参考文献：

[vN51] Von Neumann J. Various techniques used in connection with random digits[J]. Applied Math Series, 1951, 12(36-38): 1.
[GGH97] Goldreich O, Goldwasser S, Halevi S. Public-key cryptosystems from lattice reduction problems[C]//Advances in Cryptology—CRYPTO’97: 17th Annual International Cryptology Conference Santa Barbara, California, USA August 17–21, 1997 Proceedings 17. Springer Berlin Heidelberg, 1997: 112-131.
[HILL99] Håstad J, Impagliazzo R, Levin L A, et al. A pseudorandom generator from any one-way function[J]. SIAM Journal on Computing, 1999, 28(4): 1364-1396.
[PS00] Pointcheval D, Stern J. Security arguments for digital signatures and blind signatures[J]. Journal of cryptology, 2000, 13: 361-396.
[BN06] Bellare M, Neven G. Multi-signatures in the plain public-key model and a general forking lemma[C]//Proceedings of the 13th ACM conference on Computer and communications security. 2006: 390-399.
[GPV08] Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions[C]//Proceedings of the fortieth annual ACM symposium on Theory of computing. 2008: 197-206.
[LM08] Lyubashevsky V, Micciancio D. Asymptotically efficient lattice-based digital signatures[C]//Theory of Cryptography: Fifth Theory of Cryptography Conference, TCC 2008, New York, USA, March 19-21, 2008. Proceedings 5. Springer Berlin Heidelberg, 2008: 37-54.
[Lyu09] Lyubashevsky V. Fiat-Shamir with aborts: Applications to lattice and factoring-based signatures[C]//Advances in Cryptology–ASIACRYPT 2009: 15th International Conference on the Theory and Application of Cryptology and Information Security, Tokyo, Japan, December 6-10, 2009. Proceedings 15. Springer Berlin Heidelberg, 2009: 598-616.
[Lyu12] Lyubashevsky V. Lattice signatures without trapdoors[C]//Advances in Cryptology–EUROCRYPT 2012: 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings 31. Springer Berlin Heidelberg, 2012: 738-755.
[GLP12] Güneysu T, Lyubashevsky V, Pöppelmann T. Practical lattice-based cryptography: A signature scheme for embedded systems[C]//Cryptographic Hardware and Embedded Systems–CHES 2012: 14th International Workshop, Leuven, Belgium, September 9-12, 2012. Proceedings 14. Springer Berlin Heidelberg, 2012: 530-547.
[BG14] Bai S, Galbraith S D. An improved compression technique for signatures based on learning with errors[C]//Topics in Cryptology–CT-RSA 2014: The Cryptographer’s Track at the RSA Conference 2014, San Francisco, CA, USA, February 25-28, 2014. Proceedings. Springer International Publishing, 2014: 28-47.
[SWIFFT] Lyubashevsky V, Micciancio D, Peikert C, et al. SWIFFT: A modest proposal for FFT hashing[C]//Fast Software Encryption: 15th International Workshop, FSE 2008, Lausanne, Switzerland, February 10-13, 2008, Revised Selected Papers 15. Springer Berlin Heidelberg, 2008: 54-72.
[BLISS] Ducas L, Durmus A, Lepoint T, et al. Lattice signatures and bimodal Gaussians[C]//Advances in Cryptology–CRYPTO 2013: 33rd Annual Cryptology Conference, Santa Barbara, CA, USA, August 18-22, 2013. Proceedings, Part I. Springer Berlin Heidelberg, 2013: 40-56.
[Dilithium] Lyubashevsky V, Ducas L, Kiltz E, et al. Crystals-dilithium[J]. Algorithm Specifications and Supporting Documentation, 2020.

简介

Fiat-Shamir 范式：令 $\Pi$ 是一个 Sigma 协议（ $3$ -round public-coin ZK proof/argument），证明者和验证者交互的副本形如 $(a, e, z)$ ，其中 $a$ 是承诺， $e$ 是公开掷币的一系列挑战（使得 soundness error 可忽略）， $z$ 是对这些挑战的回应，证明者将证据 $w$ 作为私钥。我们用 $H$ 表示随机神谕（Random Oracle）。给定消息 $m$ ，签名者随机生成 $a$ ，询问 RO 获得挑战 $e = H (a, m)$ ，然后利用私钥 $s$ 做出恰当的响应 $z$ ，最后以副本 $(a, e, z)$ 作为签名值。验证者检验 $e$ 是否等于 $H (a, m)$ ，然后验证 $(a, e, z)$ 是否是一个可接受副本。

