winternitz 1.0.2

Lamport一次性签名方案

Lamport 建议为将要签名的消息的每一位创建两个密钥。该位可以采用的每个值一个。为了派生验证密钥，每个密钥都被散列一次。现在您有一个密钥和一个验证密钥，它由m个 2 元组值组成，其中m是消息的位数。验证密钥已发布。签名由m价值观。对于消息的每一位，您从相应的密钥中释放一个密钥，具体取决于该位的值。所有这些密钥构成了消息的签名。验证器对您的每个密钥进行一次哈希处理，并将其与该位置的一个验证密钥进行比较，具体取决于该位的值。当且仅当所有派生的验证密钥与您在 2 元组的正确位置（由该位的值确定）处发布的验证密钥匹配时，签名才有效。该算法非常快（与现有的 PQC 算法相比），但签名大小很大。

温特尼茨扩展

Winternitz 扩展了 lamports 算法，提供了决定将有多少位一起签名的可能性。这些位可以表示的数字量称为 Winternitz 参数 ( w = 2^{bits} )。这种方法提供了巨大的优势，即该算法的用户可以选择时间和空间的权衡（速度或存储容量是否更相关）。将要签名的消息的指纹被分成ceil(log_2(w))位组。这些组中的每一个都获得一个密钥。每个验证密钥是通过将每个组的密钥散列2^{w-1}​​次得出的。所有的验证密钥都会被公开，代表一个统一的验证密钥。签名消息时，消息的指纹被分成几组ceil(log2(w))位。为了创建签名，每个位组的私钥被哈希bitgroup_value次，其中bitgroup_value是位组的值。此外，附加了一个（逆和）校验和，它拒绝了中间人攻击。校验和根据签名计算，分成ceil(log2(w))位的位组，并签名。为了验证签名，首先将消息的指纹分成ceil(log2(w) 个比特的比特组。基本思想是取每个比特组的签名，从中计算验证密钥，最后比较已发布的验证密钥。由于签名是经过哈希 处理的bitgroup_value时间，从签名计算验证密钥所需要做的就是将签名散列2^{w-1} ​​- bitgroup_value - 1次。除了验证消息之外，验证者还必须计算校验和并进行验证。

测试

生成文档

python setup.py 文档

WOTS

import winternitz.signatures
# Create signature and verify it with the same object
wots = winternitz.signatures.WOTS()
message = "My message in bytes format".encode("utf-8")
sig = wots.sign(message)
success = wots.verify(message=message, signature=sig["signature"])
print("Verification success: " + str(success))
# Output: Verification success: True

如果您在 WOTS 的构造函数中没有指定任何值，它将使用 Winternitz 参数 16 和哈希函数sha512作为默认参数。私钥将由熵生成。在通过wots.pubkey或在 wots.sign(message)函数调用返回的 dict 中收到公钥后，您将其发布。确认它没有被修改。在最好的情况下，通过应用程序的设计，修改您的公钥的中间人攻击是不可能的。最后一步是发布您的消息以及wots.sign(message)返回的字典中的所有信息，除了公钥（因为它已经发布）。发布指纹是可选的，因为它对于签名验证不是必需的。签名字典包含以下值：

{
    "w":            winternitz parameter (Type: int),
    "fingerprint":  message hash (Type: bytes),
    "hashalgo":     hash algorithm (Type: str),
    "digestsize":   hash byte count (Type: int),
    "pubkey":       public key (Type: List[bytes]),
    "signature":    signature (Type: List[bytes])
}

使用该数据，其他人可以验证您的消息的真实性：

# Another person or machine wants to verify your signature:
# get required hash function by comparing the name
# published with local implementaitons
if sig["hashalgo"] == "openssl_sha512":
    hashfunc = winternitz.signatures.openssl_sha512
elif sig["hashalgo"] == "openssl_sha256":
    hashfunc = winternitz.signautres.openssl_sha256
else:
    raise NotImplementedError("Hash function not implemented")

wots_other = winternitz.signatures.WOTS(w=sig["w"], hashfunction=hashfunc,
                                        digestsize=sig["digestsize"], pubkey=sig["pubkey"])
success = wots_other.verify(message=message, signature=sig["signature"])
print("Verification success: " + str(success))
# Output: Verification success: True

在某些情况下，可能不希望使用正在执行的 WOTS 对象中的公钥来验证派生的公钥。例如，当验证发生在包装结构（如 XMSS 树）中时，可能就是这种情况。在这种情况下，可以使用函数 wots.getPubkeyFromSignature(message=message, signature=signature)从消息和签名中派生公钥

WOTSPLUS

import winternitz.signatures
wotsplus = winternitz.signatures.WOTSPLUS()
message = "My message in bytes format".encode("utf-8")
sig = wotsplus.sign(message)
success = wotsplus.verify(message=message, signature=sig["signature"])
print("Verification success: " + str(success))
# Output: Verification success: True

如果您在 WOTSPLUS 的构造函数中没有指定任何值，它将使用 Winternitz 参数 16 并且哈希函数默认为sha256。它还需要一个伪随机函数，默认为HMAC-sha256，以及一个同样由熵生成的种子。有关函数及其参数的更多信息，请访问本文档中的模块参考。由于 WOTS+ 使用伪随机函数和种子来派生签名和公钥，因此它们也必须被发布。除了 WOTS 的签名之外，返回的 dict 还包含以下值：

{
    # ...
    "prf":          pseudo random function (Type: str),
    "seed":         Seed used in prf (Type: bytes)
}

除了在 WOTS 中指定的参数之外，这些参数还必须在 WOTSPLUS 的构造函数中指定。

杂项

WOTS 类具有一些将在以下部分中解释的特性。