郑熙谦(Jung Hee Cheon)、孔明秋(Hyongmin Choe)、阿兰·帕塞莱(Alain Passelègue)、达米安·斯特莱(Damien Stehlé)和埃利亚斯·苏万托(Elias Suvanto)
Li和Micciancio【Eurocrypt’21】提出了一种最新的全同态加密(FHE)安全模型,称为IND-CPA^D安全,它通过让攻击者访问密文解密预言机来加强IND-CPA安全性,攻击者应该知道密文的底层明文。这包括它(诚实地)加密的密文,以及通过评估它选择的电路而从后者获得的密文。Li和Micciancio通过对CKKS FHE方案进行IND-CPA^D攻击,挑出了近似数据的方案[Asiacrypt’17],并声称IND-CPA安全性和IND-CPA^D安全性与精确的FHE计划一致。我们纠正了普遍认为IND-CPA^D攻击特定于近似同态计算的观点。事实上,Li和Micciancio正式证明的等价性假设方案的错误解密概率可以忽略不计。然而,几乎所有精确FHE方案的竞争实现都通过启发式分析正确性并允许明显的错误解密概率来放弃强正确性。我们利用这种不完美的正确性对所有主要的精确FHE方案进行有效的非自适应不可区分性和密钥恢复攻击。我们通过使用OpenFHE为BFV实现它们并模拟对TFHE-rs的CGGI实现的默认参数集的攻击来说明它们的优势(由于CGGI引导的成本,攻击实验太昂贵,无法在普通桌面上运行)。当正确性类似松散时,我们的攻击扩展到离散数据的CKKS和精确FHE方案的阈值版本。
乔纳森·卡茨
在过去几年中,用于离散对数设置的分布式(阈值)密钥生成(DKG)协议受到了极大的关注。已经提出了几个同步DKG协议,但大多数此类协议都不是完全安全的:它们要么允许被破坏的方偏移密钥,要么不健壮,允许恶意方阻止密钥的成功生成。我们探讨了完全安全的DKG在最诚实多数的环境中的圆复杂性(在可行的情况下)。我们证明了不可能存在单轮、无偏见的DKG协议(甚至满足较弱的安全性概念),无论之前的设置如何。从积极的方面来看,我们展示了用于完全安全DKG的各种轮优化协议,这些协议在效率、必要的设置和必要的假设方面提供了权衡。
穆罕默德·萨比尔·基拉兹(Mehmet Sabir Kiraz)、恩里克·拉雷亚(Enrique Larraia)和欧文·沃恩(Owen Vaughan)
我们解释了如何扩展Garay等人(Eurocrypt,2015)的比特币主干模型,以适应可编辑区块链。我们的扩展捕获了基于fluid区块链的数据库(具有可变要求)和对现有法规的遵守,例如GDPR被遗忘的权利,或者需要从节点数据库中删除违规数据,否则会导致合法关闭。我们的可编辑主干协议保留了区块链的基本属性。利用零知识证明,可以擦除旧数据,而不需要可信的第三方或关于过去链验证的启发式方法。我们的解决方案可以立即在比特币上实现,无需硬件,并且具有可扩展性。它允许编辑来自UTXO的数据或尚未充斥网络的未确认交易,同时保证比特币状态的不变性。因此,违规数据不需要在系统中持久存在,甚至暂时也不需要。
关于向量函数将其域的严格仿射子空间映射为其余域的严格仿射子空间及其强D性质
克劳德·卡莱特和恩里科·皮奇奥内
给定三个正整数$n<n$和$M$,我们研究向量空间$\mathbb中的函数$\mathcal{F}${F} _2^N$(可能具有字段结构)至$\mathbb{F} _2^M$,它映射了$\mathbb的至少一个$n$-维仿射子空间{F} _2^将N$转化为维数小于$M$,可能等于$N$的仿射子空间。这提供了$\mathbb中的函数{F} _2^n$到$\mathbb{F} _2^对于在$\mathbb上具有简单表示的某些$m$(在某些情况下,还包括排列),则为m${F} _2^N$或超过$\mathbb{F}(F)_{2^N}$。我们证明了$\mathcal{F}$的非线性一定不能太大,以允许这样做,并且我们观察到,如果它为零,则自动存在其域的严格仿射子空间,该子空间被$\mathcal{F{$映射到其共域的严格仿射子空间。