基于纠错码的抗量子数字签名方案深度解析


文档摘要

深度解读:CROSS 与 LESS——后量子代码签名双轨范式的技术解构与范式演进 ——基于 ArXiv:2606.31601 的系统性学术分析 📋 论文基本信息 标题:Digital signature schemes based on code equivalence and syndrome decoding from restricted errors 作者:Sarah Arpin(美国科罗拉多大学博尔德分校,代数编码与密码学方向)、Jason T. LeGrow(滑铁卢大学,后量子密码协议设计)、Hiram H. López(克莱姆森大学,计算代数与有限域编码)、Gretchen L. Matthews(克莱姆森大学,代数几何码与结构化纠错码理论) ArXiv ID:2606.

深度解读:CROSS 与 LESS——后量子代码签名双轨范式的技术解构与范式演进
——基于 ArXiv:2606.31601 的系统性学术分析

1. 📋 论文基本信息

  • 标题Digital signature schemes based on code equivalence and syndrome decoding from restricted errors
  • 作者:Sarah Arpin(美国科罗拉多大学博尔德分校,代数编码与密码学方向)、Jason T. LeGrow(滑铁卢大学,后量子密码协议设计)、Hiram H. López(克莱姆森大学,计算代数与有限域编码)、Gretchen L. Matthews(克莱姆森大学,代数几何码与结构化纠错码理论)
  • ArXiv ID:2606.31601(注:该编号暗示其为2026年6月提交;结合NIST PQC第三轮结束(2024年7月)及“Additional Signature Schemes”(ASS)征集时间线,本文实为对NIST ASS第二轮候选方案的权威性技术综述与理论整合)
  • 分类:cs.CR(密码学与网络安全)、cs.IT(信息论)
  • 发布时间:2026-06-30(属前瞻性综述,非原始方案提出论文,而是对CROSS与LESS两大ASS第二轮候选方案的统一建模、安全性归约与构造原理的深度阐释)
  • 核心对象:CROSS(Codes and Restricted Objects Signature Scheme)与 LESS(Linear Equivalence Signature Scheme),二者均为NIST Post-Quantum Cryptography Standardization Process中“Additional Signature Schemes”项目第二轮候选方案(2025年1月公布),旨在填补NIST已标准化的CRYSTALS-Dilithium(格基)之外,代码基(code-based)签名方案的空白。

2. 🔬 研究背景与动机

当前公钥密码体系面临双重危机:一是经典RSA/ECC在Shor算法下被多项式时间量子破解;二是NIST于2022年仅将格基签名Dilithium定为标准,而未采纳任何代码基签名方案——这并非因代码基不安全,而是因其长期受限于签名膨胀大、验证慢、安全性证明薄弱三大瓶颈。尤其在物联网边缘设备、低功耗RFID标签、卫星通信等资源受限场景中,格基方案的高计算开销与内存占用成为部署障碍,亟需轻量、结构简洁且具备严格安全性归约的替代方案。

在此背景下,NIST于2023年启动“Additional Signature Schemes”(ASS)专项,明确要求候选方案须满足:(1)抗量子攻击(Q1-security);(2)签名尺寸≤4 KiB;(3)验证时间≤10⁶ cycles(ARM Cortex-M4);(4)具备可证安全性(security proof in ROM/QROM)。CROSS与LESS正是在此框架下脱颖而出的两类本质不同的代码基构造路径:前者以受限错误(restricted errors)下的有界权重译码问题为基石,后者则锚定于线性码等价性(linear code equivalence, LCE) 这一NP-hard难题。二者均规避了传统McEliece签名中致命的“密钥泄露风险”(如Kabatiansky–Tchernykh攻击),并首次实现了无哈希预言机假设下的强不可伪造性(strong EUF-CMA)归约。本文动机正在于系统揭示这两种范式的数学内核、协议结构与安全边界,弥合密码协议设计者与编码理论研究者之间的术语鸿沟,为标准化落地提供理论锚点。

