高效可撤销、可审计的匿名凭证及AArch64上的哈希算法优化

### 高效可撤销、可审计的匿名凭证及AArch64上的哈希算法优化 #### 1. Protego匿名凭证方案 Protego是一种高效、可撤销且可审计的匿名凭证方案，其速度至少是最新Idemix扩展的两倍，这使得它能在更广泛的应用场景中发挥作用。该方案具有很强的灵活性，在不同的上下文环境中，证明（PoE）可以选择计算或不计算，凭证发行者可以选择隐藏或不隐藏，还可以仅选择子集或不相交的集合来生成证明。同时，可审计性和撤销功能也可作为可选特性。 未来，Protego方案有以下几个值得探索的方向： 1. 为类似Protego的凭证方案添加交易保密性。 2. 赋予用户更多权力，例如定义用户发起的监管措施的精确概念。 3. 将研究结果扩展到多权威机构场景，让用户可以从多个权威机构获取属性，而非单一机构。 此外，还构建了一种用于隐藏发行者的非交互式零知识证明（NIZK）论证。给定两个证明π1和π2，分别对应陈述x1 = w1vi和x2 = w2vi，能够计算出对于陈述x = (αw1 + βw2)vi的有效证明π，其中α和β是新的参数。该证明系统的派生隐私属性确保π看起来像新计算的证明，其安全性基于相关定理。 #### 2. AArch64上的Keccak和SPHINCS+实现 ##### 2.1 背景介绍 哈希函数和基于Keccak置换的可扩展输出函数自2012年被美国国家标准与技术研究院（NIST）标准化为SHA - 3和SHAKE后，受到了广泛关注。后量子密码学（PQC）大量使用SHA - 3和SHAKE作为构建模块。2022年7月，NIST宣布了其首个PQC标准中计划纳入的四个方案，均使用了SHA - 3。其中包括基于哈希的签名方案SPHINCS+，以及三个基于格的方案：密钥封装方案Kyber、数字签名方案Dilithium和Falcon。 基于格的签名方案性能良好，常优于传统公钥密码学，但基于哈希的签名方案也有重要优势：一是仅依赖底层哈希函数的抗碰撞性和抗预像性，而基于格的签名依赖计算问题（M - LWE、M - SIS和NTRU）；二是公钥小得多，仅32到64字节，而Dilithium至少需要1312字节，Falcon至少需要897字节。 由于SPHINCS+即将部署，了解其在各种平台上的性能至关重要。哈希签名的计算瓶颈在于哈希函数的调用，因此快速的哈希实现能带来快速的SPHINCS+实现。而且，SPHINCS+可利用并行哈希实现，这在支持单指令多数据（SIMD）指令的平台上尤为有用。 ##### 2.2 研究贡献 本次研究主要有以下贡献： 1. 通过大量使用桶形移位器替代独立旋转操作，缩短了AArch64上Keccak - f1600的标量实现，在目标CPU上显著提升了性能。 2. 发现使用Armv8.4 - A SHA - 3 Neon指令的2路并行Keccak - f1600实现，有时可通过混合常规Neon指令来加速，提高硬件利用率。 3. 提出了3路、4路和5路并行Keccak - f1600的标量/Neon混合实现。这些实现通过Neon单元进行2路并行Keccak计算，同时在标量执行单元进行额外的置换计算。还研究了有无SHA - 3指令的混合实现。 4. 将Keccak - f1600实现应用于SPHINCS+，实现了比现有技术高达1.89倍的签名加速。 5. 详细分析了目标微架构与Keccak - f1600实现优化潜力之间的关系。 研究成果的代码可在[https://gitlab.com/arm - research/security/pqax](https://gitlab.com/arm - research/security/pqax)获取。 ##### 2.3 相关工作 此前已有一些关于AArch64上SPHINCS+及其相关技术的研究： - Kölbl研究了AArch64上SPHINCS（SPHINCS+的前身）的实现，针对Cortex - A57和Cortex - A72 CPU，使用了来自eXtended Keccak代码包（XKCP）的2路并行Neon实现。 - Westerbaan提出了使用Armv8.4 - A SHA - 3指令的2路并行Neon实现，该实现也用于SPHINCS+的NIST PQC提交。 - Nguyen和Gaj以及Becker等人研究了AArch64上基于格的密码学。 - 混合实现此前也在其他场景中得到应用，如Bernstein和Schwabe提出了Armv7 - A上Salsa20密码的标量/向量混合实现，Lenngren提出了Armv8 - A上X25519密钥交换机制的标量/向量混合实现。 ##### 2.4 应用拓展 本次研究的成果具有广泛的应用前景： - 有状态哈希签名方案，如XMSS或LMS，也可并行实现，因此本研究的实现可集成到这些方案中。 - 其他后量子候选方案也能从更快的哈希计算中受益，如Kyber和Dilithium设计为利用快速并行哈希，虽具体评估留待未来工作，但预计可实现加速。 - KangarooT