基于HMAC纠缠链的数字签名及其在量子时代的应用

ð Þð Þ工程科学与技术，国际期刊32（2022）101076审查基于HMAC纠缠链的数字签名路易斯·阿德里安·利萨马-佩雷斯Sección de Posgrado de la Universidad Politécnica de Pachuca，Ex-Hacienda de Santa Bárbara，43830，Zempoala，伊达尔戈州，墨西哥阿提奇莱因福奥文章历史记录：2021年8月9日收到2021年10月7日修订2021年11月8日接受2021年11月30日网上发售保留字：HMAC散列链数字签名A B S T R A C T在这项工作中，我们提出了一个新的数字签名方法的基础上哈希链和哈希消息认证码（HMAC）。与区块链技术不同的是，我们的方法建立了交易数据库分布在用户之间，因此每个用户都维护一个名为单链的个人记录。Lizama HMAC协议定义了一种双重认证机制，用于验证签名的来源和目的地。我们的分析表明，该系统生成的块大小约为6 KB，使用SHA-256执行双重身份验证，使其成为使用公钥基础设施的数字签名的一个有前途的替代方案。由于该方法是基于哈希函数和哈希链的数学性质，因此可以正确地评估该方法的安全性，从而实现量子时代的鲁棒数字签名方法。©2021 Karabuk University. Elsevier B.V.的出版服务。这是CCBY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍量子计算是一种新的计算范式，它是根据量子物理学原理构思的，至少在理论上能够解决复杂的计算问题。由于这种新的计算模型，目前支持信息安全的数学问题虽然它们仍处于实验室阶段，但美国国家标准与技术研究所（NIST）已经开始对称为后量子的下一代加密算法进行第三轮评估[1，2]。在此之前，我们已经开发了新的后量子密码算法，利用量子物理学的原理[3，4]。在这项工作中，我们提出了一个新的数字签名方案，是基于HMAC函数和哈希链的数学性质。值得注意的是，散列函数是后量子函数类别的基础，并且已知至少在理论上部分易受Grover量子算法的攻击幸运的是，对于散列函数的特定情况，我们将其表示为f x，量子搜索方法可以通过增加散列值的大小来方便地克服。由于Grover的算法将搜索空间减少了一半，因此256位的大小被认为是量子时代的安全值。让● 任意数据 大小输入jxj。● 固定数据大小输出jfxj（例如128、160、256位等）。● 可以计算。 对于所有的x，很容易计算fx。● 单向功能。对于任何给定的散列值h，在给定f=x=h的情况下找到x在计算上是不可行的。● 抗碰撞简单。 对于任何给定的输入x，在计算上不可能找到y- x，使得f y f x。● 抗强烈碰撞。在计算上不可能找到任何一对f =x; y =x，使得f =x=f/y。存储容量是实施区块链时最大的问题。在传统系统中，每个节点必须处理和存储整个区块链，因为区块被复制到所有节点，这些节点维护所有区块的本地副本，包括创世区块。目前，一个节点需要大约353.62 GB来存储整个区块链，但在实际中，将所有区块都保存在每个节点上是不可行的以每秒100个区块链活动的交易计算，每个区块估计有1000个交易，因此每年需要0.659此外，区块链需要链上数据存储和智能合约所需的数据的链下存储，以进行验证和记录。因此，在许多情况下，在节点具有有限的计算和存储资源的情况下，不可能正确处理区块链的大小[6，7]。为了解决可扩展性问题，我们提出了一种分布式区块链方法，称为Singlechain，其中每个用户负责自己的区块链，并且能够验证他将要与之建立交易的用户的区块链。电子邮件地址：luislizama@upp.edu.mxhttps://doi.org/10.1016/j.jestch.2021.11.0022215-0986/©2021 Karabuk University.出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表工程科学与技术国际期刊杂志主页：www.elsevier.com/locate/jestch路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010762单链使用HMAC函数通过哈希链定义签名方法，在交易的起点和终点之间实现双重认证方法。