在早期格签名中的一个关键问题是，如何使得签名值不过多地泄露私钥信息。最早 [GGH97] 提出了一个基于 SIS 问题的 Hash-and-Sign 范式签名方案，但是它的签名值会泄露私钥的形状信息。[GPV08] 给出的解决思路是，让签名值与私钥的概率分布相互独立。对于 Fiat-Shamir 范式的格签名也有类似的问题，[Lyu09] 仿照 Schnorr 协议将分立的多个挑战合并为一个多项式 $c$ ，使用一个窄区间 $[- B, B]$ 上均匀采样的掩码 $y$ 来隐藏证据，签名值为 $z = y + sc$ 。但是当 $\|z-sc\| \ge B$ 时会泄露 $y$ 的信息，进而泄露私钥 $s$ 的信息，[Lyu09] 通过 abort 技术丢弃那些会泄露私钥信息的签名值，使得签名值的分布成为窄区间上的均匀分布（与私钥相互独立）。在 [Lyu12] 中使用拒绝采样技术，进一步推广到从任意分布 $g$ 中采样，然后按照概率 $\min\left(f(x) / (Mg(x)), 1\right)$ 拒绝样本，这使得最终的输出分布与 $f$ 统计接近，其中 $f$ 不包含私钥的信息。[Lyu12] 按照中心高斯分布采样 $y$ ，则签名值 $z = y + sc$ 服从一个偏移为 $sc$ 的高斯分布，使得 $M$ 在截尾区间内满足 $\ge f(x)$ 。[Lyu12] 进一步指出，可以把签名方案建立在 LWE 问题上，这将降低公钥的规模。

利用拒绝采样技术可以构造出可证明安全的格签名方案，但是实用化的签名算法还对计算效率和载荷规模有着严格要求。提升格密码计算效率的一个常规手段，就是利用环结构以及 NTT 技术使得矩阵-向量乘法的计算复杂度从 $O(n^2)$ 降低到 $\log n)$ 。然而，[Lyu12] 的格签名除了矩阵运算的开销，拒绝采样会导致签名程序反复执行直到生成一个合适的签名值，如果常数 $M$ 过大那么将会造成算力的较大浪费。[BLISS] 提出可以使用一个随机符号位 $b$ ，那么签名值 $z=y+(-1)^bsc$ 服从双峰高斯，这可以降低 $M$ 的大小，使得签名速度更快、签名值的规模更小。

为了继续降低载荷大小，人们尝试了多种压缩方法。[GLP12] 研究了基于 LWE 的签名方案，其签名值形如 $z_1=y_1+sc, z_2=y_2+ec)$ ，前者是对私钥的 ZKPoK，后者是对噪声的 ZKPoK。[GLP12] 提出可以将数字划分为高阶比特和低阶比特两部分，在不影响进位的情况下可以简单丢弃低阶比特，这可以使得签名值第二分量的规模大幅减小。后续 [BG14] 发现对于噪声 $e$ 的知识证明可以被隐含在对于私钥 $s$ 的证明中，因此签名值的第二分量可以直接被丢弃。[Dilithium] 采用了更加激进的压缩策略，它将公钥也使用类似 [GLP12] 的技术进行了压缩，但是这导致验签时会出现进位错误，因此需要在签名值中引入额外的进位提示信息，虽然签名值变大了数百字节，但是公钥大小缩减了约 $2.5$ 倍，总的载荷规模是下降的。

拒绝采样技术

Aborting Technique

基于格的哈希函数可以被用于构造可证明安全的一次签名方案 [LM08] [SWIFFT]，然后根据标准技术，使用 PRF 就可将它转化为树状无状态签名方案。它的复杂度仅为 $O(n\log^2 n)$ ，这在理论上很有吸引力，然而在实际中有时人们并不希望使用树状结构。[GPV08] 提出的 PSF 在各种优化技术加持下也可以做到 $\log n)$ 级别的复杂度，然而其中所需的离散高斯采样的速度很慢，并且对于代码实现的要求极高，否则容易出现漏洞。

[Lyu09] 提出了 Fiat-Shamir 范式的可证明安全格签名方案。首先我们构造一个安全的身份鉴别协议（ID），然后利用 RO 公开掷硬币作为验证者的随机挑战，将交互式协议转化为非交互式的签名方案。一般地我们令 ID 协议是一个 $3$ -round public-coin WI PoK with negligible soundness error，最知名的一个 ID 协议就是 Schnorr 协议：考虑 $q$ 阶循环群 $\langle g \rangle \subseteq \mathbb Z_p$ ，私钥为 $s$ ，公钥为 $g^s$ 。副本形如 $(a=g^y \pmod p, c \in \mathbb Z_q, z=y+c \cdot s \pmod q)$ ，验证者检验 $\cdot (g^s)^{c} = g^z \pmod p$ 是否成立。虽然在标准假设下没有证明 Schnorr 协议是安全的，但它至今也没有受到过较严重攻击。Schnorr 协议将分立的多比特挑战合并为单个挑战 $\in \mathbb Z_q$ ，仅仅一次挑战就达成了 negl. s.e. 的目标，因此副本十分的紧凑。

