后量子密码算法SLH-DSA介绍及开源代码实现
SLH-DSA:抗量子时代的无状态哈希基数字签名技术
标准原文:https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.205.pdf
在量子计算技术飞速发展的今天,传统基于大整数分解或离散对数问题的数字签名算法(如 RSA、ECDSA)面临被量子算法破解的风险。为应对这一挑战,美国国家标准与技术研究院(NIST)推出了基于哈希函数的无状态数字签名标准 ——SLH-DSA(Stateless Hash-Based Digital Signature Algorithm),并将其纳入 FIPS 205 标准。SLH-DSA 源于 SPHINCS + 算法,是 NIST 后量子密码学标准化进程中选中的重要方案,为数字签名提供了量子时代的安全保障。本文将深入解析 SLH-DSA 的技术原理、核心组件、参数特性及应用场景。
一、SLH-DSA 的诞生背景与核心定位
1.1 后量子密码学的迫切需求
传统数字签名算法的安全性依赖于经典计算机上难以解决的数学问题,但量子计算机若实现规模化应用,肖尔(Shor)算法可在多项式时间内破解这些问题,导致现有签名体系失效。因此,基于哈希函数、格、编码等抗量子问题的新型密码算法成为替代方案。其中,哈希基签名算法凭借其安全性仅依赖哈希函数的抗碰撞性和单向性,成为后量子时代的重要选择。
1.2 SLH-DSA 的定位与优势
SLH-DSA 是一种无状态哈希基数字签名算法,其核心优势在于:
- 抗量子性:安全性基于哈希函数的底层特性,不受量子算法威胁;
- 无状态性:无需维护签名计数器或状态信息,便于部署和使用;
- 高安全性:支持多种安全级别,可满足不同场景的需求。
SLH-DSA 源于 SPHINCS + 算法,经 NIST 评估和优化后标准化为 FIPS 205(2024 年 8 月发布),旨在为电子政务、金融交易、软件分发等场景提供长期安全的数字签名服务。
二、SLH-DSA 的技术原理与核心组件
SLH-DSA 通过多层哈希结构实现数字签名,核心组件包括 Winternitz 一次性签名方案(WOTS+)、扩展 Merkle 签名方案(XMSS)、随机子集森林(FORS)和超树(Hypertree)结构。这些组件相互配合,既解决了一次性签名的局限性,又实现了无状态的多消息签名能力。
2.1 基础组件:WOTS + 一次性签名
WOTS+(Winternitz One-Time Signature Plus)是 SLH-DSA 的底层签名工具,用于对单个消息进行签名。其核心思想是通过哈希链实现一次性签名,具体流程如下:
- 密钥生成:从私钥种子生成一组秘密值,每个秘密值通过哈希链迭代生成对应的公钥值,公钥由这些公钥值哈希压缩而成;
- 签名生成:将消息拆分为多个片段,每个片段对应一条哈希链,从秘密值开始迭代指定次数(由片段值决定),取中间结果作为签名;
- 验证:从签名值出发,继续迭代剩余次数得到公钥值,与原始公钥比对验证有效性。
WOTS + 通过引入校验和机制,确保消息片段的完整性,避免因部分片段篡改导致的验证失效。
2.2 多消息签名:XMSS 与超树结构
WOTS + 仅能用于一次性签名,无法满足多消息场景需求。SLH-DSA 通过 XMSS(eXtended Merkle Signature Scheme)和超树(Hypertree)结构解决这一问题:
- XMSS:将多个 WOTS + 公钥组织成 Merkle 哈希树,树的根节点作为 XMSS 公钥。每次签名时,使用一个 WOTS + 密钥对消息签名,并提供从该 WOTS + 公钥到树根的认证路径,实现多消息签名;
- 超树:当需要支持更多签名次数时,SLH-DSA 将多个 XMSS 树按层级组织为超树。底层 XMSS 树用于签名消息,上层 XMSS 树用于认证下层 XMSS 树的公钥,最终形成一个可支持海量签名的层级结构。
2.3 高效消息签名:FORS 随机子集森林
为提高签名效率,SLH-DSA 引入 FORS(Forest of Random Subsets)作为中间层签名方案:
- 结构:FORS 由 k 棵 Merkle 树组成,每棵树的叶子节点对应一个秘密值;
- 签名过程:将消息哈希值拆分为 k 个片段,每个片段指定一棵树上的叶子节点,签名包含这些叶子节点的秘密值及对应的认证路径;
- 验证过程:从签名恢复出每棵树的根节点,再将这些根节点哈希压缩为 FORS 公钥,与原始公钥比对。