这种认证大大提高了系统的安全性，而不可能只使用哈希函数来定义它。令人惊讶的是，这个属性不影响perfor-曼斯的方法在关键字大小和执行时间相比，主要的签名算法。本文档的其余部分结构如下：在第2节中，我们将简要解释数字签名方案，然后在第3节中，我们将解释基于散列函数的签名方法。随后，在第4节中，我们提出了一个渐进的构造的HMAC函数为基础的签名方法。第5节专门定义基于HMAC的签名的存储结构和存储要求最后，在第6节中，我们提出了一个比较我们的方法与主要的数字签名算法。2. 数字签名数字签名是一种加密原语，允许用户毫无争议地验证消息/文件实际上是由其合法所有者发布的，该合法所有者在服务平台上被公开标识目前，主要的数字签名方案的安全性都是基于解决某些数学问题的困难性，特别是整数因子分解问题和离散对数问题。数字签名方法包括RSA密码系统[8，9]、Rabin密码系统[10]和数字签名算法（DSA）[11，12，9]。不幸的是，警告说，只要量子计算机技术可用，Shor图1（a）示出了使用HMAC功能的基本消息认证方案，其允许验证消息来源。该方案要求用户事先共享一个密钥。相比之下，图1（b）中的签名方案不需要共享密钥，因为它使用Alice的公钥来验证签名。其他签名方法将其优势放在散列函数的安全性上，例如一次性签名（OTS）[14]，带有Merkle树的OTS[15在这项工作中，我们将讨论一种新的方法的基础上的消息认证码（HMAC）和哈希链属性。在以前的工作中，我们引入了一个新的概念，称为哈希纠缠，以构建一个新的数字签名方法[19]。我们采用的方法最重要的优点是它允许对数字签名进行双重认证。以下是使用哈希函数的主要优点● 众所周知的安全基础。● 有多种算法可用。● 一个后量子时代的承诺性选择。● 轻松快速地计算哈希链。● 已经开发了特定的硬件来计算散列链。3. 基于哈希的签名我们将从描述基于哈希函数的签名方法开始。但是，让我们首先介绍一下我们将在下面几节中使用的符号。图1.一、（a）在HMAC协议中，Alice和Bob共享秘密密钥ks，然后在Bob接收到HMAC散列后，他计算mA>ks以验证HMAC散列mA>ks，但它本身不提供数字签名，以及（b）签名方案，其中Alice<<<< H mA>PrA>PuA ¼¼ hmA.符号<>表示加密/解密过程， 表示消息ma的散列摘要（参见表1）。路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010763●-●ð Þð ÞN一ð Þ我一我NN-1i-1i-1得到hmAhm AN-hm A一.Σ3.1. 符号系统表1包含我们将用于描述我们的方法的数学符号和符号我们希望这个符号将有助于我们在这里提出的算法的解释。其中我们区分以下主要情况：f N-xs在哈希链中定义哈希值。指数NX定义了散列链中的散列长度，该散列长度被测量为散列函数应用于种子s的数量。● fxfN-xsfNs，因为指数遵循正则加法规则，因此xN-xN。3.2. 基于哈希链的基本协议下一节解释了HMAC签名机制的渐进式构造，但是我们将回顾[19]中引入的基于散列的签名的操作。3.2.1. 签字过程在不深入协议的一些细节的情况下，让 对于这个解释，考虑图2。 2和3：1. Alice随机选择一个整数sA作为她的私钥，她计算fN sA，然后将其作为她的公钥发布，其中f是所选择的散列函数，N是一个大的公钥，和固定整数，因此N表示哈希链的长度2. Alice在发给Bob的消息mA上签名，然后使用sAshe图二.基本签名过程根据以下参数执行：N是共享的大整数，f是所选择的散列函数，并且fNsA;sA是Alice图三.避免MITM攻击的验证机制。签名和验证长度从散列链的头部开始测量fN =1，在左手边。 在该示例中，VER 1被计算为SIGN 0-d 1，其中d1¼h1-h0h1。在散列链的方向上放置在原始散列的右侧（参见图1和图2）。第3和第4段）。得到f N-hmAs A其中h m表示f m A，并发送给Bob以及消息mA。3. Bob接收到fN-hmAsA和mA。为了验证签名，Bob一 使用m他计算出了ffs，因此他将其与爱丽丝的公钥f N s A进行了比较如果它们相同签名已经核实。