Nó có hợp pháp không?
Không, và bạn nhấn mạnh vào lý do - thuật toán chuyển đổi thông báo thành một chuỗi 16 giá trị từ 1 đến 128, sau đó ký hiệu chỉ dựa trên giá trị đó. Đó là tổng cộng 112 bit; trên thực tế, nó còn tệ hơn thế một chút, vì thuật toán họ sử dụng để chuyển đổi hàm băm thông báo thành chuỗi 16 giá trị sẽ tạo ra các giá trị luôn có tổng (mod 128) thành 64;. Điều đó có nghĩa là với một cặp tin nhắn/chữ ký hợp lệ, bạn có thể tìm thấy hình ảnh thứ hai chuyển thành 15 giá trị đầu tiên giống như vậy [1] (và do đó sẽ là một tin nhắn hợp lệ cho cùng một chữ ký) với giá trị dự kiến $O(2^{105})$ cố gắng. Tệ hơn nữa, vì bản dịch không liên quan đến bất kỳ sự ngẫu nhiên nào, bạn có thể mong đợi tìm thấy sự xung đột (và sau đó yêu cầu một thư được ký; thư thứ hai có cùng chữ ký đó sẽ là giả mạo) $O(2^{52,5})$ cố gắng.
Bài báo cũng đưa ra một loạt các tuyên bố sai lầm; đây là những cái nhảy ra với tôi:
Họ tuyên bố rằng "Các loại chương trình OTS/FTS khác (ngoại trừ WOTS và các chương trình của nó
các biến thể) không có khả năng cho phép tính toán các
khóa công khai từ chữ ký trừ khi có một bộ bổ sung khổng lồ
thông tin được cung cấp cho người xác minh."; điều này là không chính xác. Đối với mọi sơ đồ chữ ký dựa trên hàm băm mà tôi đã thấy, quy trình xác minh về cơ bản là "lấy tin nhắn, chữ ký và có thể là một lượng nhỏ dữ liệu từ khóa chung, tính toán một loạt các giá trị băm và nếu kết quả khớp với những gì có trong khóa chung, thì bạn thắng". Nghĩa là, tất cả những gì bạn cần để tạo lại khóa chung là "lượng dữ liệu có thể nhỏ" này, chứ không phải "một bộ thông tin bổ sung khổng lồ ". Một điểm nhỏ, ngoại trừ việc họ nhấn mạnh điều này nhiều lần.
Đánh giá của họ, bao gồm so sánh với một số sơ đồ chữ ký dựa trên hàm băm khác đã chọn (nhưng không có gì với tham số W lớn); tuy nhiên, họ nhấn mạnh rằng họ chạy các sơ đồ cạnh tranh với kích thước băm (giá trị n) lớn phi thực tế - họ lưu ý rằng sơ đồ của họ (có tham số W lớn và giá trị n nhỏ hơn) dẫn đến chữ ký nhỏ hơn; không ngạc nhiên khi họ đặt ngón tay cái lên bàn cân một cách nặng nề.
Họ cũng tuyên bố rằng "Cuối cùng, NOTS đã đạt được tất cả những giảm thiểu này
trong kích thước khóa và chữ ký mà không ảnh hưởng đến mức độ bảo mật"; mặc dù nhìn lướt qua bảng của họ cho thấy rằng họ cho rằng NOTS có mức độ bảo mật thấp hơn đáng kể (không tính điểm tôi đã nêu ở trên về việc nó thậm chí không đạt được điều đó như thế nào).
Đối với các bằng chứng bảo mật của họ, tốt, bao gồm các thuật toán mà họ cung cấp sẽ giả mạo và tạo ra xung đột; tuy nhiên, xem qua thuật toán cho thấy rằng, ngay cả khi được giả mạo, nó có thể thất bại (nghĩa là không tạo ra xung đột); do đó nó không hợp lệ như một bằng chứng.
[1]: Sau khi bạn bắt đầu trận đấu vào ngày 15 đầu tiên, bạn sẽ luôn nhận được trận đấu vào ngày 16.
