量子算法的发展不仅推动了密码学理论的发展进步，也预示着计算技术的未来，将深刻影响科学研究、工业生产、社会生活等各个层面。在这样的背景下，NIST公布的三项PQC标准——Kyber、Dilithium和SPHINCS+算法，显得尤为重要。它们是量子时代信息安全的重要保障，也是密码学界应对量子计算挑战的重要成果。本期，我们将聚焦于SPHINCS+算法，探索其独特之处。

SPHINCS+（Stateless Practical Hash-based Signatures Plus）算法是一种基于哈希函数的后量子数字签名算法，专为应对量子计算威胁设计。它通过无状态设计、多层Merkle树（Hypertree）和一次性签名（WOTS+）的创新结合，提供强大的量子抗性，已被选为NIST后量子数字签名标准（FIPS 205），它也是NIST后量子项目中唯一入选的基于哈希的数字签名算法。

核心原理

SPHINCS+结合了以下关键技术：

01. 无状态设计：

SPHINCS+通过Hypertree结构避免了复杂的签名状态管理问题。Hypertree由多层XMSS（eXtended Merkle Signature Scheme）树组成，每层树的根值用于验证下一层的公钥，从而实现签名过程的无状态性。

02. 一次性签名（WOTS+）：

使用Winternitz一次性签名方案（WOTS+）生成每条Merkle路径的叶节点。WOTS+具有效率高、抗碰撞性强的特点，是SPHINCS+安全性的基础。

03. 少次签名（FORS）：

FORS（Forest of Random Subsets）用于生成少次签名（Few-Time Signature），进一步优化了多次签名的效率和安全性。

04. 哈希函数：

SPHINCS+的安全性依赖于哈希函数的抗碰撞性和抗第二原像攻击，避免了对复杂数学问题（如格、同源等）的依赖，使其具备更牢靠的量子安全性。

参数大小

SPHINCS+支持非常广泛的参数集选择，以下以SLH-DSA-SHA2-128s为例：

优势与不足

SPHINCS+具有以下优势和不足：

01. 优势：

◆ 理论基础坚实：基于经过多年验证的哈希函数和 Merkle 树技术，可靠性高且无需依赖复杂数学问题（如格问题）。

◆ 无状态设计：无需维护签名状态，避免密钥误用和复杂的状态管理，适合资源受限的环境。

◆ 参数灵活：SPHINCS+支持基于SHA-2或SHAKE的多种参数集，允许开发者根据场景需求调整安全性、签名大小和性能之间的平衡。

◆ 公私钥尺寸小：相比于其他基于格的后量子数字签名方案，Sphincs+具有较小的公私钥尺寸，这使得Sphincs+在存储和传输方面具有优势。

02. 不足：

◆ 签名大小较大：根据参数设置，较低安全级别的SLH-DSA-SHA2-128s签名大小约为8KB，而较高安全级别的SLH-DSA-SHA2-256f甚至达到50KB，比传统签名算法（如RSA或ECC）大得多，不适合对存储和带宽要求严格的场景。

◆ 计算开销较高：签名生成和验证需要大量哈希计算，导致性能较低，尤其在低功耗设备或嵌入式系统中可能成为瓶颈。

◆ 验证速度相对较慢：Merkle树的多层验证增加了签名验证过程的复杂性，对实时性要求高的场景可能不够理想。

◆ 硬件依赖：在需要大量哈希计算的场景中，可能需要高性能硬件支持，增加了系统部署成本。

应用场景

01. 长期数据保护：

适用于政府、金融和医疗领域，需要确保数据在未来几十年内的安全性的应用场景。

02. 嵌入式系统：

无状态设计简化了设备的密钥管理，尽管计算开销较大，但适合某些高安全需求的嵌入式场景。

03. 区块链与数字身份：

适用于保护分布式账本中的交易签名安全，以及量子安全的数字身份认证。

总结

SPHINCS+是一种创新的后量子签名方案，通过Hypertree、FORS和WOTS+技术实现无状态设计和高效的量子安全性。作为NIST后量子签名标准之一，SPHINCS+是唯一选用的基于哈希的签名方案，适用于多种高安全需求的应用场景。尽管在签名大小和效率上存在一定挑战，其高度安全性为未来数字签名体系奠定了坚实基础。

AG旗舰厅公司，作为数据安全领域的专家，拥有30年的行业经验，专注于密码算法、数字安全防护和安全芯片操作系统技术。我们将持续关注后量子算法的最新发展，积极布局，为用户提供全面而强大的数字安全防护解决方案。