该过程可以继续以允许其他消息被签名。3.2.2. 安全[19]中介绍的哈希链协议依赖于一种机制来避免MITM攻击。每次Alice签署新消息mi时，它们被定义为三个散列：1. 当前签名散列fN-hmisi2. 新的公钥fNsi1因此，在步骤2中，Alice生成一个新的私钥，3. 验证散列fN-h- 我知道Hhmi-1·hmis上计算新的公钥。在此，有两个方面必须仔细分析。如果我们选择SHA-上一个哈希链mi-1我-N-1256作为散列函数，所需的N的大小必须大于2256，因此散列链的长度过长而无法处理。我们稍后再讨论这个问题。第二问题是，这个计划很容易受到中间人的攻击。攻击（MITM），因为Eve可以拦截Alice必须完成两项测试：1. 签名散列测试f hmifN-hmisifNsi2. Verification–hashN-hmA是n，她可以用另一个哈希值h0替换它，F.Hhmi-1·hmi。fN-h-我知道Hhmi-1·hmisfN-hs表1方案中使用的符号。当hm表示为指数时，应将其视为整数。符号描述fsi应用于种子siN公共哈希链用户U（A，B）的私钥，[k]表示si的k个分区fNsi，fNsU½k]U用于对消息i进行签名的公钥Ui要签名的用户U（A，B）的消息ihUi，hUi½k]消息i的散列和hUi的k个分区N-hUi，N-hUi½k]消息i的签名长度SIGN和签名-消息i的长度数组SIGN½k]þF我-mi-1我-¼¼路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010764N-h Ui -dUi，N-hUi½k]-dUi½k]消息i的验证长度VER和验证长度数组VER[k]见图4。如果伊芙截获了f信号1 S她可以用fSIGN10来. 然而，在这方面，使用密钥fN-1{s}的fN-1 {s}h U½k]的HMAC版本0ð1Þð1ÞVER根据Eq。1f1s0位于Alice的验证哈希f的左侧1秒等于0秒。路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010765我ð Þ ð ÞN1Nj j j jN10NN--11佛罗里达岛fVERisi11/4fSIG Ni-1位数i1位数版本i¼签名i-1-diSIGNi-1 ¼N-hmi-1ð1Þd¼hm -hmi-1·hmi我N如果hmi0 VERi如图 验证散列被放置在先前的散列链上，使得其位置由当前签名散列定义。当量1表明，如果窃听者引入了位于原始散列右侧的签名散列，则她被迫导出位于验证散列左侧的散列值，这需要反转（多次）散列函数。请注意，散列长度SIGNi和VERi是从散列链的头部沿着散列链向左侧测量的。3.3. 一个简单的运行示例为了克服哈希链的大小问题，我们将256位哈希值分成16个整数，每个整数16位这种方法要求我们使用16个哈希链，而不是使用哈希链，每个哈希链都用于部分签名消息哈希。如[19]所示，这种策略可以在实践层面上得到适当处理，另请参见discussion部分。现在，让我们展示一个简单的例子，N1/216-1，因此k1/216和hA1/216]表示由16个整数组成的向量，每个整数为16位。1. Alice随机生成16个256比特的种子：s0½ 1 6]/fs0;0;s0;1;. . . s0;15g.2. 她将SHA-256应用于每个种子N来计算公钥图五、 HMAC函数将消息mA和密钥fN-1=A作为输入。N是一个大的共享整数，f是所选择的哈希函数，ffNsA;sAg是Alice的公钥/私钥4.1. 基本HMAC协议图图5示出了具有签名密钥f N-1的 HMAC 函 数。在这里，消息m A的HMAC被写为fN-1sA。假设Alice和Bob交换了他们的公钥，f N s A和f N s B，爱丽丝继续计算如图5所示的m A的HMAC，并将其发送给鲍勃。这种方法在[18]中介绍，并在图8中说明。鲍勃响应与f N-1≤B≤。爱丽丝认证鲍勃如果ff N-1s Bf Ns B。然后，Alice发送消息m A，f N-1将A发送给Bob，Bob验证密钥f N-1将A发送给Bob，Bob验证消息的HMAC，该消息的HMAC为fN-1将A发送给Bob。不幸的是，在多用户环境中，该协议易受MITM攻击，并且仅推荐用于点对点连接或通过证书颁发机构。