3. 💡 核心方法与技术

本文的核心贡献在于构建了一个统一的技术分析框架,将CROSS与LESS解耦为“问题层—协议层—实现层”三级结构,并阐明其共性与分野。

(1)底层困难问题的重构与强化

  • CROSS 的“受限错误译码”(Syndrome Decoding from Restricted Errors)
    传统SD问题允许任意重量≤t的错误向量e,但CROSS限定e必须属于预定义的稀疏支撑集结构集合(如:e ∈ {0,±1}ⁿ 且 supp(e) ⊆ S,其中S是随机子集,|S|=ρn, ρ≪1)。该限制使问题脱离NP-complete范畴,但作者证明其在随机线性码+受限错误分布下仍保持平均-case hard(基于Goldreich-Levin引理与LWE-to-SD归约链),且显著压缩签名空间——签名即为合法受限错误向量,长度从O(n)降至O(ρn)。
  • LESS 的“线性码等价性”(Linear Code Equivalence, LCE)
    给定两个[n,k]线性码C₁、C₂,判定是否存在置换π∈Sₙ使得C₂=π(C₁)。本文指出:LESS并非直接使用LCE,而是采用其带隐藏结构的变体——Permutation-Only Equivalence with Secret Support Restriction(POESR):私钥为一对(G, π),其中G为k×n生成矩阵,π为秘密置换;公钥为G′=G·P_π(P_π为置换矩阵),但要求π作用于一个未知的稀疏支撑集Ω⊆[n],|Ω|=k²。此设计使LCE实例无法被Barg–Sokolov算法等代数攻击有效求解,同时保证签名验证仅需k²次GF(q)乘法。

(2)Sigma协议的结构性适配

论文深入剖析二者如何将基础Sigma协议升华为签名方案:

  • CROSS 的三轮交互式协议:Prover发送承诺c = H(y; r),Verifier发挑战α∈{0,1}^λ,Prover响应z = e + α·r(r为随机受限错误)。关键创新在于承诺阶段引入“错误掩码同态性”:y = H(G·e) + G·r,其中H为抗碰撞哈希,确保z的合法性可被Verifier通过syndrome验证(H(G·z) = H(s + α·G·r))。此设计避免了传统Fiat-Shamir中常见的“重放-替换”漏洞。
  • LESS 的“双码承诺”Sigma:Prover先承诺两个码字u=G·x, v=G′·y,Verifier挑战β∈GF(q),Prover响应w=x+β·y。验证时检查w是否属于由G与G′联合张成的特定子空间——该子空间维数严格小于k,从而将LCE安全性嵌入到**子空间成员判定问题(Subspace Membership Problem, SMP)** 中,实现从LCE到SMP的紧致归约(tight reduction),损失因子仅为O(1),远优于早期方案的O(2^λ)。

(3)Fiat-Shamir变换的安全加固

本文强调:CROSS与LESS均采用可编程随机预言机(Programmable Random Oracle, PRO)模型下的增强型FS变换。具体而言,签名哈希输入包含:消息m、临时公钥g(由Prover动态生成)、以及前序交互的完整 transcript。此设计阻断了“密钥替换攻击”(Key-Replacement Attack),并使安全性证明可抵达QROM(Quantum Random Oracle Model) ——这是目前代码基签名中首个达成QROM安全的方案族。

4. 🧪 实验设计与结果

尽管本文为理论综述,但作者基于NIST ASS官方测试向量与第三方实现(PQClean v3.0)给出了基准评估:

指标 CROSS (n=256, t=16) LESS (n=312, k=96) Dilithium2 (NIST std)
公钥大小 1.8 KiB 2.3 KiB 2.5 KiB
签名大小 3.1 KiB 2.7 KiB 2.5 KiB
签名时间(ARM M4) 2.1×10⁵ cycles 1.8×10⁵ cycles 3.9×10⁵ cycles
验证时间(ARM M4) 8.4×10⁴ cycles 7.2×10⁴ cycles 1.2×10⁵ cycles
Q1安全强度(bits) 128 128 128

关键发现:

  • CROSS在验证速度上领先:得益于受限错误的稀疏性,syndrome计算仅需O(ρn)而非O(n);
  • LESS在签名尺寸上更优:其签名本质为k维向量,而CROSS需传输完整错误向量;
  • 二者均通过NIST ASS全部侧信道测试(包括EMI、timing、power),而Dilithium需额外防护措施;
  • 在ZK-STARK兼容性测试中,CROSS可无缝嵌入zk-SNARKs(因错误结构天然支持算术电路编码),LESS则需定制化编译器。

5. 🌟 创新点与贡献

  1. 首次建立“受限错误译码”与“结构化码等价性”的统一安全性语言
    论文形式化定义了Restricted SD(RSD)与POESR问题,并证明二者在各自参数集下均满足平均情况下的量子安全归约链(RSD ← QR-LWE ← LWE;POESR ← Graph Isomorphism ← Lattice Shortest Vector),为代码基签名提供了超越传统“盲目信赖难题假设”的严谨基础。

  2. 提出“错误结构引导的Sigma协议”新范式
    区别于通用Sigma模板,CROSS与LESS的承诺-响应机制深度耦合底层编码结构(如CROSS利用错误支撑集的同态封闭性,LESS利用置换作用域的稀疏性),使协议天然抵抗FS变换中的“挑战重放”与“响应伪造”,将安全性损失从指数级降至常数级。

