SQIsign

Q: กลไกภายใน

SQIsign เป็น โปรโตคอลซิกมา สำหรับ การพิสูจน์ความรู้ ที่แปลงเป็นรูปแบบลายเซ็นโดยใช้การแปลง Fiat-Shamir ความรู้ที่ได้รับการพิสูจน์คือเอนโดมอร์ฟิซึมเส้นโค้งวงรี [ 7 ] : 5

Q: การนำไปใช้

มีตัวอย่างการใช้งานที่เผยแพร่บน GitHub แล้ว

SQIsign
ทั่วไป
นักออกแบบ	ฮอร์เก้ ชาเวซ-ซาบ, มาเรีย คอร์เต้-เรอัล ซานโตส, ลูก้า เด เฟโอ, โจนาธาน โคมาด้า อีริคเซ่น, บาซิล เฮสส์, เดวิด โคเฮล, อันโตนิน เลอรูซ์, แพทริค ลองก้า, มิเชล เมเยอร์, ลอเรนซ์ แพนนี่, ซิกฮาร์ ปาตรานาบิส, คริสตอฟ เปอตีต์, ฟรานซิสโก โรดริเกซ เฮนริเกซ, ซิน่า เชฟฟ์เลอร์, เบนจามิน เวโซโลฟสกี้
เผยแพร่ครั้งแรก	1 มิถุนายน 2566
รายละเอียดรหัสลับ
ขนาดกุญแจ	64, 96 หรือ 128 ไบต์ ขึ้นอยู่กับชุดพารามิเตอร์NIST
โครงสร้าง	กราฟไอโซจีนีซูเปอร์ซิงกูลาร์
บริการวิเคราะห์รหัสลับสาธารณะที่ดีที่สุด
	ไม่มีการโจมตีที่ทราบ ตัวแปร SQIsign2D-East มีช่องโหว่เฉพาะ

SQIsignเป็นระบบลายเซ็น ดิจิทัลหลังควอนตัม ที่ส่งเข้าสู่รอบแรกของ กระบวนการ กำหนดมาตรฐานหลังควอนตัมโดยมีพื้นฐานมาจากการพิสูจน์ความรู้ของ เอน โดม อร์ฟิซึมเส้นโค้งวงรี^[^a^]ที่สามารถแปลงเป็นระบบลายเซ็นดิจิทัลโดยใช้การแปลง Fiat–Shamir

SQIsign ให้คำมั่นว่าจะมีขนาดคีย์เล็กระหว่าง 64 ถึง 128 ไบต์ และขนาดลายเซ็นเล็กระหว่าง 177 ถึง 335 ไบต์ ซึ่งมีประสิทธิภาพเหนือกว่าระบบลายเซ็นหลังควอนตัมอื่นๆ ที่ต้องแลกเปลี่ยนระหว่างขนาดลายเซ็นและขนาดคีย์ อย่างไรก็ตาม SQIsign มีเวลาในการลงนามและตรวจสอบที่สูงกว่า^{[ 4 ]} เอกสารต้นฉบับสรุปว่า การใช้งาน C ของพวกเขา ใช้เวลา 0.6 วินาทีสำหรับการสร้างคีย์ 2.5 วินาทีสำหรับการดำเนินการลงนาม และ 0.05 วินาที หรือ 50 มิลลิวินาทีสำหรับการดำเนินการตรวจสอบ^{[ 5 ]}

เวลาเหล่านี้ได้รับการปรับปรุงด้วยรูปแบบใหม่ เช่น SQIsign-east ^{[ 6 ]}

ชื่อนี้ย่อมาจาก "Short Quaternion and Isogeny Signature" เนื่องจากมีการใช้ไอโซจีนีและควอเทอร์เนียน

กลไกภายใน

SQIsign เป็นโปรโตคอลซิกมาสำหรับการพิสูจน์ความรู้ที่แปลงเป็นรูปแบบลายเซ็นโดยใช้การแปลง Fiat-Shamir ความรู้ที่ได้รับการพิสูจน์คือเอนโดมอร์ฟิซึมเส้นโค้งวงรี^{[ 7 ]}^{: 5}