然而，直接把 Schnorr 协议移植到格上还有一些阻碍。首先是 Schnorr 协议工作在有限群上，然而格是无限群，这导致在格上生成均匀的随机掩码 $y$ 成为不可能的任务。一种解决办法是，在一个远比 $R=\|sc\|$ 大得多的有限子集 $[- k R, k R]$ 中随机选取 $y$ ，这使得 $z = y + cs$ 以极大概率落在 $[- (k - 1) R, (k - 1) R]$ 内部，此时的 $y = z - cs$ 总是会落在 $[- k R, k R]$ 内，由于 $y$ 是其上均匀的，从而没法确定秘密 $s$ 的任何信息。但是这么选取的 $S$ 范围过大，这导致直接伪造 $z$ 变得更加容易（很大近似因子的 SIS 问题）。[Lyu09] 的解决办法是，在一个很窄的范围内选取 $y$ ，例如 $[- 2 R, 2 R]$ ，计算 $z = y + cs$ 之后判断它是否落在 $[- R, R]$ 内部。如果越界了，比如 $\in [R,2R]$ ，那么满足 $\ge 2R$ 的那些候选 $s$ 就可以被排除掉，这泄露了秘密的部分信息。因此越界的这些 $z$ 都应该被丢弃，然后重复签名过程直到满足此条件。

首先，我们构造一个基于 Ring-SIS 的加法同态 Hash 函数簇。简记 $\mathcal R := \mathbb Z_p[x]/(x^n+1)$ ，令 $\mathcal D:=\{y:\|y\| \le d\} \subseteq \mathcal R$ 是取值范围很窄的子集。定义一族函数
$\mathcal H(\mathcal R,\mathcal D,m) = \{h_a(y):=a^Ty,\,\, \forall y \in \mathcal D^m\}_{a \in \mathcal R^m}$
容易看出，对于 $\forall y,y' \in R^m, \forall c \in \mathcal R$ ，这个它是加法同态的， $h (y + y^{'}) = h (y) + h (y^{'})$ 以及 $h (yc) = h (y) c$ 。并且在近似 SVP 假设下，它是个 CRHF（抗原像、抗碰撞）。接下来 [Lyu09] 使用这个 Hash 函数作为承诺方案，来构造类似于 Schnorr 协议的 ID 协议。

令 $n$ 是二的幂次， $m$ 是任意整数， $p$ 是充分大的素数，令 $\mathbb Z_p[x]/(x^n+1)$ 。假设挑战 $c$ 是重量 $\kappa$ 的二元挑战，满足 $2^\kappa{n \choose \kappa} \ge 2^{160}$ 使得熵足够大。令 $\sigma$ 是任意的较小整数，它约束秘密 $s$ 的规模，那么 $sc$ 的大小约束在较小范围 $\sigma\kappa$ 以内。一些重要参数的取值范围如下：
$\begin{aligned} D_c &:= \{c \in R: \|c\|_1 \le \kappa\} \subseteq R\\ D_s &:= \{s \in R: \|s\|_\infty \le \sigma\}\subseteq D_y\\ D_y &:= \{y \in R: \|y\|_\infty \le mn\sigma\kappa\} \subseteq R\\ D_z &:= \{z \in R: \|z\|_\infty \le mn\sigma\kappa - \sigma\kappa\}\subseteq D_y\\ \end{aligned}$
我们令 $\mathcal D = D_y, \mathcal R = R$ ，那么从 $\mathcal H(\mathcal R,\mathcal D,m)$ 中抽取的 $D_y^m \to R$ 是一个随机的同态哈希函数。[Lyu09] 构造的 ID 协议为：

Alice 持有私钥 $\in D_s^m$ ，Bob 持有公钥 $\in R$
Alice 均匀随机采样掩码 $\in D_y^m$ ，做承诺 $\in R$ 发送给 Bob
Bob 均匀随机采样挑战 $\in D_c$ 发送给 Alice
Alice 计算 $\in R^m$ （这里是向量 $\in D_s^m$ 关于数量 $\in D_s$ 的标量积），如果 $\in D_z^m$ 则发送给 Bob，而当 $\notin D_z^m$ 时需要 abort
Bob 收到 $z$ 后首先检验 $\in D_z^m$ （确保 $z$ 是短的），然后检查 $\in R$ 是否等于 $\in R$ （这里是数量 $\in R$ 和数量 $\in D_s$ 的乘积）

对比 $D_y$ 和 $D_z$ ，容易证明 completeness 的概率为 $(1-1/mn)^{mn} \approx 1/e$ ，期望上重复执行 $\approx 2.718$ 次可以完成一次身份鉴别。

与 Schnorr 协议不同（仅有唯一的证据，无法证明安全），[Lyu09] 的协议随机挑选的证据 $\in D_s$ ，会有多个其他证据使得 $S = h (s) = h (s^{'})$ （除了可忽略的概率），其中 $\neq s' \in D_s$ 都是短向量。我们可以证明它是完美证据不可区分的（Perfect WI）：对于同一个副本 $(Y, c, z)$ ，两个证据 $\neq s'$ 都满足 $S = h (s) = h (s^{'})$ ，那么由于 $z = y + cs = y^{'} + c s^{'}$ 且 $\in D_z^m$ ，那么存在 $\in D_y^m$ 使得 $h (y^{'}) = h (y + c (s - s^{'})) = h (y) = Y$ ，且两个掩码 $P r [y] = P r [y^{'}]$ 是同分布的。