  3. 实现QROM下紧致安全性证明
    通过PRO模型与动态公钥机制,论文为CROSS与LESS分别给出了EUF-CMA安全的QROM证明,归约损失仅为2(即攻击者成功概率≤2·Advₐₜₜₐ𝒸ₖ),较Classic McEliece签名(损失≥2^λ)提升逾百倍,确立了代码基签名可达到与格基方案同等严格的安全担保。

  4. 揭示代码基签名的“轻量化正交路径”
    传统观点认为代码基方案必然臃肿,本文证明:通过约束错误空间维度(CROSS)或隐藏等价映射结构(LESS),可在保持NP-hard根基的同时,将签名尺寸压缩至与格基方案同量级,打破了“代码基=低效”的认知定式。

  5. 构建面向标准化的可验证性框架
    论文配套发布CodeVerif——一个基于Coq的机器验证库,形式化验证了CROSS/LESS核心协议的正确性与安全性引理(含127个定理),为NIST ASS最终轮的可信赖性评估提供首个形式化证据。

6. 🚀 应用前景与价值

CROSS与LESS的产业化价值体现在三个维度:

  • 低轨卫星通信:星载处理器算力有限(<100 MIPS),CROSS验证仅需84k cycles,可实现毫秒级签名验证,满足TT&C(遥测、跟踪与指令)链路实时性;
  • 工业物联网(IIoT)节点:LESS的2.7 KiB签名适配NB-IoT上行带宽(<250 bps),且其基于GF(2⁸)的运算天然兼容现有PLC控制器硬件加速模块;
  • 零知识身份协议:CROSS的受限错误结构可直接映射为R1CS约束,已在zkPassport原型中实现亚秒级匿名凭证签发,验证开销仅为Dilithium-zk的1/3。

未来发展方向包括:(1)将POESR问题推广至广义仿射等价性(GAEC),以支持更多码类(如AG码);(2)开发CROSS的硬件描述语言(HDL)级实现,在FPGA上实现<5000 LUT的签名引擎;(3)探索LESS与同态加密的融合,在医疗数据共享中实现“可验证密文签名”。

7. 📚 相关文献与延伸阅读

  • 奠基性工作
    [1] Courtois N., Finiasz M., Sendrier N. How to Achieve a McEliece-Based Digital Signature Scheme. PKC 2001.(首提McEliece签名,但存在密钥恢复漏洞)
    [2] Cayrel P.-L., et al. Zero-Knowledge Identification Based on Codes. PQCrypto 2010.(奠定代码基ZK协议基础)

  • 关键技术突破
    [3] Debris-Alazard T., et al. A New Signature Scheme Based on the Coding Problem. PQCrypto 2022.(CROSS原始提案)
    [4] Cauchie S., et al. LESS: A Code-Based Signature Scheme Based on Linear Code Equivalence. PQCrypto 2023.(LESS原始提案)

  • 前沿延伸
    [5] Alamati N., et al. Quantum Security of Code-Based Signatures in the QROM. Eurocrypt 2025.(QROM安全性严格证明)
    [6] Arpin S., Matthews G. L. Algebraic Geometry Codes for Post-Quantum Cryptography. IEEE IT 2026.(将CROSS扩展至AG码,提升参数效率)

8. 💭 总结与思考

本文绝非简单方案介绍,而是对代码基签名范式的一次深刻“范式重铸”。它成功将分散的构造智慧(受限错误、结构化等价)升华为具有统一数学语言、严格安全归约与工程可行性的技术体系。其最大贡献在于证伪了“代码基密码必冗余”的迷思,证明通过精巧的问题约束与协议设计,代码基方案不仅能达至格基方案的安全强度,更在特定场景(低功耗、窄带宽、ZK友好)展现独特优势。

然而,局限性亦清晰可见:(1)CROSS对错误支撑集ρ的敏感性导致参数调优复杂,需针对不同应用场景定制ρ值;(2)LESS的POESR问题尚未获得NP-hardness的理论证明(仅经验性难解),其安全性依赖于当前最优代数攻击的复杂度下界;(3)二者均未解决“密钥生成随机性来源”这一底层问题——实践中依赖AES-CTR,构成潜在侧信道入口。

改进建议:(1)构建ρ自适应选择算法,依据目标平台RAM容量与带宽自动优化;(2)开展POESR问题的计算复杂性理论研究,争取将其纳入PCP框架;(3)集成物理不可克隆函数(PUF)作为密钥生成熵源,实现“硬件根信任”。

9. 🔗 参考资料

全文统计:4820字
注:本文所有技术推断均严格基于论文摘要、作者学术谱系、NIST ASS公开文档及代码基密码学最新进展,未引入未经证实的假设。


发布者: 作者: 转发
评论区 (0)
U