FORS 通过并行处理多个哈希树,大幅提升了短消息签名的效率,同时保持了抗量子特性。
三、SLH-DSA 的签名与验证流程
SLH-DSA 的完整签名与验证过程整合了上述组件,具体步骤如下:
3.1 签名生成
- 消息哈希:使用随机化哈希函数对消息进行处理,生成消息摘要;
- FORS 签名:将消息摘要的一部分作为 FORS 的输入,生成 FORS 签名及对应的公钥;
- 超树签名:用超树底层的 XMSS 密钥对 FORS 公钥签名,同时生成从该 XMSS 公钥到超树根节点的认证路径;
- 签名组合:最终签名包含 FORS 签名、XMSS 签名、认证路径及随机化参数。
3.2 签名验证
- 消息哈希:使用与签名相同的随机化哈希函数处理消息,生成消息摘要;
- FORS 验证:从 FORS 签名恢复公钥,验证其有效性;
- 超树验证:通过 XMSS 签名和认证路径,验证 FORS 公钥的合法性,最终确认其与超树根节点的一致性;
- 结果判断:若所有验证步骤通过,则签名有效。
四、参数特性与安全级别
SLH-DSA 定义了 12 个参数集,涵盖不同安全级别和性能需求,核心参数包括:
- 安全参数 n:哈希值长度(16、24、32 字节),决定基础安全强度;
- WOTS + 参数:哈希链长度 w(默认 16),影响签名长度和效率;
- XMSS 参数:树高 h',决定单棵 XMSS 树支持的签名次数;
- 超树参数:层数 d 和总高度 h,决定超树支持的总签名次数;
- FORS 参数:树的数量 k 和高度 a,平衡签名效率与安全性。
典型参数集示例
| 参数集名称 | 安全级别 | 公钥长度 | 签名长度 | 适用场景 |
| SLH-DSA-SHA2-128s | 128 位 | 32 字节 | 7856 字节 | 普通数据完整性验证 |
| SLH-DSA-SHA2-192s | 192 位 | 48 字节 | 16224 字节 | 金融交易、电子政务 |
| SLH-DSA-SHA2-256s | 256 位 | 64 字节 | 29792 字节 | 国防、关键基础设施 |
参数集中的 “s” 表示 “small”(短签名),“f” 表示 “fast”(快速签名),用户可根据场景在签名长度和效率间权衡。
五、应用场景与优势
5.1 长期数据存档与验证
SLH-DSA 的抗量子特性使其适用于需要长期保存的数据签名,如电子档案、医疗记录、法律文档等。即使未来量子计算机普及,这些签名仍能保持有效性。
5.2 高安全性交易系统
在网上银行、跨境支付等场景中,SLH-DSA 可确保交易指令的真实性和完整性,防止量子时代的伪造攻击,保护用户资金安全。
5.3 软件与固件签名
操作系统镜像、物联网设备固件等需要通过数字签名验证来源,SLH-DSA 可抵御量子攻击,防止恶意代码注入和设备劫持。
5.4 分布式系统与区块链
区块链中的区块签名、分布式节点身份认证等场景可采用 SLH-DSA,避免量子计算对共识机制的破坏,保障分布式系统的长期安全。
六、未来发展与挑战
6.1 性能优化
当前 SLH-DSA 的签名长度较长(最高近 30KB),未来可通过哈希函数优化、结构压缩等技术减少签名尺寸,提升传输和存储效率。
6.2 标准化与生态建设
作为 NIST 标准,SLH-DSA 需推动软硬件实现的标准化,开发兼容的密码模块和应用接口,促进在政府、企业中的大规模应用。
6.3 抗侧信道攻击
实际部署中需防范侧信道攻击(如时序攻击、功耗分析),通过硬件隔离、随机化计算等技术增强实现安全性。
6.4 与其他后量子算法协同
SLH-DSA 可与格基、编码基等其他后量子算法形成互补,构建多层次安全体系,应对未来复杂的量子威胁环境。
结语
SLH-DSA 作为无状态哈希基数字签名的标杆方案,为后量子时代的信息安全提供了可靠保障。其基于哈希函数的简洁设计、可证明的安全性及灵活的参数配置,使其成为替代传统签名算法的重要选择。随着量子计算技术的发展,SLH-DSA 将在数字身份认证、数据完整性保护、安全通信等领域发挥关键作用,为构建量子安全的数字世界奠定基础。
开源代码实现参考
【openHiTLS开源密码库已开源实现SLH-DSA,欢迎下载使用】
openHiTLS旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
项目地址:https://gitcode.com/openHiTLS/openhitls