4.2. 作为指数的图中的方案。 6显示了当签名密钥在散列函数的指数中包含消息时的HMAC函数times：ff Ns00;f s01;. ; f sg.;0; 15当f N-mA1s A。3. Alice获得消息A 0的散列，即h0¼fA0。4. 她将h0转换为二进制，从而将其分为16个16位的二进制数。然后她将 每 个 二 进 制 数 转 换 为 整 数 。让 我 们 称 它 们 为 h0½16]1/4fh0;0;h0;1;.. . ;h0;15g.5. 第一个签名长度m0被推导为N-h0; 0，第二个签名长度m0被推导为N-h如N-h0; 1等等。6. Alice对消息m 1重复步骤1对于m1，第一个签名长度为N-h1; 0，第二个签名长度为N-h1; 1，以此类推.7. 另一方面，Bob正确地测试了第一个签名散列提供fh1;0fSIGN1;0s10fNs10：不幸的是，这种方法作为技术水平是不可行的，因为需要NPm，从而严重限制了M. 然而，某些类型的预定义命令消息仍然是因此，在这种情况下，不显示消息交换协议4.3. 消息散列作为指数，带有验证散列图 7示出了当签名密钥包含消息h A的散列时的HMAC函数 在指数fN-hA1sA，其中A1表示第1轮中Alice的签名消息。该议定书还包括的验证散列到避免一MITM攻击的情况。如前一节所述，因此HMAC8. 爱丽丝要求hA;fVERN h、其中fVERA1 1/4fN-hA1-dA1sA，1h0; 0·h 1; 0VER 1; 0 1/4 SIGN 0; 0-h1;01/4，依此类推。1hAhAF- A1A09. Bob验证了第一个验证长度m1，因为。fd1;0fVER1;0s00h1;fSIGN0;0s00其中d10h10-h1; 0·h1; 0，依此类推DA 1/4小时A -01 .一、;吧;N4. HMAC签名在接下来的部分中，我们将逐步构建基于HMAC的签名。在所有情况下，Alice必须首先生成散列链，其中，如前所述，种子sA是她的优先级。N图六、消息mA被计算为散列函数的指数，即当链条的头部被打开时，钥匙她的公众形象是由她的fN-mA=A N是一个大的共享整数，f是所选的哈希函数，ffsA;sAg是Alice的公钥/私钥。;我路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）10107661101110的1]-a0级1 10N版本A1版本A1图7.第一次会议。签 名 的 验证要求f dA1f VERA1f SIGNA0。只有当指数jNj的大小至少与散列的长度相同时，此协议才有效这在实践中是无法实现的。图8.第八条。 HMAC签名协议 Alice和Bob交换了他们的公钥fN sA和fN sB。不幸的是，由于哈希值的长度，该协议不能被正确地实现，无论何时jNjhA1j都不能从N中减去该哈希值。<与前一种情况一样，我们不显示消息交换协议。正如我们即将展示的，它将需要一个哈希值的分区，足以说明vali-4.5.基于HMAC的签名协议取消息m A1，Alice计算消息hash h A1的HMAC 沿着级联的验证使用签名密钥fSIGNA1½k]sA½k]签名的数组fVERA1 ½k]sA½k] n（请参见在Bob这一边给签名加上日期验证哈希和HMAC。4.4. 消息-散列划分和散列连接为了解决在前面的方法中讨论的指数大小问题，我们继续将其划分为一些相同长度的小k整数。因此，它们将被初始化为khash链，以验证签名长度和验证图9）。一旦爱丽丝计算出消息散列的HMAC和级联验证散列数组的散列，她就将其与消息m A1一起发送给鲍勃（见图11）。 10）。1. A！ B：mA;HMA ChA;fVE RA1½k]sA½k]。Bob根据mA1计算h A1½k]他把它连接到HMA ChA½k];ff然后他得到hB½k]<$fHA½k];HMA CHA½k];fHF然后把它发送回爱丽丝（见图1）。 10）。2. B！B！ A：HMA ChBk];FVE RB1k]sBk]。1 0长度 HMAC功能如图所示。 9，它将h A1作为输入和级联验证散列数组的散列，那么我们在图3中的接下来的两个步骤3，4中。 