基于格的数字签名算法：Falcon 的签名生成与验证过程 题目描述 Falcon（Fast-Fourier Lattice-based Compact Signatures）是一种基于NTRU格的后量子数字签名算法，以其紧凑的签名尺寸和高效率著称。题目要求详细解释Falcon的签名生成与验证过程，重点包括密钥生成、签名生成中的格基采样（如Klein采样或快速傅里叶采样）以及验证时的范数检查。 解题过程 密钥生成 选择环 \( R = \mathbb{Z}[ x ]/(x^n + 1) \)，其中 \( n \) 是2的幂（如512或1024）。 随机生成短多项式 \( f, g \in R \)，满足 \( f \) 可逆模 \( q \)（\( q \) 为模数，如12289）。 计算公钥 \( h = g/f \mod q \)，私钥为格基 \( (f, g) \) 及其伴随向量 \( (F, G) \)，满足 \( fG - gF = q \)。 通过快速傅里叶变换（FFT）优化格基的预计算，用于后续采样。 签名生成 输入消息 \( m \) 和私钥。 计算哈希 \( c = H(m) \in R \)，映射到格空间。 使用格基采样（如Klein采样或Falcon的FFT采样）找到短向量 \( (s_ 1, s_ 2) \)，使得 \( s_ 1 + s_ 2 \cdot h = c \mod q \)。 采样目标：使 \( (s_ 1, s_ 2) \) 的欧几里得范数最小，确保签名紧凑。 核心步骤：通过FFT将格基对角化，高效计算高斯采样，避免高维运算。 输出签名 \( s = s_ 2 \)。 签名验证 输入消息 \( m \)、签名 \( s \) 和公钥 \( h \)。 重新计算哈希 \( c' = H(m) \)。 验证等式 \( s_ 1' = c' - s \cdot h \mod q \) 是否成立，并检查 \( (s_ 1', s) \) 的范数是否小于预设阈值（如签名安全边界）。 若范数检查通过，则签名有效；否则拒绝。 关键点 Falcon利用NTRU格的代数结构，通过FFT加速采样和范数计算，比一般格签名更高效。 签名安全性依赖于短整数解问题（SIS）的困难性，采样过程需避免信息泄漏（如侧信道攻击）。 实际实现需处理浮点运算精度（如FFT中的数值稳定性）和常数时间优化。