NTRUSign (被认为已失效)是一种或几次PQ签名方案

Question

正如许多人所知道的，原始NTRUSign被认为是坏的作为签名泄漏有关私钥的信息。

但是，要完成一次中断，需要一些签名，而原始的断线纸需要几百个签名。

这个签名方案是否仍可作为一次或几次签名方案使用？在这种情况下，它的安全性是什么？与WOTS相比，它的优势在于速度更快。

Answer 1

引用RFC4270

美国国家安全局(NSA)内部有句老话：“攻击总是变得更好，永远不会变得更糟。”

人们避免使用已知攻击的密码协议的主要原因之一就是上述智慧。从本质上说，这些攻击表明协议中存在一个固有的弱点，并且经常遵循以下的工作来提高攻击的有效性。如果你真的想使用已知弱点的协议，你需要两者兼而有之。

• 有充分的理由认为，对已知攻击的可能改进不会接近参数，如果它会破坏您的安全。就你的情况而言，这意味着没有办法将攻击所需的签名数目从几百个增加到几个，或者至少没有人会在相关的时间框架内找到签名。
• 获得很强的优势，比如速度。

由于NTRU签名协议的主要实际兴趣是它们的后量子安全性，这意味着考虑到改进攻击的时间尺度--您的对手需要几十年才能拥有一台用于密码分析的量子计算机(否则，使用RSA !)。鉴于过去的密码分析的历史，我真的不相信一个人可以有任何保证，更有效的攻击NTRUsign将不会发现在未来20年！