带Poly1305的Winternitz+

Question

使用温蒂茨OTS+作为参数化的MAC实现Poly1305是否安全？它非常快速，而且显然非常安全，但请注意，密钥不能不止使用一次，这对此应用程序来说是很好的。有没有人知道Poly1305是否有任何与普通HMAC不同的特性，使其对此应用程序不安全？

Answer 1

WOTS+需要一系列抗二次预成像，无法检测的单向函数.任何MAC都很可能不满足这一要求，而MAC的定义肯定是不够的。

有一个名为WOTS的WOTS版本(稍后)，它使用PRF。然而，最近发现WOTS文件(见这篇论文)有一个缺陷.目前还不知道如何修正证据。虽然这不允许攻击，但在有人找出修复之前，不建议使用PRF实例化WOTS。请注意，此缺陷仅限于WOTS+的证明，不涉及任何其他变体，如WOTS+。