In 2012, Lyubashevsky introduced a new framework for building lattice-based signature schemes without resorting to any trapdoor [such as Gentry C, Peikert C, Vaikuntanathan V, in: Ladner and Dwork (eds) 40th ACM STOC, ACM Press, Victoria, pp. 197–206, 2008 or Hoffstein J, Pipher J, Silverman JH in: Pfitzmann (ed) EUROCRYPT 2001. LNCS, vol. 2045, pp 211–228, Springer, Heidelberg, 2001]. The idea is to sample a set of short lattice elements and construct the public key as a Short Integer Solution (SIS for short) instance. Signatures are obtained using a small subset sum of the secret key, hidden by a (large) Gaussian mask. (Information leakage is dealt with using rejection sampling.) Recently, Persichetti proposed an efficient adaptation of this framework to coding theory (Persichetti E in Cryptography 2(4):30, 2018). In this paper, we show that this adaptation cannot be secure, even for one-time signatures (OTS), due to an inherent difference between bounds in Hamming and Euclidean metrics. The attack consists in rewriting a signature as a noisy syndrome decoding problem, which can be handled efficiently using the extended bit flipping decoding algorithm. We illustrate our results by breaking Persichetti’s OTS scheme built upon this approach (Persichetti 2018): using a single signature, we recover the secret (signing) key in about the same amount of time as required for a couple of signature verifications.

中文翻译：

---

基于代码的一次性签名的密码分析

2012 年，Lyubashevsky 引入了一个新的框架来构建基于格的签名方案，而无需求助于任何陷门 [例如 Gentry C、Peikert C、Vaikuntanathan V，在：Ladner 和 Dwork (eds) 40th ACM STOC，ACM Press，Victoria，pp . 197–206, 2008 或 Hoffstein J, Pipher J, Silverman JH in: Pfitzmann (ed) EUROCRYPT 2001. LNCS, vol. 2045，第 211-228 页，斯普林格，海德堡，2001 年]。其思想是对一组短晶格元素进行采样，并将公钥构造为一个短整数解（简称SIS）实例。使用秘密密钥的小子集总和获得签名，由（大）高斯掩码隐藏。（使用拒绝采样来处理信息泄漏。）最近，Persichetti 提出了将该框架有效适应编码理论的方法（Persichetti E in Cryptography 2(4):30, 2018）。在本文中，我们表明，即使对于一次性签名 (OTS)，这种适应也不安全，因为汉明度量和欧几里得度量的界限之间存在固有差异。该攻击包括将签名重写为噪声综合症解码问题，可以使用扩展位翻转解码算法有效地处理该问题。我们通过打破基于这种方法 (Persichetti 2018) 的 Persichetti 的 OTS 方案来说明我们的结果：使用单个签名，我们在与几次签名验证所需的时间大致相同的时间内恢复秘密（签名）密钥。可以使用扩展位翻转解码算法有效地处理。我们通过打破基于这种方法 (Persichetti 2018) 的 Persichetti 的 OTS 方案来说明我们的结果：使用单个签名，我们在与几次签名验证所需的时间大致相同的时间内恢复秘密（签名）密钥。可以使用扩展位翻转解码算法有效地处理。我们通过打破基于这种方法 (Persichetti 2018) 的 Persichetti 的 OTS 方案来说明我们的结果：使用单个签名，我们在与几次签名验证所需的时间大致相同的时间内恢复秘密（签名）密钥。