10、Alice和Bob交换把它写成 hA; ffVERA1½k]sA½k]>N-h半k]的1哪里在hash-arrayfN-hU1-dU1½k]sU½k]上验证i和签名散列-10ffsA1½k]0N-hU半k]fVERA1½k]s½k]ε计算为fN-hA1½k]-dA1½k]εs[1/2k]阵列f1其中U表示用户，Alice（A）或BobA0A 0hA0½k]·hA1½k]D½k]¼h半公里。签名密钥是con-key的hash（B）. 为了验证签名，我们引入了双重认证，每个用户必须确保链式签名散列数组，即ffSIGNA1½k]sA½k]，其中fSIG NA1½k]sA½k]fN-hA1½k]sA½k]。在下面的小节中，我们满足以下条件111.签名散列测试：将讨论消息交换协议和签名测试。图9.第九条。HMAC函数的输入/输出定义在Bob路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）10107671我我我ðÞ[2019 - 04 - 21] 2019年10月19日 [1/2]10ffU1sU½k]我AisA½k]00B我Bi-1]-Ui1111VERU100图10个。我们将用户执行签名-哈希测试、验证-哈希测试和HMAC测试的过程称为双重认证（步骤3、4，参见正文中的讨论fhU1½k]。fN-hU1½k]sU½k]：2. 验证-哈希测试：fdU1½k]。fVERU1½k]sU½k]：3. HMAC测试：< hU½k];f.fVERU1sU½k]符号>SIGN¼<$HMAChUk];ffsUk]价格：5.1. HMAC数据库为了评估HMAC签名协议中公共数据库（DB）的大小，我们将区分两种认证方案：单认证和双认证。图10所示的双重认证过程定义了一个数据库结构，其中每个用户必须能够检查每一行i，执行以下步骤： 12个。1. 验证1 0< hA1/2k];f.fVERAisA半k]电子邮件联系我们我在图10中描绘的基于HMAC的签名协议中，Alice将散列数组fSIGNA 1 11/2k]sA1/2k]fN-hA1 1/2k]s A1/2k] f上的1/4HMAChAk];ffVERAisA2. 验证i-1 [1/2k]鲍勃为了执行< hB1/2k];f.fVERBisBi-1半k]电子邮件签署BisBk]fSIG NA01/2k]sA1/2k]fN-hA01/2k]sA1/2k]。只要鲍勃还活着VERBi<$HMAChk];ffsk]hA0她可以导出它，因为符号 A0½k]<$N-hA0½k]和VERA11/2k]1/4N-hA01/2k]-dA1/2k]，因此SIG NA01/4dA1/2k]等于VE RA1 ， 因为SIGNA01/4N-hA01/2k]和Eq. 2保持。哪里hB½k]<$fHA½k];HMACHA½k];fHFVER AisA[]fSIGNUi-1½k]sUi-1 [1/2/3][2/3][3/4][4/5][4/5]][5/6][5/6][5/7]1/2k]2我我我i-1因此，前一轮的签名-散列数组可以从当前轮的验证-散列数组导出表2描述了Alice给定的h1/2k]和h[1]因为d½k]<$h½khUi-1½k]·hUi½k]。为N例如，为了导出hAi-1½k]，Bob将得到hAi-1 从公共DB如果它已经被存储，他也已经从当前事务中接收到m Ai（见图11）。11）。因此，在Bob计算dAi 1/2k]之后，他可以获得 Alice的签名散列fSIGNAi- 11/2k]以及他们的签名散列f SIGN A i -1/2k]。连接，即ffSIGNAi-1½k]。由于该值已经存储在Alice的历史DB中5.2. 散列数据库在[19]中引入的基于散列的签名协议不允许双重验证。然而，为了减小DB的大小，我们建议将ffSIGNAi½k]sik而是或fSIG NAi½k]sik如表3所示。Bob验证Alice的公共数据库的i运行以下步骤：见图。 13岁ffi-15.公共数据库的结构i-1ffUi-1UiUi路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010768---0f-伊什1/2k]I1见图11。 为了执行双重认证，用户从公共数据库（DB）获得消息散列和公钥。表2在基于HMAC的签名协议中用户Alice的公共DB的结构消息和HMAC的长度取为256比特和k/416。