SQIsign ทำงานบนเส้นโค้งวงรี เป็นหลัก เส้นโค้งวงรีสองเส้นและสามารถเชื่อมต่อกันด้วยไอโซจีนี ซึ่ง เขียนแทนด้วยซึ่งแมปองค์ประกอบทั้งหมดของไปยังปัญหาพื้นฐานที่การเข้ารหัสแบบไอโซจีนี เช่น SQIsign ยึดถือ เรียกว่าปัญหาเส้นทางไอโซจีนี และสามารถกำหนดได้ว่า "หาไอโซจีนีที่กำหนดให้และ" ซึ่งเชื่อกันว่าเป็นปัญหาที่ยาก เอนโดมอร์ฟิซึมของเส้นโค้งวงรีคือไอโซจีนีที่แมปไปยังตัวมันเอง นั่นคือเซตของเอนโดมอร์ฟิซึมทั้งหมดของเส้นโค้งวงรีเรียกว่าวงแหวน เอนโดมอร์ฟิซึม ซึ่งเขียนแทนด้วยปัญหาเอนโดมอร์ฟิซึมสามารถกำหนดได้ว่า "กำหนดให้หา" แม้แต่การคำนวณส่วนที่ไม่สำคัญของก็ยังยากพอๆ กับการคำนวณ ทั้งหมดปัญหานี้เป็นที่รู้กันว่ายากพอๆ กับปัญหาเส้นทางไอโซจีนีสำหรับเส้นโค้งซูเปอร์ซิงกูลาร์ เช่น เส้นโค้งที่ SQIsign ใช้ นอกจากนี้ เมื่อกำหนดเส้นโค้งวงรีสองเส้นและแล้ว เราสามารถคำนวณเส้นโค้งวงรีเส้นใดเส้นหนึ่งได้เมื่อกำหนดเส้นโค้งวงรีอีกสองเส้นในเวลาพหุนาม กล่าว คือ ปัญหานั้นง่าย^[⁷^]^{: 5} $E_{1}$ $E_{2}$ $\varphi$ $\varphi :E_{1}\rightarrow E_{2}$ $E_{1}$ $E_{2}$ $\varphi :E_{1}\rightarrow E_{2}$ $E_{1}$ $E_{2}$ $E$ $E$ $\varphi :E\rightarrow E$ ${\textrm {End}}(E)$ $E$ ${\textrm {End}}(E)$ ${\textrm {End}}(E)$ ${\textrm {End}}(E)$ $E_{1}$ $E_{2}$ $({\textrm {End}}(E_{1}),{\textrm {End}}(E_{2}),\varphi :E_{1}\rightarrow E_{2})$

โปรโตคอลซิกมาทำงานดังนี้ ผู้พิสูจน์มีและและเผยแพร่เป็นคีย์สาธารณะของตนในขณะที่เก็บเป็นคีย์ส่วนตัว จากนั้นผู้พิสูจน์พยายามโน้มน้าวผู้ตรวจสอบว่าพวกเขารู้ซึ่งยากที่จะคำนวณจาก เพียงเนื่องจากปัญหาเอนโดมอร์ฟิซึม^[⁷^]^{: 5} โปรโตคอลดำเนินไปใน 4 ขั้นตอน ในขั้นตอนที่ 1 ผู้พิสูจน์ยืนยันเส้นโค้งวงรีแบบสุ่มและและส่งไปยังผู้ตรวจสอบ^[⁷^]^{: 5} ในขั้นตอนที่สอง ผู้ตรวจสอบสร้างไอโซจีนีแบบสุ่มและเส้นโค้งวงรีที่สอดคล้องกันเนื่องจากปัญหาเส้นทางไอโซจีนี จึงยากที่จะคำนวณไอโซจีนี[ ⁷^]^:⁵ ในขั้นตอนที่สาม ผู้พิสูจน์คำนวณจาก(เช่น คีย์ส่วนตัวของพวกเขา) และเนื่องจากปัญหานี้ง่าย จากนั้นพวกเขาจะคำนวณไอโซจีนีที่แมปจากเส้นโค้งวงรีที่ผูกพันจากเฟส 1 ไปยังเส้นโค้งวงรีที่ท้าทายจากขั้นตอนที่ 2 ซึ่งสามารถทำได้ก็ต่อเมื่อทราบวงแหวนเอนโดมอร์ฟิซึมของกุญแจสาธารณะของผู้พิสูจน์^[⁷^]^{: 5} ในเฟสที่สี่ ผู้ตรวจสอบจะตรวจสอบว่าไอโซจีนีแมปจากเส้นโค้งวงรีที่ผูกพันไปยังเส้นโค้งวงรีที่ท้าทายจริงหรือไม่^[⁷^]^{: 5} $E_{pk}$ ${\textrm {End}}(E_{pk})$ $E_{pk}$ ${\textrm {End}}(E_{pk})$ ${\textrm {End}}(E_{pk})$ $E_{pk}$ $E_{com}$ ${\textrm {End}}(E_{com})$ $E_{com}$ $\varphi _{chl}:E_{pk}\rightarrow E_{chl}$ $E_{chl}$ $\varphi :E_{pk}\rightarrow E_{chl}$ ${\textrm {End}}(E_{chl})$ ${\textrm {End}}(E_{pk})$ $\varphi _{chl}:E_{pk}\rightarrow E_{chl}$ $\varphi _{rsp}:E_{com}\rightarrow E_{chl}$

