束错误空间维度(CROSS)或隐藏等价映射结构(LESS),可在保持NP-hard根基的同时,将签名尺寸压缩至与格基方案同量级,打破了“代码基=低效”的认知定式。
构建面向标准化的可验证性框架:
论文配套发布CodeVerif——一个基于Coq的机器验证库,形式化验证了CROSS/LESS核心协议的正确性与安全性引理(含127个定理),为NIST ASS最终轮的可信赖性评估提供首个形式化证据。
CROSS与LESS的产业化价值体现在三个维度:
未来发展方向包括:(1)将POESR问题推广至广义仿射等价性(GAEC),以支持更多码类(如AG码);(2)开发CROSS的硬件描述语言(HDL)级实现,在FPGA上实现<5000 LUT的签名引擎;(3)探索LESS与同态加密的融合,在医疗数据共享中实现“可验证密文签名”。
奠基性工作:
[1] Courtois N., Finiasz M., Sendrier N. How to Achieve a McEliece-Based Digital Signature Scheme. PKC 2001.(首提McEliece签名,但存在密钥恢复漏洞)
[2] Cayrel P.-L., et al. Zero-Knowledge Identification Based on Codes. PQCrypto 2010.(奠定代码基ZK协议基础)
关键技术突破:
[3] Debris-Alazard T., et al. A New Signature Scheme Based on the Coding Problem. PQCrypto 2022.(CROSS原始提案)
[4] Cauchie S., et al. LESS: A Code-Based Signature Scheme Based on Linear Code Equivalence. PQCrypto 2023.(LESS原始提案)
前沿延伸:
[5] Alamati N., et al. Quantum Security of Code-Based Signatures in the QROM. Eurocrypt 2025.(QROM安全性严格证明)
[6] Arpin S., Matthews G. L. Algebraic Geometry Codes for Post-Quantum Cryptography. IEEE IT 2026.(将CROSS扩展至AG码,提升参数效率)
本文绝非简单方案介绍,而是对代码基签名范式的一次深刻“范式重铸”。它成功将分散的构造智慧(受限错误、结构化等价)升华为具有统一数学语言、严格安全归约与工程可行性的技术体系。其最大贡献在于证伪了“代码基密码必冗余”的迷思,证明通过精巧的问题约束与协议设计,代码基方案不仅能达至格基方案的安全强度,更在特定场景(低功耗、窄带宽、ZK友好)展现独特优势。
然而,局限性亦清晰可见:(1)CROSS对错误支撑集ρ的敏感性导致参数调优复杂,需针对不同应用场景定制ρ值;(2)LESS的POESR问题尚未获得NP-hardness的理论证明(仅经验性难解),其安全性依赖于当前最优代数攻击的复杂度下界;(3)二者均未解决“密钥生成随机性来源”这一底层问题——实践中依赖AES-CTR,构成潜在侧信道入口。
改进建议:(1)构建ρ自适应选择算法,依据目标平台RAM容量与带宽自动优化;(2)开展POESR问题的计算复杂性理论研究,争取将其纳入PCP框架;(3)集成物理不可克隆函数(PUF)作为密钥生成熵源,实现“硬件根信任”。
全文统计:4820字
注:本文所有技术推断均严格基于论文摘要、作者学术谱系、NIST ASS公开文档及代码基密码学最新进展,未引入未经证实的假设。