进而我们可以证明这个 ID 协议是主动安全的：如果存在某 PPT 敌手能够在学习之后伪装成 Prover 给出可接受副本，那么对于任意哈希函数 $h$ ，模拟器随机生成 $S = h (s)$ 并为敌手模拟 ID 协议，然后让敌手给出一个可接受副本 $(Y, c, z)$ ，接着模拟器 rewind 敌手，重新选择随机挑战 $c^{'}$ 并获得另一个可接受副本 $(Y, c^{'}, z^{'})$ ，两者满足 $h (z - sc) = h (z^{'}) - S c^{'} = h (z^{'} - s c^{'})$ 。因为是 Perfect WI 的，因此以至少 $1/2$ 的概率有 $\neq z'$ ，从而 $\neq z-sc'$ 是 CRHF 的一对碰撞，出现矛盾。

最后，我们并行多个 ID 协议，保持 WI 的同时降低 soundness error。然后在 RO 模型下，利用 Fiat-Shamir heuristic 将这个 ID 协议转化为签名方案。值得注意的是，在签名方案中那些最终 abort 的 ID 协议副本不必发送，并且多个副本只需要同一个挑战 $c$ 即可（只要 $c,y_i$ 相互独立则 abort 概率相同），以及可使用标准的抗碰撞哈希 $H(Y_i)$ 取代同态承诺 $Y_i$ （此时验签等式为 $H(Y_i) = H(h(z_i)-Sc)$ ），上述三种修正可以极大地减小签名值规模。

Rejection Sampling

von Neumann 拒绝采样技术（[vN51]）：令 $f, g$ 是集合 $R$ 上的两个分布，若存在 $\in \mathbb R$ 使得 $\le Mg(x), \forall x \in R$ ，那么按照分布 $g$ 采样 $z$ ，然后以概率 $\le 1$ 输出 $z$ ，否则重新采样。则输出分布恰好为 $f$ ，期望的循环次数为 $M$ 。

[Lyu09] 中，掩码 $y$ 从 $D_y^m$ 中均匀采样，可视为半径 $r + v$ 的 $m$ 维球体。仅当签名值 $z = y + S c$ 落入 $D_z^m$ 时才输出，可视为半径 $r$ 的 $m$ 维球体。如果 $f$ 是 $D_z^m$ 上均匀分布， $g$ 是 $D_y^m$ 上均匀分布，则需要设置 $M = (r+v)^m/r^m$ 才能使得输出 $z$ 的分布恰好是 $f$ ，并且如果 $\in D_z^m$ 则为 $f (z) / (M g (z)) = 1$ ，如果 $\notin D_z^m$ 则为 $f (z) / (M g (z)) = 0$ 。然而为了获得较小的 $M$ ，这需要 $\ge mv = \tilde O(n^{1.5})$ ，导致签名 $z$ 的规模过大。

而 [Lyu12] 选取 $f, g$ 都是标准差 $\sigma = \tilde O(v)$ 的离散高斯分布，并且选择一个较小的常数 $M$ 使得 $\le Mg(x)$ 仅仅对于较短的 $x$ 成立（截尾后的区间），此时拒绝概率变成了 $\min(f(z)/(Mg(z)), 1)$ 并且输出分布与 $f$ 是统计接近的（不再完美了），那么 $z$ 的期望长度可缩短为 $\sigma \sqrt m = \tilde O(n)$ 。

中心 $v$ 标准差 $\sigma$ 的 $m$ 维高斯函数定义为 $\rho_{\sigma,v}^m(x) := \left(\frac{1}{\sqrt{2\pi \sigma^2}}\right)^m \exp\left(\frac{-\|x-v\|^2}{2\sigma^2}\right)$ ，对应的离散高斯分布为 $D_{\sigma,v}^m(x)=\rho_{\sigma,v}^m(x)/\rho_{\sigma,v}^m(\mathbb Z^m)$ 。[Lyu12] 证明一个关于离散高斯尾部的重要不等式：对于任意的 $\in \mathbb R^m$ 和任意的 $\sigma,r>0$ ，都有
$Pr\left[|\langle z, v \rangle|>r: z \leftarrow D_\sigma^m\right] \le 2\exp\left(\frac{-r^2}{2\|v\|^2\sigma^2}\right)$
进而可以推出：

对于任意的 $k > 0$ ，一维中心离散高斯分布满足 $k\sigma: z \leftarrow D_\sigma] \le 2\exp(-k^2/2)$
对于任意的 $\in \mathbb Z^m$ 以及 $\sigma \ge 3/\sqrt{2\pi}$ ，密度函数满足 $D_\sigma^m(z) \le 2^{-m}$
对于任意的 $k > 1$ ，高斯尾部的概率为 $Pr[\|z\|>k\sigma\sqrt m: z \leftarrow D_\sigma^m] < k^m\exp\left((1-k^2)m/2\right)$
对于任意的 $\in \mathbb Z^m$ 满足 $D_\sigma^m(z)/D_{\sigma,v}^m(z) = \exp\left( \dfrac{-2\langle z,v \rangle + \|v\|^2}{2\sigma^2} \right)$ ，选取标准差 $\sigma = \tau\|v\|$ 和截尾界 $r=\tau\sigma\|v\|$ ，那么以至少 $1-2\exp(-\tau^2/2)$ 的概率使得 $D_\sigma^m(z)/D_{\sigma,v}^m(z) \le \exp(1+1/(2\tau^2))$