在这种情况下,我们证明了限制的非线性可能很大。我们研究了这种限制的其他密码学性质,将其视为$(n,m)$-函数(分别是$(n、n)$-置换)。然后我们重点讨论形式为$\psi(\mathcal{G}(x))$的$(N,N)$-函数$\mathcal{F}$的情况,其中$\mathcal{G{$几乎是完全非线性(APN),$\psi$是一个具有维数$1.$核的线性函数$到仿射超平面$A$具有D属性(由Taniguchi在Dillon的结果之后引入)作为$(N-1,N)$-函数,当且仅当对于每个这样的$\psi$,$\mathcal{F}(x)=\psi(\mathcal{G}(x))$到$A$的限制不是APN$(N-1,N-1)$-功能。如果这对所有仿射超平面$A都成立,那么我们说$\mathcal{G}$具有强D性质。我们注意到,不满足这种加密有趣的特性也有积极的一面,因为它允许从$\mathcal{G}$构造APN$(N-1,N-1)$-函数。利用正交导数对弯曲函数(APN函数的一种特殊情况)及其组合逆(如果存在)的强D性质进行了刻划,并证明了维数$N$奇大的Gold APN函数{及其逆}都具有强D性质。我们还以比Taniguchi在2023年更简单的方式证明了Gold APN函数的强D性质对$N\geq 6$偶数成立。总之,我们得到了Gold APN函数具有强D性质的充要条件是$N=6$或$N\geq8$,以及{Gold APR函数的逆函数具有强D-性质的充裕条件是$N \geq7$是奇数。}然后我们给出了Dobbertin APN幂函数的一个部分结果,并在此基础上,我们推测它也具有强D性质。然后,我们将重点转移到两个已知的无限族差分4-一致$(N-1,N-1)$-置换,它们被构造为$(N,N)$-函数$\mathcal{F}(x)=\psi(\mathcal{G}(x))$或$\mathcal{F{(x。在对这些类进行了更深入的研究之后,我们提供了证据(缺少),证明它们在维度$n=n-1$中不是APN。然后,我们通过放松对$\psi$和$\mathcal{G}$的一些假设来展示我们自己的构造。
于岱、张方国、赵长安
具有奇素数嵌入度的配对友好曲线在128位安全级别,如BW13-310和BW19-286,触发对小素数公钥密码领域的兴趣领域。然而,与主流配对友好曲线相比相同的安全级别,即BN446和BLS12-446,通常考虑BW13-310和BW19-286上的配对计算性能效率低下。本文研究了BW13-310上配对计算的高性能软件实现以及相应的成对协议中使用的构建块,包括散列、组指数和成员测试。首先,我们建议高效该曲线上配对计算的显式公式。此外,我们还利用最先进的技术在G1和G2,群指数和成员测试。特别是,对于G2和GT中的指数运算,我们提出了新的优化以加快速度提高计算效率。我们在64位处理器上的实现结果表明,BW13-310和BN446(分别为BLS12-446)之间的配对计算性能差距仅为4.9%(分别为。26%)。更重要的是,与BN446和BLS12-446、BW13相比-310约为109.1%−227.3%、100%−192.6%、24.5%−108.5%和从散列到G1、在G1中求幂的角度来看,速度快68.2%到145.5%和GT,以及GT的成员测试。这些结果表明,BW13-310将是基于配对的一个有趣的候选者密码协议。
齐峰、康阳、张凯义、小王、于瑜、谢翔、何德彪
EdDSA由IRTF和NIST标准化,是基于Edwards曲线的著名Schnorr签名方案的变体,得益于无状态和确定性的nonce推导(即,它不需要可靠的随机性或状态连续性来源)。最近,NIST呼吁多方阈值EdDSA签名采用一种模式,通过零知识(ZK)证明来验证这种nonce派生。然而,将EdDSA的无状态和确定性优势转化为多方阈值设置是一项挑战,因为签名同一消息时没有新的随机性。在本文中,我们提出了一种新的无状态和确定性多方EdDSA协议,该协议在全阈值设置下,能够容忍所有但只有一个恶意破坏。与Garillot等人(Crypto'21)提出的最先进的多方EdDSA协议相比,我们将通信成本提高了56倍,并且具有相同的三轮,但成本增加了约2.25倍。我们在多验证器设置中采用信息理论消息认证码(IT-MAC)对值进行认证,并通过细化多验证者扩展的双重认证比特(edabits)将其从布尔域转换为算术域。我们采用伪随机相关函数(PCF)无状态和确定性地生成IT-MAC。我们一起设计了一个多验证器零知识(MVZK)协议,以无状态和确定性地导出nonce。
