LMS/HSS/XMSS编码唱歌参数

Question

LMS特别用于应用程序，如代码签名(https://csrc.nist.gov/CSRC/media/Publications/white-paper/2018/01/26/security-considerations-for-code-signing/final/documents/security-considerations-for-code-signing.pdf).给出表3中的参数列表( https://datatracker.ietf.org/doc/html/rfc8554#section-6.2 )，这些参数集最实用于哪些特定的代码签名应用程序和环境(路由器固件更新、用户操作系统更新、云嵌入式设备固件更新验证)？特别是关键的生命？

Answer 1

对于哪些特定的代码签名应用程序和环境(路由器固件更新、用户操作系统更新、云嵌入式设备固件更新验证)，这些参数集最实用？

那么，LMS最适合以下情况：

• 您需要很好的安全性(例如，后量程)；LMS假设SHA-256是强的(或者，对于其他一些参数集来说，奶昔256是强的)--它不作其他假设。
• 您不介意大规模的签名(与RSA或ECC签名相比，它们很大--它们与其他量子后签名算法相比相当好)。
• 您可以控制签名过程；具体来说，您可以确保不会意外地重用状态。

最后一个标准是大多数应用程序的关键标准；很难看出如何在(比如说) PC上使用它，因为我们很可能会将状态存储在磁盘上，如果磁盘被备份和恢复，我们就失去了状态跟踪。

另一方面，如果您有一个集中的签名者，并且可以确保正确地管理状态(最好是在HSM上)，那么它就能工作了。

特别是关键的生命？

每个LMS密钥都对它可以生成的签名数有一个绑定；这就是我们所说的“密钥生存期”；显然，如果每次更新生成一个签名，则希望将此绑定设置为高于所生成的更新数。我个人并不认为它是一个主要的问题，因为我们可以很容易地将这个限制设置为如此巨大(例如2^{60})，以至于我们永远不会达到它。这确实会增加签名的大小，但不会大幅增加。