Как сделать контрольную сумму WOTS

Насколько я понимаю, одноразовую подпись Винтерница делают:

1. Создание массива закрытых ключей.
2. Создание массива открытых ключей путем хеширования каждого закрытого ключа X раз, где X — это количество различных возможных символов, которые могут появиться в каждой позиции сообщения (или хеша сообщения) для проверки.
3. Создание массива хэшей в качестве подписи путем хеширования каждого закрытого ключа X минус «порядковый номер символа» раз.
4. Проверка подписи путем подсчета количества хеширования каждого из хэшей подписи для достижения открытого ключа и интерпретация этого подсчета как порядкового номера символа. Затем с помощью этих чисел мы можем сформировать сообщение (или хэш сообщения), которое затем продемонстрирует, что сообщение было действительным.

Следовательно, например, если мы подписываем шестнадцатеричными цифрами, X будет равно 15, поскольку символы будут идти от 0 (1-й символ, представляющий 0 итераций) до F (16-й символ, представляющий 15 итераций). Таким образом, сколько бы раз нам ни нужно было хешировать подпись, чтобы получить открытый ключ, она будет представлять определенное значение, от 0 до 15 раз (что дает фактически 16 возможностей). А если оно никогда не достигает его, то оно недействительно.

Сказав это, я прочитал, что слабость заключается в том, что подпись может быть изменена, потому что, например, если один подписанный символ - это A, то информации достаточно для хеширования также B, C, D, E и F. Тогда , по мнению многих, в том числе этот сайт, решение состоит в том, чтобы сделать контрольную сумму.

И вот тут я застрял. Я также не понимаю, как реализовать контрольную сумму. Я нашел несколько объяснений, но все они слишком технические или слишком расплывчатые и не говорят мне точно, простыми словами, как сделать эту контрольную сумму.

Пожалуйста, объясните мне, как сделать контрольную сумму простым языком, который может понять каждый.

И, если возможно, прокомментируйте, как эта контрольная сумма не могла быть испорчена. Спасибо.

Пожалуйста, объясните мне, как сделать контрольную сумму простым языком, который может понять каждый.

На самом деле это «обратная контрольная сумма»; когда вы подписываете символ X, вы также добавляете значение 15-X к контрольной сумме; например, если вы подписываете A, вы добавляете 5 к контрольной сумме (поскольку A+5=F, по крайней мере, в шестнадцатеричном формате). Затем вы берете эту сумму и подписываете ее.

Например, если значение, которое вы подписываете, состоит из 4 символов A, 4, F, 0, то вы суммируете инверсии (F-A)+(F-4)+(F-F)+(F-0)=1F, и поэтому включите два символа 1, F в подпись.

Нетрудно заметить, что если злоумышленник попытается увеличить символ в хэшированном сообщении, он уменьшит значение обратной контрольной суммы, а это означает, что какой-то символ в сумме уменьшится (и злоумышленник не сможет сгенерировать подпись для этот уменьшенный символ).

Например, если злоумышленник попытался подделать 4 символа B, 4, F, 0, обратная контрольная сумма, которую получит проверяющий, будет 1E, злоумышленник не сможет сгенерировать WOTS, действительный для «E» (учитывая, что он знает только значение для 'F')