安全性——带宽约束下Nakamoto共识的吞吐量权衡
卢西亚娜·基弗(Lucianna Kiffer)、约阿希姆·纽(Joachim Neu)、斯利瓦桑·斯里达尔(Srivatsan Sridhar)、阿维夫·佐哈尔(Aviv Zohar)和大卫·谢霆(David Tse)
对于Nakamoto最长的一致性协议,其验证(PoW)和验证(PoS)变体为比特币和卡达诺等主要区块链提供动力,我们重新审视了安全-性能权衡的经典问题:给定一个容量有限的节点网络,在给定的区块生产率下,中本共识(NC)可以对抗哪一部分敌方力量?对Nakamoto协议的最新分析未能回答这个问题,因为它们的有界延迟模型没有捕捉到诸如有限通信和计算资源等现实约束。我们开发了一种新的分析技术,以证明在有界带宽模型中PoW-Nakamoto一致性的精细安全性能权衡。在这个模型中,我们表明,与经典的有界延迟模型相比,Nakamoto的私有攻击不再是最糟糕的攻击,而一种新的攻击策略,我们称之为取笑策略,它利用有限带宽导致的网络拥塞,则更糟糕。在PoS中,模棱两可的块会加剧拥塞,使传统的PoS Nakamoto共识协议不安全,除非块生产率非常低。为了应对这种模棱两可的垃圾邮件,我们提出了一种称为Blanking NC(BlaNC)的PoS NC协议变体,它实现了与PoW NC相同的弹性。
哈克·贝内特和姜敏泰温
通过将线性纠错码的变体与其他离散结构(图、格和拟阵)上的同构问题联系起来,我们研究了线性纠错代码上的代码等价问题的复杂性。我们的主要结果是从图同构问题到任意域$\mathbb{F}$上的线性码等价问题的细粒度约简,以及从任意域$\ mathbb上的线性代码等价问题的约简{F} (p)格同构问题的素数,多项式有界阶$p$。这两种减少都是简单而自然的。我们还给出了代码等价问题的变量之间的约简,并研究了代码同构问题与线性拟阵之间的关系。
AndréChailloux和Thomas Frasers Alazard
理解给定最小距离的代码的最大大小是计算机科学和离散数学中的一个主要问题。寻找此类码的渐近界的最有效方法是使用Delsarte的关联方案理论。通过这种方法,Delsarte构造了一个线性程序,使得其最大值是给定最小距离的代码最大大小的上界。可以通过找到相应的对偶线性规划的解来限定该值。Delsarte的理论非常普遍,远远超越了二进制代码。在这项工作中,我们在关联方案的框架中提供了通用边界,它推广了Elias-Bassalygo边界,可以应用于从距离函数构造的任何关联方案。这些边界是通过构造Delsarte对偶线性规划的新解获得的。我们实例化这些结果,并恢复$q$-ary码和恒宽二进制码的已知边界。我们的另一个贡献是,对于任何$Q$-多项式方案,恢复Delsarte对偶线性程序的MRRW型解,这些解的灵感来自Friedman和Tillich的Laplacian方法,而不是使用Christoffel-Darboux公式。我们特别展示了如何在这个框架中解释第二个线性规划界。
Ritam Bhaumik、Benoêt Cogliati、Jordan Ethan和Ashwin Jha