General Rejection Sampling Lemma：令 $V$ 是任意集合， $\to \mathbb R$ 和 $\mathbb Z^m \to \mathbb R$ 是两个分布。令 $\{g_v: \mathbb Z^m \to \mathbb R\}_h$ 是一族分布，并满足
$\exists M \forall v, Pr[Mg_v(z) \ge f(z): z \leftarrow f] \ge 1-\epsilon$

算法 $A$ 定义为：采样 $\leftarrow h$ 和 $\leftarrow g_v$ ，依概率 $\min\left(\frac{f(z)}{Mg_v(z)},1\right)$ 输出 $(z, v)$
算法 $F$ 定义为：采样 $\leftarrow h$ 和 $\leftarrow f$ ，依概率 $1/ M$ 输出 $(z, v)$

则两者的输出分布的统计距离为 $\epsilon/M$ ，且算法 $A$ 有输出的概率至少为 $(1-\epsilon)/M$ 。如果令 $\subseteq \mathbb Z^m$ 是范数至多为 $T$ 的整数格点的收集，选取 $\sigma = w(T\sqrt{\log m})$ ，再令 $g_v=D_{\sigma,v}^m$ ， $f=D_{\sigma}^m$ ，那么存在小常数 $M = O (1)$ 使得 $A, F$ 的输出分布统计距离为 $2^{-w(\log m)}/M$ ，且算法 $A$ 有输出的概率至少为 $\left(1-2^{-w(\log m)}\right)/M$ 。

Main Theorem：对于离散高斯分布 $f=D_\sigma, g_v=D_{\sigma,v}$ ，我们选取 $\sigma=\tau T$ ，并设置 $\exp(1+1/(2\tau^2)) \approx e$ ，则以至少 $1-2\exp(-\tau^2/2)$ 的概率满足 $\le Mg_v(z)$ ，选取 $\tau=12$ 时此概率约为 $1-2^{-100}$ 。

基于 SIS 问题的签名方案：

$KeyGen(1^n)$ ：均匀采样 $\leftarrow_\mathcal U [-d,d]^{m \times k}$ 和 $\leftarrow_\mathcal U \mathbb Z_q^{n \times m}$ ，计算 $\in \mathbb Z_q^{n \times k}$ ，公开参数为 $A$ 私钥为 $S$ 公钥为 $T$
$Sign(\mu,A,S)$ ：高斯采样 $\leftarrow D_\sigma^m$ ，访问 RO 计算挑战 $\leftarrow H(Ay,\mu)$ （这里是 Hash to point， $D_H:=\{c \in \{-1,0,1\}^k: \|c\|_1 \le \kappa\}$ ），然后计算 $\leftarrow y+Sc$ （服从偏移高斯分布 $D_{\sigma,Sc}^m(z)$ ，不要取模，否则容易伪造签名），最后以概率 $\min\left(\frac{D_\sigma^m(z)}{MD_{\sigma,Sc}^m(z)},1\right)$ 输出签名值 $(c, z)$
$Verify(\mu,(c,z),A,T)$ ：首先检查 $\|z\| \le \eta\sigma\sqrt m$ 确保签名值是短的（对于短格基 $S$ 的 PoK），然后验证 $H(Az-Tc,\mu)$ 是否等于 $c$ ，其中系数 $\eta\in[1.1,1.3]$ 确保正确签名极大概率可通过长度检查。

Renyi 熵：令 $\mathcal D$ 是集合 $S$ 上分布，定义 $H_{Renyi}(\mathcal D) := -\log Pr[X=Y]$ ，其中 $\leftarrow_{\mathcal D} \mathcal S$ 是独立选取的。可以证明 $H_{Renyi}(\mathcal D) \le H_{Shannon}(\mathcal D), \forall \mathcal D$ ，并且对于均匀分布 $H_{Renyi} = H_{Shannon}$

剩余哈希引理（Leftover Hash Lemma, [HILL99]）：令 $\mathcal H:X \to Y$ 是一族 Pairwise Independent 哈希函数（即 $Pr_{h \leftarrow \mathcal H}[h(x)=h(x')]=1/|Y|, \forall x \neq x'$ ）。令 $\mathcal D$ 是集合 $X$ 上的 $H_{Renyi}(\mathcal D)=m$ 的分布，值域大小 $Y| = 2^{m-2e}$ ，那么
$\Delta\left(\{(h,h(x)): h \leftarrow_{\mathcal U} \mathcal H, x \leftarrow_{\mathcal D} X\},\,\, \mathcal U(\mathcal H \times Y)\right) \le 2^{-(e+1)}$
如果 $\mathcal D$ 是 $X$ 上均匀分布，那么 $\Delta \le \dfrac{1}{2}\sqrt{|Y|/|X|}$ ，当值域 $Y$ 对比定义域 $X$ 是极度压缩的，那么 ${h(x)\}$ 与 $\mathcal U(Y)$ 统计不可区分。

