问为什么long签名这么长？

EN

显然，一个人可以使签名更短，通过再次哈希以上。Boneh和Shoup用这种方式定义了Winternitz签名。

不，Bohen没有；他们的Winternitz签名是散列的连接。这可以看作是他们书的0.5版第591页上的S(sk, m)算法的输出--他们生成的签名是(\sigma_1, ..., \sigma_n)，也就是中间散列\sigma_1, ..., \sigma_n的级联。

如果您确实生成了一个签名，该签名是中间散列的散列，则不清楚验证过程应该如何工作。Boneh和Shoup建议的过程(这就是starts所做的)从中间散列\sigma_1, ..., \sigma_n开始，然后沿着散列链向上一直到with链y_1, ..., y_n的顶部。目前还不清楚如何仅在y_1, ..., y_n中重新派生H(\sigma_1, ..., \sigma_n)。

现在，他们使用的公钥实际上是链H( y_1, ..., y_n)的所有顶部的散列，因此公钥是短的。LM也遵循这一点。