มาตรฐานลายเซ็นสั้นอะไร?

ในบางแอปพลิเคชัน เช่น QR-code การบันทึก 25 ไบต์จาก 100 สร้างความแตกต่างในการใช้งาน

มีทางเลือกอะไรบ้างสำหรับรูปแบบลายเซ็นด้วย (เกณฑ์ที่สำคัญที่สุดก่อน)

1. ขนาดลายเซ็นที่เล็กที่สุดเท่าที่จะเป็นไปได้ (สำหรับลายเซ็นที่มีภาคผนวก) หรือขนาดที่เพิ่มให้เล็กที่สุดเท่าที่จะเป็นไปได้ (วัดที่ข้อความ 40 ไบต์โดยอำเภอใจสำหรับรูปแบบลายเซ็นที่มีการกู้คืนข้อความ แต่ฉันต้องการหลีกเลี่ยงสิ่งเหล่านี้) ที่ระดับความปลอดภัย 128 บิตที่คาดการณ์ไว้ (พยายามทำลาย เทียบได้กับการค้นหาคีย์ AES-128) ส่วนลด คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับ.
2. ที่ได้มาตรฐานหรือตรวจสอบโดย กอ.รมน, ไออีซี, ETSI, ANSI, คริปโตเคอเรนซี, กศน, สวพ.FM91, บีเอสไอ, เอสซีจี, ซีเอฟอาร์จี, มาตรฐานหรือร่างกายระดับชาติบางส่วน , unamit⦠หรือแม้แต่แอ็กทีฟ ไออีทีเอฟ อาร์เอฟซี หรือฉันทามติที่สมเหตุสมผลของผู้เชี่ยวชาญด้านการเข้ารหัสลับ
3. ไม่ใช่หรือไม่มีข้อจำกัดด้านสิทธิบัตรอีกต่อไป
4. ไม่ใช้ทรัพยากรมากเกินไปสำหรับการตรวจสอบ (อาจใช้ อสส-3072-256 เป็นวงเงิน).

จนถึงตอนนี้ฉันเห็น:

• รูปแบบ 64 ไบต์ที่ดีมากมาย: เอ็ด25519 รูปแบบใน RFC8032 และในไม่ช้า FIPS 186-5, ECDSA หรือ EC-SDSA-opt (EC-ชนอร์) ของ ISO/IEC 14888-3 กับ secp256r1, อสส-3072-256.
• รูปแบบ 48 ไบต์หนึ่งชุด: BLS12-381 (โบนี่-ลินน์-ชาแชม) แต่ไม่ได้รับการตรวจสอบโดยหน่วยงาน ดังนั้น AFAIK จึงล้มเหลว [2] (ฉันพบว่าเสนอโดยหมายเลขที่หมดอายุเท่านั้น ร่าง RFC), และ มีรายงานว่า ล้มเหลว [4]
• โครงร่างขนาด 48 ไบต์สองสามตัวพร้อมการกู้คืนข้อความ (จึงซับซ้อนกว่าที่จะใช้ / เป็นที่ต้องการน้อยกว่า) รวมถึง ECAO (อาเบะ-โอกาโมโตะ) ของ ISO/IEC 9796-3 (ซึ่งไม่ได้ใช้ทุกที่ที่ฉันรู้จัก), ECPVS (พินสตอฟ-แวนสโตน) ของ ANSI X9.92-1 (ซึ่งฉันคิดว่าล้มเหลว [3] จนกว่าจะแสดงเป็นอย่างอื่น)

ขาดสะดุดตาคือ ลายเซ็น Schnorr สั้น ๆ (ในกลุ่ม Elliptic Curve หรือ Schnorr) ซึ่งจะมีขนาดประมาณ 48 ไบต์ แต่ AFAIK ล้มเหลว [2] อาจไม่ได้มาตรฐานเนื่องจากมีลักษณะด้านความปลอดภัยที่น่ากังวลเล็กน้อย:

• การโจมตีด้วยกำลังเดรัจฉานที่ดีที่สุดบนแฮชเพียงอย่างเดียว (เช่น ด้วย ASIC เช่นเดียวกับการขุด bitcoin) ได้รับด้วยความน่าจะเป็น $1/n$ ข้อความลงนามของเนื้อหาที่ใช้งานได้จริงโดยมีค่าใช้จ่าย $2^{128}/n$ แฮชและหนึ่งเดียว เป็นที่รู้จัก คู่ข้อความ/ลายเซ็น เทียบกับราคา $\sqrtn$ สูงกว่าครั้งและหนึ่งแบบสอบถามลายเซ็นด้วย เลือก ข้อความสำหรับคู่แข่ง 64 ไบต์
• เจ้าของคีย์ส่วนตัวสามารถสร้างคู่ของข้อความที่มีเนื้อหาที่แตกต่างกันและใช้งานได้จริง แต่มีลายเซ็นเดียวกันโดยใช้ about $2^{66}$ กัญชา

¹ ฉันคิดว่าผู้คนมีอาการเท้าเย็นหลังจาก ตะแกรงฟิลด์หมายเลขทาวเวอร์ขยาย เข้าฝัน แก้ไขลง ประมาณการความปลอดภัยของเส้นโค้งที่เป็นมิตรต่อการจับคู่ก่อนหน้านี้คิดว่าปลอดภัยและ เปลี่ยนแผนการปรับใช้บางอย่าง. หัวเรื่องมี โตแล้ว ดังนั้น ซับซ้อน ผมตามไม่ได้ แต่จากที่เห็นคือ สรุปหน้าเดียว จากการประมาณการล่าสุด สำหรับการรักษาความปลอดภัย 128 บิต BLS12-381 ที่ดีที่สุดมีอัตรากำไรขั้นต้นไม่มากนัก และดูเหมือนว่า BN254 จะมีความเสี่ยง ในบางแอปพลิเคชันเป็นอย่างน้อย (ฉันไม่ทราบเกี่ยวกับลายเซ็น BLS)