论文 2026/1032

移除约简失当：审查生产ML-DSA实现中约简之置放

李勋韩国能源技术研究院（KENTECH）

尹胜勋韩国能源技术研究院（KENTECH）

摘要

量子后签名术于生产密码库中正确实现，虽经标准化，犹存难处。ML-DSA之实，赖于基于NTT之多项式运算，兼用惰性Montgomery约减，然省略约减，或为有效之优化，或为潜藏之算术缺陷。实践中，为求效能、内存或嵌入式部署之故，约减调用常被删去，然所需正确条件乃跨程序：某处看似冗余，于后继InvNTT阶段或为负重之关键。本文献中，吾等提出一种凭证书之审计方法，用于生产ML-DSA实现中约减之置放。自保守之pq-crystals拓扑始，吾等之分析，将系数界限沿全签名路径传递，将约减之位分类为冗余或必要。关键之技术要素，乃对稀疏挑战乘积之精确整数恢复结果，此结果将InvNTT后之界限自(-Q,Q)紧缩为[-τη, τη]，并区分稀疏乘积路径上之安全省略与负重之密集乘积位。将此方法施于八种ML-DSA库，吾等发现wolfSSL之内存优化WOLFSSL-DILITHIUM-SMALL路径中，此前未报之缺陷，其省略矩阵乘法后之约减，致溢出、非合规算术及签名失败，然犹能通过该实现现有之KAT测试。此位分类有可重演之SMT-LIB2证书为据，核心整数界限之引理，于无公理之Coq开发中交叉检验。

@misc{cryptoeprint:2026/1032,
      author = {Sunwoo Lee and Hyuk Lim and Seunghyun Yoon},
      title = {When Removing Reductions Goes Wrong: Auditing Reduction Placement in Production {ML}-{DSA} Implementations},
      howpublished = {Cryptology {ePrint} Archive, Paper 2026/1032},
      year = {2026},
      url = {https://eprint.iacr.org/2026/1032}
}