签名消息验证公共签名总规模散列散列关键散列（位）单hAiffVERAi½k]si1 ½k]fNsADoublehAiffVERAi½k]si1 ½k];fNsAi1i15，120美元5，888美元[]][][]][[图12个。 为了验证签名，Bob从验证散列数组f SIG N A 0 1/2k] s A 1/2k]中导出先前散列链的签名散列数组f SIG N A01/2k]。另外，鲍勃要求h A0 从公共数据库，而消息m A1 在当前交易中收到。表3在基于散列的签名协议中用户Alice的公共数据库的结构。根据[19]，公钥可以从DB中删除。在此协议中无法实现使用kV16进行分析功能消息验证公共签名总规模散列散列关键散列（位）HashhAifVERAi½k]si1 ½k]fNsi1½k]fSIGNAi½k]si½k]8，448-1. 他计算消息mi和mi-1的散列，即hAi½k]和hAi-1½k]。þ5.3. 消息串接4，608人2. 使用hAi½k]和hAi-1½k]，Bob计算签名散列数组SIGNi 1½k]-3. Bob导出签名串联的哈希值hash-array，然后他验证ffSIGNi-1½k]si1½k]等于作为对基于HMAC的协议的最后改进，我们提出了一个附加步骤来替换图1中的hA1/2k]。 1 0：n用户必须计算当前签名消息的哈希值以及先前签名的消息和当前公钥的散列，存储在i中的那个-用户Alice的公共DB的1行。象征性地。路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）1010769000i i-1ii01011212N2图13岁 该图显示了基于散列的签名协议中的实体图。 在基于HMAC的协议中，Bob从下式导出签名散列数组fSIG NA0½k]sA½k] n验证散列数组fVE RA1½k]=A½k] n。HA½k]<$fhA½k];fNs0½k];HA½k]<$fHA½k];hA½k];f [001pdf1st-31files]具有很强的竞争力。值得注意的是，我们的方法允许用于验证签名的双重身份验证，因此用户必须测试签名散列、HA½k]<$fHA½k];hA½k];fNsA½k];. . .其表示为Eq. 其中k是哈希链的数量。HU½k]¼fHU½k];hU½k];fNsU½k]36. 讨论表4显示了主要数字签名方法之间的比较，其中考虑到初始化密码系统的时间后量子列强调该方法是否是此应用领域的基础。最后，比较暴露了该方法是否定义了用于安全记录交易的基于区块链的服务。作为该评估的结果，应该强调的是，我们的方法定义了区块链类型的交易和数据库，这在其他比较方法中不存在，由于散列函数，此外还需要时间和密钥大小，因此7. 结论只是为了有一个参考，每十分钟就有一个一兆字节的块被附加到区块链上。这是因为节点维护用户之间产生的所有事务的全局记录。虽然区块链可以通过数字签名来识别和验证交易，但存储要求是实施区块链时最大的挑战。在本文中，我们增强了以前的工作，该工作定义了一个分布式区块链架构，用户在其中维护一个名为Singlechain的个人记录。我们的方法定义了一个双重认证机制，验证签名的来源和目的地。我们发现，每笔交易需要大约6个字节存储在公共数据库中。此外，由于用户每年产生数十笔交易，我们相信我们的表4在[20]的基础上，对80位安全级别下的数字签名算法进行了比较分析。为了进行比较，我们的基于HMAC的方法已经考虑以下参数进行了评估：在107散列/s下，在10个散列链上的N 1/28-1，jhj 1/4在实际和强安全级别上，我们可以选择jNj 1/4 16比特和jhA1j 1/4256比特。 如果k1/416，则散列分区的长度是jhm 1/216]j1/416比特，并且jNj1/4jhm 1/ 2k]j。最后一列用于指示该方法是否在不需要其他算法的情况下自行定 义 区 块 链 。签名设置PuPr生命周期jPuj j Prj jmUj后块方法（毫秒）（毫秒）（毫秒）有限（kb）（kb）（kb）量子链Lamport签名1111101010是的没有Lamport w/Merkle1112400.0825050是的没有McEliece签名0.10.0120,000没有400040000.16是的没有NTRUSign0.10.10.12230224是的没有RSA20000.15没有111没有没有DSA222没有20.160.32没有没有Diffie-Hellman222没有20.161没有没有ECC222没有0.320.160.32没有没有这项工作2.55.15.1没有0.80.8–是的是的路易斯·阿德里安·利萨马-佩雷斯工程科学与技术，国际期刊32（2022）10107610该方法适合作为可扩展的公共平台来实现。