HASH GAME - Online Skill Game GET 300

　　大部分哈希散列签名不容易受到 Shor 算法影响。当然，我们不是说哈希散列签名能够完全抵抗量子计算攻击；对哈希运算最有效的量子攻击称作Grover 算法，它会大大降低哈希运算的安全性。不过这种程度的安全性影响，远小于 Shor 算法带来的影响（破解时间层级差别在平方到立方之间），因此可以简单通过增加哈希函数的运算内容和输出大小，来保障签名的安全性。像是 SHA3 系列哈希函数开发目的很明确，它能处理更大的输入，并有更好的能力对抗量子计算攻击。

　　在 1980 年，Oded Goldreich 指出有一种手段能够建立无需保持状态的签名。想法如下：不预先生成所有密钥，而是生成一个简短的一次性公钥的“验证树”。每一个密钥的都可以在树的底层签署额外的一次性公钥，并以此类推。如果使用单个种子生成所有私钥，则表示完整的 Merkle 树不需要在密钥生成时存在，而可以在生成新密钥时按需求构建。每个签名都包含签名和公钥的“验证链”；从根节点开始，一直到叶节点真正用于签名的密钥对。

　　Picnic：后量子零知识签名（post-quantum zero-knowledge based signatures）。Picnic 是完全不同的想法，它基于一项全新的非交互式零知识证明系统（non-interactive zero-knowledge proof system）技术，称为ZKBoo。ZKBoo 是一种新的 ZK 证明系统，它基于一种称为“头脑中的 MPC”的技术，让证明者使用多方计算来进行自证。这已经过于复杂，无法详细解释；但最终的结果是，人们可以继续使用哈希函数来验证复杂的语句。

　　不过，这是攻击者只看到了公钥，却还未看到任何一个有效签名的情况。在下面情况中，攻击者能够获得更多讯息。假设她现在有了公钥和一部分的密钥 pk01= H(sk01) 和 sk01。如果攻击者能够找到公钥 pk01的次原像，虽然她还不能对不同的消息进行签名伪造，但实际上她已经生成了一个新的签名。对于签名安全要求特别特别严格的场景（SUF-CMA），这就可以被视为一次有效的攻击了。因此 SUF-CMA 在抗 次原像攻击上有很高的标准。