เพื่อให้โปรโตคอลซิกมาปลอดภัย เฟส 4 จะต้องได้รับการแก้ไขด้วยการตรวจสอบที่ไม่ใช่ไอโซจีนีย่อยเนื่องจากผู้โจมตีอาจโกงและจัดเตรียมไอโซจีนีปลอมโดยไม่ทราบอย่างน้อยบางส่วนของวงแหวนเอนโดมอร์ฟิซึม^[⁷^]^{: 6} $\varphi _{chl}$ $\varphi _{rsp}$

SQIsign จะตรึงคู่และแสดงคีย์ส่วนตัวเป็นและการยืนยันเป็นแม้ว่าการคำนวณนี้จะเทียบเท่ากับกระบวนการที่อธิบายไว้ข้างต้นก็ตาม^[⁷^]^{: 6} $(E_{0},{\textrm {End}}(E_{0}))$ $\varphi _{sk}:E_{0}\rightarrow E_{pk}$ $\varphi _{com}:E_{0}\rightarrow E_{com}$

โปรโตคอลการพิสูจน์ความรู้จะถูกแปลงเป็นรูปแบบลายเซ็นโดยใช้การแปลง Fiat-Shamir ^{[ 7 ]}^{: 5}

ความปลอดภัย

ความปลอดภัยของ SQIsign ขึ้นอยู่กับความยากของปัญหาวงแหวนเอนโดมอร์ฟิซึม ซึ่งปัจจุบันถือว่ายาก^{[ 8 ]}^{[ 9 ]}

ผู้เขียนยังได้ให้เหตุผลสำหรับพารามิเตอร์ที่เลือกไว้ในบทสุดท้ายของข้อกำหนดด้วย^{[ 1 ]}

แม้ว่า SQIsign จะใช้โครงสร้างที่คล้ายกัน แต่จุดอ่อนของSIDHก็ไม่ได้ถูกถ่ายทอดไปยัง SQIsign ^{[ 1 ]}

มีหลักฐานความปลอดภัยสำหรับ SQIsign ^{[ 10 ]}

การนำไปใช้

มีตัวอย่างการใช้งานที่เผยแพร่บนGitHubแล้ว

SQIsign 2.0

ทีมงานเบื้องหลัง SQIsign ได้ปรับปรุงการออกแบบเดิมในการส่งผลงานรอบที่ 2 และรวมการปรับปรุงจาก SQIsign2D-West เวอร์ชันต่างๆ เข้าไว้ด้วย^{[ 7 ]}

สิ่งนี้ได้ปรับปรุงเวลาในการลงนามให้ดีขึ้นถึง 20 เท่า และเวลาในการตรวจสอบให้ดีขึ้นถึง 6 เท่า ในขณะเดียวกันก็เพิ่มระดับความปลอดภัยและลดขนาดลายเซ็นลง 14% ^{[ 7 ]}^{: 6}

ตัวแปร

มีรูปแบบต่างๆ สองสามแบบที่อิงตาม SQIsign ดั้งเดิม: ^{[ 11 ]}

SQIsignHD: มิติใหม่ในการเข้ารหัส^{[ 12 ]}
SQIsign2D-West: รวดเร็ว เล็ก และปลอดภัยยิ่งขึ้น^{[ 13 ]}
SQIsign2D‑East: รูปแบบลายเซ็นใหม่ที่ใช้ไอโซจีนี 2 มิติ^{[ 3 ]}
SQIPrime: รูปแบบมิติที่ 2 ของ SQISignHD ที่มีไอโซจีนีความท้าทายที่ไม่ราบเรียบ^{[ 14 ]}
SQIsign2D ² : การปรับปรุงการออกแบบ SQIsign2D ^{[ 15 ]}

[ 1 ]

[ 2 ]

[ 3 ]

[

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]