对于由 $\in \mathbb Z_q^{n \times m}$ 索引的同态哈希函数 $h_A(s) := As, \forall s \in \mathbb Z^m$ ，当 $q$ 是素数时它是 Pairwise Independent 的。对于均匀的 $\in [-d,d]^{m \times k}$ ，那么承诺值 $\leftarrow h_A(S)$ 与均匀分布的统计距离为 $\Delta \le \dfrac{1}{2}\sqrt{q^n/(2d+1)^m}$ 。安全参数 $\lambda$ ，我们设置 $\gg n$ 使得 $\Delta \le 2^{-\lambda}$ ，从而可以抵御私钥恢复攻击。

另外通过降低 $d$ ，这使得 SIS 问题变得更难，我们就可以降低 $q$ 和 $m$ 使得载荷减小。如果令 $m = 2 n$ 那么 $A=[A_1|I], S=[S_1|S_2]^T$ ，那么 $T=AS=A_1S_1+S2$ ，这就转化为了基于 LWE 的格签名，签名值形如 $c,z_1,z_2)$ ，满足 $z_1=y_1+S_1c, z_2=y_2+S_2c$ 。也容易将 LWE 和 SIS 转化到 RLWE 和 RSIS 变体上。

Forking Lemma

接下来证明 [Lyu12] 的签名方案可以抵御签名伪造攻击。

General Forking Lemma（[PS00], [BN06]）：令 $I G$ 是 input generator， $H$ 是大小 $\ge 2$ 的集合， $q$ 是随机访问 $H$ 的次数。敌手 $A$ 定义为
$\leftarrow IG, \{h_1,\cdots,h_q\} \leftarrow_R H, (J,\sigma) \leftarrow A(x,\{h_1,\cdots,h_q\})$
其中 $\sigma$ 是关于 $h_J$ 的，当 $\ge 1$ 时我们说 $A$ 的输出是可接受的，其概率记为 $a cc$ 。我们再定义一个分叉程序 $F_A$ ：

输入 $x$ ，为 $A$ 挑选随机带 $\rho$ ，访问 $H$ 获得 $h_1,\cdots,h_q$ ，调用 $A(x,\{h_1,\cdots,h_q\};\rho)$ 得到 $(I,\sigma)$
当 $I = 0$ 时输出 $(0,\perp,\perp)$ ，当 $I = 1$ 时访问 $H$ 获得新的 $h_I',\cdots,h_q'$ ，调用 $A(x,\{h_1,\cdots,h_{I-1},h_I',\cdots,h_q'\};\rho)$ 得到 $(I',\sigma')$
当 $I = I^{'}$ 且 $h_I \neq h_I'$ 时，输出 $(1,\sigma,\sigma')$ ，否则输出 $(0,\perp,\perp)$

定义成功分叉的概率为 $Pr\left[b=1: x \leftarrow IG, (b,\sigma,\sigma') \leftarrow F_A(x)\right]$ ，那么有
$\ge acc \cdot (\dfrac{acc}{q} - \dfrac{1}{h})$
[Lyu09] 可以作为 [Lyu12] 的 Ring-SIS 版本变体，并且其中分布 $f, g$ 选取了窄区间均匀分布。对于 [Lyu12] 的格签名方案，其安全归约为：首先利用 Hybrid 技术，修改挑战为 $\leftarrow_\mathcal U \{v \in \{-1,0,1\}^k: \|v\|_1 \le \kappa\}$ ，修改回应为 $\leftarrow D_\sigma^m$ ，修改拒绝概率为 $1/ M$ ，则它与原始签名方案统计不可区分。假设 PPT 敌手 $F$ 是成功概率 $\delta$ 的 Forger，我们构造 PPT 敌手 $B$ ，它持有 Forger 和上述的 Signer 的代码并为它们提供随机带 $r_F,r_S$ 作为子程序。在学习阶段它为 $F$ 模拟它与 Signer 以及 RO 的交互视图，模拟 RO 时依次使用 $r_1,\cdots,r_t$ 来回应并打表。在伪造阶段 $F$ 给出了一个可接受副本 $(\mu,(c,z))$ 。如果 $c=H(Az-Tc,\mu)$ 之前没有 RO 查询过，根据 RO 定义可知其成功率不会超过 $1/|D_H|$ ，因此以至少 $\delta-1/|D_H|$ 的概率使得 $H(Az-Tc,\mu)=r_j$ 位于表格中。