Lizama由于这个特性，我们的方法构成了一个后量子签名方案.竞争利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作。引用[1] C.S.R.中心，后量子密码学标准化会议，[在线;访问日]（2021）。[2] E.Albertichetti，NIST第3轮决赛选手，URL：https://pqc-wiki.fau.edu/w/Special：DatabaseHome，[在线;访问日期]（2020年）。[3] 洛杉矶Lizama-Perez，J.M.López，使用二进制帧的量子密钥蒸馏，对称12（6）（2020）1053，https://doi.org/10.3390/sym12061053。网址：https://doi.org/10.3390/sym12061053。[4] 洛杉矶Lizama-Pérez，J.M.洛佩斯河，量子密钥分配中的香农信息极限之外网址：https://doi.org/10.3390/ e23020229。[5] J.A. Buchmann，D. Butin，F. Göpfert，A. Petzoldt，后量子密码学：最先进的技术，在：新的密码破译机，施普林格，2016年，第103页。 88比108[6] IBM，区块链技术的存储需求，[在线;访问日]（2018）。[7] J. Xie，F.R. Yu，T.黄河，巴西-地Xie，J. Liu，Y. Liu，区块链系统可扩展性调查，IEEE Network 33（5）（2019）166-173。[8] R.L. Rivest，A.沙米尔湖Adleman，A method for obtaining digital signaturesandpublic-key cryptosystem，Communications of the ACM 21（2）（1978）120-126.[9] P. FIPS，186-3，数字签名标准（DSS）。[10] 作案手法Rabin，Digitalized Signatures and Public Key Functions as DiffractiveasFactorization，Tech.代表，麻省理工学院剑桥计算机科学实验室，1979年。[11] N. FIPS 186-1数字签名标准。[12] P. Fips，186-2。数字签名标准（dss），美国国家标准与技术研究所（NIST）。[13] P.W. Shor，量子计算算法：离散算法和因子分解，在：第35届计算机科学基础年度研讨会，1994年会议记录，IEEE，1994年，pp. 124-134[14] L. Lamport，从单向函数构造数字签名，技术。代表，CSL-98技术报告，SRIInternational Palo Alto（1979年）。[15] R.C. Merkle，提供数字签名的方法，美国专利4，309，569（1982年1月5日）。[16] R.C. Merkle，基于传统加密函数的数字签名，见：Advances in Cryptology，1987年，Springer出版社，第87页。369-378.[17] R.C. Merkle，一种认证的数字签名，见：密码学进展，1989年，Springer出版社，第89卷，第100页。218-238[18] L- P.L. Adrián，M.-A.L. 哈维尔，H.-M.F. 塞莱达湖S.L. Adrián，S.A. Eric，移动网络设备的公共散列签名，工 程 研 究 和技术20（2）（2019）1-10。[19] 洛杉矶Lizama-Perez，散列纠缠链上的数字签名，SN应用科学1（12）（2019）1568。[20] R.A. Perlner，D.A. Cooper，量子抵抗公钥密码学：一项调查，在：第八届互联网身份和信任研讨会论文集，2009年，pp. 85比93