Tiêu chuẩn chữ ký ngắn nào?

Trong một số ứng dụng như mã QR, việc tiết kiệm 25 byte trên 100 sẽ tạo ra sự khác biệt về khả năng sử dụng.

Có sự lựa chọn nào cho sơ đồ chữ ký với (tiêu chí quan trọng nhất trước)

1. Kích thước chữ ký càng nhỏ càng tốt (đối với chữ ký có phụ lục) hoặc kích thước được thêm vào càng nhỏ càng tốt (được đo ở thông báo tùy ý 40 byte cho lược đồ chữ ký có khôi phục thông báo, nhưng tôi muốn tránh những điều này), ở mức bảo mật 128 bit được phỏng đoán (nỗ lực phá vỡ so sánh với tìm kiếm khóa AES-128) chiết khấu Máy tính lượng tử liên quan đến mật mã.
2. Chuẩn hóa hoặc hiệu đính bởi iso, IEC, ETSI, ANSI, mật mã, NIST, ANSI, BSI, SECG, CFRG, một số tiêu chuẩn quốc gia hoặc cơ quan, unamitâ¦, hoặc thậm chí là một hoạt động IETF RFC hoặc sự đồng thuận hợp lý của các chuyên gia về tiền điện tử.
3. Không hoặc không còn vướng mắc về bằng sáng chế.
4. Không quá tốn tài nguyên để xác minh (có thể sử dụng DSA-3072-256 làm giới hạn).

Cho đến nay tôi thấy:

• Nhiều sơ đồ 64 byte tốt: Ed25519 biến thể trong RFC8032 và như thế FIPS 186-5, ECDSA hoặc EC-SDSA-opt (EC-Schnorr) của ISO/IEC 14888-3 với secp256r1, DSA-3072-256.
• Một sơ đồ 48 byte: BLS12-381 (Boney-Lynn-Shacham), thay vì không được chính quyền xem xét¹, do đó AFAIK thất bại [2] (Tôi thấy nó chỉ được đề xuất bởi một tài khoản đã hết hạn không được đánh số dự thảo RFC), và báo cáo thất bại [4].
• Một số sơ đồ 48 byte có khôi phục thông báo (do đó phức tạp hơn để sử dụng/ít mong muốn hơn), bao gồm ECAO (Abe-Okamoto) của ISO/IEC 9796-3 (không được sử dụng ở bất cứ đâu tôi biết), ECPVS (Pinstov-Vanstone) của ANSI X9.92-1 (mà tôi coi là không thành công [3] cho đến khi được hiển thị khác).

Đáng chú ý vắng mặt là chữ ký Schnorr ngắn (trên Đường cong Elliptic hoặc nhóm Schnorr), sẽ có dung lượng khoảng 48 byte, nhưng AFAIK không thành công [2]. Có lẽ nó không được tiêu chuẩn hóa vì nó có các đặc điểm bảo mật hơi đáng lo ngại:

• Cuộc tấn công vũ phu tốt nhất chỉ vào hàm băm (ví dụ: với ASIC như trong khai thác bitcoin) có xác suất đạt được $1/n$ một thông điệp có chữ ký về nội dung thiết thực với chi phí $2^{128}/n$ băm và một chỉ đơn thuần đã biết cặp tin nhắn/chữ ký, so với chi phí $\sqrt n$ cao hơn nhiều lần và một truy vấn chữ ký với đã chọn tin nhắn cho đối thủ cạnh tranh 64 byte.
• Người nắm giữ khóa riêng có thể tạo các cặp thông báo có nội dung thiết thực và khác nhau nhưng có cùng chữ ký bằng cách sử dụng about $2^{66}$ băm.

¹ Tôi nghĩ mọi người bị lạnh chân sau Sàng trường số tháp mở rộng xúi giục sửa đổi xuống các ước tính bảo mật trước đó về các đường cong thân thiện với việc ghép nối trước đây được cho là an toàn và thay đổi một số phương án đã triển khai. chủ đề có tăng Vì thế phức tạp Tôi không thể làm theo, nhưng từ những gì dường như là một tóm tắt một trang trong số các ước tính mới nhất xung quanh, đối với bảo mật 128 bit, tốt nhất là BLS12-381 không có nhiều lợi nhuận và BN254 dường như có nguy cơ, ít nhất là trong một số ứng dụng (tôi không biết chữ ký BLS).