假设 $r_j$ 是被 Signer 使用的（即 $\mu',(c=r_j,z')$ 是合法签名），则 $H(Az'-Tc,\mu')=H(Az-Tc,\mu)$ ，于是 $\equiv Az'-Tc$ 且 $\mu=\mu'$ （除了可忽略的概率 $F$ 找到了 RO 的一对碰撞），因此 $\equiv 0$ ，然而 $\neq z'$ （因为 $F$ 成功伪造）从而 $v = z - z^{'}$ 是一个满足 $\pmod q$ 的非零短向量，这打破了 SIS 问题。
假设 $r_j$ 是被 Forger 做 RO 查询时使用的，那么我们记录下 $c=r_j,z)$ 后 rewind，对相同的 $\mu$ 和随机带 $r_F,r_S$ ，使用新的 RO 查询结果 $r_1,\cdots,r_{j-1},r_j',\cdots,r_t'$ ，根据分叉引理 Forger 将会以至少 $(\delta - 1/|D_H|)((\delta - 1/|D_H|)/t - 1/|D_H|)$ 的概率输出一个新的可接受伪造签名 $(\mu',(c'=r_j',z'))$ ，并且 $r_j' \neq r_j$ 。由于两次调用中的 $y$ 是相同的，从而有 $\equiv Ay\equiv Az'-Tc'$ （除了可忽略的概率 $F$ 找到了 RO 的一对碰撞），也就是 $\equiv 0$ ，那么 $v = z - S c - z^{'} + S c^{'}$ 以至少 $1/2$ 的概率（因为 ID 协议是 WI 的）是一个满足 $\pmod q$ 的非零短向量，这也打破了 SIS 问题。

在 SIS 困难性假设下，敌手 $B$ 不存在，那么任意的敌手 $F$ 都不存在。这就证明了基于 SIS 问题的签名方案是 EUF-CMA 的。

而基于 LWE 问题的签名方案，由于 $d$ 和 $m$ 都较小，那么 $T = A S$ 不一定拥有多个证据 $\neq S'$ ，所以 WI 性质是平凡的，依照上述的归约过不去。[Lyu12] 的思路是，使用 Hybrid 技术将 $d$ 扩大到足够大的 $d^{'}$ 使得存在多个证据，然后便可以用上述的安全归约了。需要注意，基于 LWE 的签名方案，抵御私钥恢复攻击是基于 LWE 问题的，但是抵御签名伪造依然是基于 SIS 问题的。

双峰高斯分布

虽然 [Lyu12] 使用高斯分布取代 [Lyu09] 的均匀分布，在保持 $\approx e$ 时使得签名值 $z$ 的规模从 $\tilde O(n^{1.5})$ 降低到了 $\tilde O(n)$ ，但是仍需要选取标准差为 $\sigma = 12\|Sc\|$ 的离散高斯分布，系数 $\tau=12$ 依然过大。[BLISS] 将 $g_v(z)$ 替换为了双峰离散高斯分布 $(D_{\sigma,Sc}^m + D_{\sigma,-Sc}^m)/2$ ，这使得 $g_v(z)$ 与中心离散高斯分布 $f(z)=D_\sigma^m$ 更加接近，从而可以降低 $M$ 的大小。可以证明：
$\dfrac{D_\sigma^m}{\dfrac{1}{2}D_{\sigma,Sc}^m + \dfrac{1}{2}D_{\sigma,-Sc}^m}(x) = \dfrac{\exp\left(\dfrac{\|Sc\|}{2\sigma^2}\right)}{\cosh\left(\dfrac{\langle x, Sc\rangle}{\sigma^2}\right)} \le \exp\left(\dfrac{\|Sc\|}{2\sigma^2}\right)$
其中 $\cosh(x)=(e^x+e^{-x})/2 \ge 1,\forall x$ ，它以概率 $1$ 成立（而不仅仅是 $1-2^{-100}$ ，因此不必截尾）。如果维持 $\approx e$ ，这可以降低标准差为 $\sigma=\|Sc\|/\sqrt 2$ ，从而缩小签名的大小。

对于 $\leftarrow D_{\sigma}^m$ ，选取 $\leftarrow_\mathcal U \{-1,+1\}$ ，计算签名值 $z = y + b S c$ ，它服从双峰高斯。对于验签程序，给定公钥 $T = A S$ ，需要满足 $H(Ay,\mu)=H(Az-Tc,\mu)$ ，这需要 $A y = A z - T c = A y + b T c - T c$ ，于是有 $\equiv Tc \pmod q$ ，那么必须满足 $\equiv -Tc,\forall c$ ，当 $q$ 是素数时 $\mathbb Z_q$ 是无零因子环，从而求出 $\equiv 0 \pmod q$ 。因此 [Lyu12] 中的验签公式不再奏效，[BLISS] 的解决方案是转换到 $\mathbb Z_{2q}$ 上工作，选取 $T\equiv qI \pmod{2q}$ ，那么验签公式 $Ay\equiv Az-Tc \pmod{2q}$ 就可以正确验签了。