在本文中,我们刻画了所有$2n$-比特到$n$-位伪随机函数(PRF),这些伪随机函数是由对$n$-bit-to-$n$-bit PRF的最小调用次数和任意数量的线性函数构造的。首先,我们证明所有两轮结构要么是经典不安全的,要么容易受到量子周期性攻击。其次,我们根据三轮结构对此类攻击的脆弱性对其进行分类。这使我们能够确定可以证明安全的结构类别。然后,我们继续展示以下三个候选的安全性,以防任何请求最多$2^{n/4}$(可能是叠加)查询的量子区分器\[\开始{array}{rcl}\矩阵{TNT}(x_1,x_2)&:=&f_3(x_2\oplus f_2(x_2\ oplus f1(x1))\\\mathsf{LRQ}(x_1,x_2)&:=&f_2(x_2)\oplus f_3(x_2\oplus f_1(x_1))\\\矩阵{LRWQ}(x_1,x_2)&:=&f_3(f1(x_(1)\oplus f_2(x_2))。\结束{数组}\]请注意,由于Bao等人的研究,第一种构造是经典的安全可调整分组密码,第三种构造是Hosoyamada和Iwata的量子安全可调整分组密码,具有类似的查询限制。值得注意的是我们的证明框架,它改编自Chung等人在不可区分设置中对Zhandry的压缩预言技术的严格表述,这可能具有独立的意义。该框架给出了非常紧凑的证据,与细山田和岩田对詹德利的压缩预言的解释相比,这些证据大多是经典的。
伊丽莎白·克里特斯、切尔西·科姆洛和玛丽·马勒
我们证明了一个简单的三轮门限Schnorr签名方案的自适应安全性,我们称之为Sparkle+。门限签名安全性的标准概念考虑的是一个静态对手,即必须在协议开始时声明哪一方是腐败的。更强的适应性对手可以随时腐败各方并了解其状态。这个概念是自然和实用的,但文献中的大多数方案都没有证明满足。在本文中,我们证明了Sparkle+基于不同的损坏模型和假设实现了多个级别的安全性。首先,Sparkle+在最小假设下是静态安全的:离散对数假设(DL)和随机预言模型(ROM)。如果自适应对手在t+1个签名者的阈值中破坏的次数少于t/2,那么Sparkle+在ROM中的一个多离散对数假设(AOMDL)的较弱变体下是自适应安全的。最后,我们证明Sparkle+实现了完全自适应安全,破坏阈值为t,在具有随机预言的代数群模型(AGM)中,在AOMDL下。重要的是,我们展示了无需安全擦除的自适应安全性。我们首次证明了任何门限Schnorr签名方案都能在不损失指数紧性的情况下实现完全自适应安全。
哈萨姆·阿斯瓦德(Haetham AL ASWAD)、塞西尔·皮埃罗特(Cécile PIERROT)和伊曼纽尔·托梅特(Emmanuel THOMé)
数域筛及其变体是解决有限域中离散对数问题的最佳算法。当多个质数字段成为目标时,Factory变量可以加速计算。本文将Factory变量应用于大中型非素数有限域。我们将此想法与NFS的其他两个变体相结合,即塔和特殊变体。这种组合导致了渐进复杂性的改进。此外,我们对1024位目标和扩展度$6$给出了该方法的实用性估计。
朱利安·洛斯(Julian Loss)、石克诚(Kecheng Shi)和吉拉德·斯特恩(Gilad Stern)
理解拜占庭协议协议的容错性是分布式计算中的一个重要问题。虽然文献中已经对拜占庭断层的背景进行了深入探讨,但对(可以说更现实的)遗漏断层背景的研究却少得多。在本文中,我们回顾了Loss和Stern最近的工作,他们给出了混合故障模型中的第一个协议,当$2t+r+s<n$和遗漏故障不重叠时,允许$t$拜占庭故障、$s$发送故障和$r$接收故障。我们观察到,当遗漏错误可能重叠时,即当各方可以同时发送和接收错误时,他们的协议无法保证。我们给出了第一个克服这一限制并容忍相同数量潜在重叠故障的协议。然后,我们第一次研究了各方都可能成为不作为过失的完全不作为设置。这种设置是由现实世界中的场景驱动的,在这种场景中,每一方都可能不时遇到连接问题,但对于设法输出值的各方来说,仍然应该保持一致。我们显示了此设置中的第一个协议,参数为$s<n$和$s+r=n$。另一方面,我们证明了对于允许甚至单个重叠遗漏错误的总遗漏设置,即$s+r=n+1$和$s>2$,或即使没有重叠错误的$s+r=n$和$s>1$的广播协议,也不存在共识协议。
提前终止拜占庭协议,以$(1+\epsilon)\cdot f$Rounds为单位
