无需等到2077年，这些方法就可以实现DID后量子安全

简介

作者：Dr. Carsten Stöcker (Spherity GmbH), Dr. Samuel M. Smith (ProSapien LLC)；共同作者（编辑）：Dr. Juan Caballero (Spherity GmbH)

2020年1月19日，杜塞尔多夫

RWOT 虚拟社区内的论文

https://github.com/WebOfTrustInfo/rwot10-buenosaires/blob/master/final-documents/quantum-secure-dids.md

关键词：去中心化身份、W3C DID 规范、数字签名、密钥轮转、哈希函数、DAD、关键事件接收日志（KERL）、关键时间接收基础设施（KERI）、比特币 P2PKH、因式分解、哈希碰撞、量子计算、密码学

本期，作为最终章，我们将围绕实现 DID 后量子安全的方法和 KERI 方法继续展开，并得出相关结论。

实现DID后量子安全的方法

我们提出使用现有密码方案实现 DID 量子安全的方法，该方法基于以下用户流程：

A. 初始化新的 DID

作为 DID 的用户和新 DID 持有者，我是用户本人或用户本人的监护人，我希望通过执行以下步骤从高质量熵中初始化新的 DID：

1. 最好使用量子随机数生成器（QRND）根据高质量的随机性生成初始的密钥对，并使用该密钥对和密码学哈希函数（例如，SHA2-512）导出 DID 标识符；

2. 生成多个密钥对，用于代表该 DID 签名和密钥轮换；

3. 创建和配置初始 DID Document 和/或初始关键事件日志条目，同时配置一个或多个公开密钥元组哈希以将其放入。

B. 签名操作

作为 DID 用户和 DID 控制私钥的持有者，我想签署交易、凭证或凭证展示，并且我不希望在公钥公开时受到量子攻击。我应该：

1. 使用我当前密钥元组中的1号私钥签署 DID 文档或可验证的凭证/凭证展示；

2. 同时使用同一密钥元组中的2号私钥签署密钥轮换的交易，从而停用到目前为止哈希值已经公开的整个密钥元组。

注意：

在签署 DID Dcoument 相关交易时，可以使用相同私钥对 DID Document 更新和密钥轮换交易进行签名。相关密钥的增加只是为了防止步骤 B1和 B2发生不想要的关联。

- 对于给定的 DID 标识符，DID 持有者未使用的密钥元组用尽时，持有者可能需要停用密钥元组哈希并同时注册新的密钥元组哈希。

- 同时签署凭证（或凭证展示）发行和密钥停用（或轮换）要求签名交易和存储在凭证（或凭证展示）中的发行时间之间的精确同步。应参考密钥轮换方法的响应时间以及通过量子计算机的攻击从公钥中恢复私钥所需的时间来考虑时间和安全性参数。因此，设置同步容限需要平衡攻击风险与实施成本和复杂性。

- 根据目前的 DID 系统和 KERI 根据其当前设计的参考实现，此处描述的机制在今天是完全可行的。当然，随着时间的推移，这两个元素都在不断迭代，并且变得越来越复杂。

C. 验证凭证

作为一个凭证验证者，我想验证一个可验证的凭证或凭证展示。我应该：

1. 根据 W3C 标准和相关的撤销方法验证过期和撤销信息；

2. 验证凭证的颁发时间以及 DID 文档和/或 KERI 事件日志中公钥哈希的有效性和停用时间。

KERI方法

KERI 在每个轮换事件中使用预轮换方案，该方案也对下一个轮换密钥或一组密钥作出前向加密承诺。预轮换是一种管理轮换密钥的简练方式。使用预轮换时，给定的轮换密钥集只能使用一次。如果此前向承诺表示为下一个轮换密钥集的摘要，则可以将前轮换视为是后量子安全的。KERI 设计白皮书的最新版本提出了这种方法。该方案的详细信息可以在 Smith 的《Key Event Receipt Infrastructure (KERI) Design》中找到。下图显示了预轮换的基本思想以及后一组密钥的后量子安全摘要。

结 论：

面对大数分解等问题，量子计算机远胜于传统计算机，但在碰撞搜索中却不具备这种超高的计算性能。因此，可以说现有用于签名的密码学原语容易受到量子攻击，而哈希算法具有抵御量子攻击的能力。我们可以针对这种脆弱性不均匀分布的特性设计出一些方法，在使用现有密码学原语的基础上让 DID 更具量子安全性。在从易受量子分解等影响的现有密码算法过渡到可用的抗量子签名算法时，可以考虑应用该方法。

特别是，KERI 设计允许进行可验证的、高效的密钥停用和轮换操作。我们建议考虑对 DID（特别是高风险 DID，例如用于自然人和法人身份的 DID）应用轮换密集型范式，将其作为对 SSI 基础结构进行整体验证的一种方法。在发布时，完善和公开提出的方法以使后量子安全 DID 作为 KERI 参考实施的非规范性附录标准机制成为可能，这意义非凡。

对于 W3C DID 工作组的未来迭代，也许有一天会考虑使用更通用的标准定义。

全篇终