签名方案构造如下：

$KeyGen(1^\lambda)$ ：采样一个短矩阵 $\in \mathbb Z_{2q}^{m \times n}$ ，计算矩阵 $\in \mathbb Z_{2q}^{n \times m}$ 使得 $\equiv qI \pmod{2q}$ （也就是 $A=qS^{-1} \pmod{2q}$ ），公开参数为 $A$ 私钥为 $S$ ，公钥为 $q I$ 可省略
$Sign(\mu,A,S)$ ：采样 $\leftarrow D_\sigma^m$ ，计算 $\leftarrow H(Ay,\mu)$ （Hash to point， $\in \{-1,0,1\}^n$ 是 $\kappa$ 重的短向量），然后采样 $\leftarrow_\mathcal U \{0,1\}$ ，计算 $\leftarrow y+(-1)^bSc$ ，依概率 $\dfrac{\exp\left(\|Sc\|/2\sigma^2\right)}{M\cosh\left(\langle z, Sc\rangle/\sigma^2\right)}$ 输出 $(c, z)$ ，否则重新执行 $Sign(\mu,A,S)$
$Verify(\mu,(c,z),A)$ ：首先检查 $\|z\| \le \eta\sqrt m\sigma$ （其中 $\eta \in [1,1,1,4]$ 使得正确签名通过此检查的概率至少为 $1-2^{-\lambda}$ ），额外检查 $\|z\|_\infty < q/4$ （出于安全归约的需要），最后检查 $H(Az+qc,\mu)$ 是否等于 $c$ （因为 $1)^bASc = qc$ ）

由于 $\exp\left(\dfrac{\|Sc\|}{2\sigma^2}\right)$ ，选取 $\sigma \ge \tau\|Sc\|$ 时使得 $\exp(1/(2\tau^2))$ 。因此确定 $\|Sc\|$ 的紧上界可以降低签名大小。容易知道 $\|Sc\| \le \kappa\|S\|$ （[Lyu12] 使用的），另一个上界 $\|Sc\| \le \sqrt\kappa s_1(S)$ ，其中 $s_1(S)$ 是奇异范数（singular norm， $\|A\|_{LSV}:=\sqrt{\max_{\|x\|_2=1} x^TA^TAx}$ 或者是 $\|A\|_{\infty,1}:=\max_{\|x\|_\infty=1}\|Ax\|_1$ ，文章中没写啊）。[BLISS] 给出了一个更紧的上界，定义 $N_k:\mathbb R^{m \times n} \to \mathbb R$ 为
$N_\kappa(X) := \max_{I \subseteq \{1,\cdots,n\},|I|=\kappa} \sum_{i \in I}\left( \max_{J \subseteq \{1,\cdots,n\},|J|=\kappa} \sum_{j \in J} T_{ij}\right),\,\, T=X^TX \in \mathbb R^{n \times n}$
那么对于任意的 $\in \mathbb R^{m \times n}$ 以及任意的 $\in \mathbb B_\kappa^n$ ，都有 $\|Sc\|^2 \le N_\kappa(S)$ 。相较于 [Lyu12]，标准差 $\sigma$ 降低了大约 $\sqrt\kappa/2$ 的因子。并且， $N_\kappa(S)$ 可以快速计算：计算 $T=S^TS$ ，找出最长的 $\kappa$ 列加起来，然后找出它最大的 $\kappa$ 个元素加起来。

我们还要实现 Hash to $B_\kappa^n$ ，[BLISS] 从 RO 中获得 $\kappa' > \kappa$ 个随机数 $x_i \in \mathbb Z_n$ （丢弃 $\ge kn$ 的值保证均匀），然后设置 $c_{x_i}=1$ 直到 $\|c\|_1=\kappa$ 。选取足够大的 $\kappa'$ 使得成功率够高，否则需要重新执行。在 [GLP12] 中，它将 $512$ 长的串分成 $32$ 组，对每组使用 $5$ 比特 $r_1r_2r_3r_4r_5$ ，其中 $r_2r_3r_4r_5$ 用来确定组内的位置， $r_1$ 用于确定符号，于是 $32$ 个分组中恰有 $1$ 个位置非零，且一共只需 $160$ 比特的哈希值。而在 [Dilithium] 中，对于 $i=n-\tau,\cdots,n$ ，从 $XOF(\rho)$ 中获得 $\in \{0,1,\cdots,i\}$ 以及 $\in \{0,1\}$ ，然后设置 $c_i \leftarrow c_j$ 以及 $c_j \leftarrow (-1)^s$ （布谷鸟）。

虽然 $\pmod q$ 很特殊，但是可以证明仅根据 $A$ 难以求解出短矩阵 $S$ 或者短向量 $v = S c$ ：任给一个格基 $B$ ，设置 $\in \mathbb Z_{2q}^{n \times m}$ 满足 $\pmod q$ ，如果 PPT 敌手找到了一个短向量 $v$ 使得 $\pmod q$ ，那么由于 $\pmod{q}$ 是可逆的，因此有 $\pmod q$ ，这就破解了 SIS 问题。

后量子签名：Fiat-Shamir（上篇）