Fatima Elsheimy、Julian Loss和Charalampos Papamanthou
在本文中,我们针对腐败的少数$t<n/2$提出了两个早期停止拜占庭协议协议,其中$t$表示恶意方的最大数量。提前停止协议可确保在仅由执行过程中存在的恶意节点$f$的实际数量决定的轮数内终止,与$t$无关。我们的第一个协议是确定性的,确保在$(d+5)\cdot(\lfloor f/d\rfloor+3)$rounds中提前终止,其中$d$是一个固定常数。例如,对于所有$d\ge 6$,我们的协议最多运行$(1+\epsilon)\cdot f$个回合(其中$0<\epsilen<1$),改进了Perry和Toueg以前最好的提前停止确定性广播协议(对于大$f$),该协议以$min(2f+4.2t+2)$rounds终止。此外,我们的第二个协议是随机的,确保在预期的固定轮数内终止,并在最坏情况下在$(d+9)\cdot(\floor f/d\floor+2)$rounds内实现提前停止。这标志着与Goldreich和Petrank的类似结果相比有了显著改进,后者总是需要预期的恒定轮数,在最坏的情况下需要$O(t)$轮,即不具有提前停止特性。
马丁·阿尔布雷希特和乔·罗威尔
格筛是在格中寻找短向量的算法。我们介绍了两个这样的筛子的实现,在文献中称为“BGJ1”和“BDGL”,它们可以跨多个服务器扩展(成功率不同)。这类算法需要指数内存,这使得它们在筛选节点时的扩展能力受到了质疑。我们讨论了我们的架构和优化,并报告了我们方法效率的实验证据。
基于向量承诺的高效可链接环签名莫名其妙地命名为Multratug
安东·索科洛夫
在本文中,我们修改了前一篇文章“Lin2-Xor引理:一个导致成员证明和签名的OR-proof”的思想,并引入了另一个引理,称为Lin2-Choice,它是Lin2-Xor引理的推广。利用Lin2-Choice引理,我们得到了一个紧凑的通用可信无设置对数大小的可链接阈值环签名EFLRSL。签名大小为2log(n+1)+3l+1,其中n是环大小,l是阈值。通过扩展Lin2-Choice引理的集成员参数,我们创建了EFLRSL签名的多功能版本,别名为Multratug,大小为2log(n+l+1)+7l+4。除了签署消息之外,Multratug还证明了平衡,并允许简单的多方签名,这使其适合区块链。我们使用黑盒向量承诺参数作为EFLRSL和Multratug的关键构建块。只有黑盒枢轴将依赖于环大小n的组件添加到签名大小中。这使得我们的签名的两个版本都可以与其他证明相结合,从而允许整体尺寸减小。所有这些都发生在随机预言模型中,在决策Diffie-Hellman假设下,一个没有双线性对的素数群中。我们的签名的两个版本都是不可伪造的w.r.t.内幕腐败和在选择消息攻击下存在不可伪造。即使对于非均匀分布和格式错误的密钥,它们也保持匿名,这使得可以将它们用作基于LSAG的方案的日志大小的下拉替换。
塔米尔·塔萨和阿维沙·亚奈
我们研究了多方计算中的一个基本问题,我们称之为多重百万富翁问题(MMP)。给定一个一组私有整数输入,问题是确定等于该集最大值(或最小值)的输入子集,没有透露任何其他输入信息期望输出所隐含的内容。这样的问题是很自然的百万富翁问题的延伸,这是第一个多重-Andrew Yao提出的政党计算问题开创性的工作[30]。一个密切相关的问题是MaxP,其中寻求最大值。我们研究这些基本原理并描述了几种算法方法和解决方案的协议。此外,我们比较了性能多个选定设置下的协议。作为的应用程序隐私保护计算在工业系统中越来越普遍,MMP和MaxP变得重要隐私保护统计、机器学习、,拍卖和其他领域。One of the prominent advantages of我们在这里介绍的协议很简单。当他们解决基本问题是各种应用场景,我们认为所提出的解决方案这些问题,以及它们之间的比较,将很有用安全分布式计算的未来研究者和实践者。
索尼娅·贝莱德(Sonia Belaid)、雅各布·费尔德凯勒(Jakob Feldtkeller
在我们高度数字化的世界中,对手不局限于纯粹的数字攻击,而是可以监视或影响目标计算设备的物理执行环境。这种副通道或错误注入分析对安全的加密实现构成了重大威胁。因此,在分析密码实现的安全性时,除了默认的黑盒模型外,还必须考虑其他对抗能力。对于副通道分析,这是通过向对手提供一些内部值的知识来完成的,而对于故障注入分析,对手的能力包括操纵一些内部值。在这项工作中,我们扩展了物理攻击的概率安全模型,通过引入通用随机探测模型和通用随机故障模型来捕获任意泄漏和故障分布,以及这些模型的组合。我们的目标是对低层物理效应进行更准确的建模。然后,我们分析了重要的属性,例如对抗性知识对故障和组合的影响,并提供了基于工具的形式化验证方法,允许对设计组件进行安全评估。这些方法是对以前实现、评估和比较的工具VERICA和IronMask的扩展。
王大钊、亚历山大·马克西莫夫、帕特里克·埃克达尔和托马斯·约翰逊
在本文中,我们提出了一种新的高效的独立MAC构造,该构造基于使用流密码家族SNOW中的FSM部分进行处理,而流密码家族雪诺又使用AES循环函数。它结合了软件和硬件的极高速度和可截断的标签。提出了两个具有不同安全级别的SMAC具体版本,尽管也可能有其他用例。例如,SMAC可以在AEAD模式下与外部加密引擎相结合。我们的分析和模拟结果证明了每个设计选择的合理性和支持性。该方案的一个新颖之处是,它满足了未来的性能要求,但在标记大小较短时,仍然不易直接受到使用重复nonce的攻击,而其他非常快速的MAC(基于多项式散列的MAC)也是如此。这在实际应用中可能是一个重要方面。
Eunmin Lee、Joohee Lee和Yuntoo Wang
结构格上的错误学习(LWE)问题及其变体在高效的后量子密码系统中得到了广泛的应用。最近,May提出了Meet-LWE攻击,这在使用三值机密分析LWE的中间会议方法的工作中取得了重大进展。在这项工作中,我们通过引入三元树来推广和扩展Meet-LWE的思想,这导致了秘密的不同表示。更准确地说,我们将秘密分成三个维度相同的部分,并将其扩展为三元树,以利用增加的表示来提高整体攻击复杂性。我们仔细分析并优化了利用三叉树的攻击算法的时间和内存开销,并将其与Meet-LWE攻击进行了比较。通过渐近和非渐近比较,我们发现与Meet-LWE攻击相比,我们的攻击为所有参数设置提供了改进的估计,包括实际量子后方案的参数设置。我们还评估了KpqC竞赛第二轮候选的安全性,该竞赛旨在标准化大韩民国的量子后公钥密码系统,并报告说,我们对SMAUG-T攻击的估计复杂度低于一些推荐参数的要求。
刘珊香、刘凌、聪玲
本文应用矢量量化的观点,对Banerjee、Peikert和Rosen最初提出的四舍五入学习(LWR)问题进行了推广。在LWR中,噪声是由标量量化引起的。通过考虑一种称为量化学习(LWQ)的新变体,我们探索了具有优越量化特性的大维快速可解码格,旨在提高相对于标量量化的压缩性能。我们将极晶格确定为示例结构,有效地将LWQ转换为类似于错误学习(LWE)的问题,其量化误差的分布在统计上接近离散高斯。我们介绍了LWQ的两个应用:Lily,一个较小的密文公钥加密(PKE)方案,和quancryption,一个保护隐私的秘密密钥加密方案。Lily在不牺牲安全性的情况下实现了较小的密文大小,而quancryption实现了大于$1$的源-密文比率。
用基于代码的屏蔽保护基于格的KEM:一种理论方法
未分类
皮埃尔·奥古斯汀·贝谢(Pierre-Augustin Berthet)、尤恩·罗杰奥(Yoan Rougeolle)、塞德里克·塔夫尼尔(Cédric Tavernier)、吉恩·卢克·丹格尔(Jean-Luc Danger)和劳伦特·索瓦奇(Laurent Sauvage)
后量子密码学(PQC)的最新技术进步提出了在当今技术中实现新的非对称密码原语的鲁棒性问题。这就是基于格的模块格密钥封装机制(ML-KEM)算法的情况,该算法是由NIST提出的,作为密钥封装机制的第一个标准,灵感来自CRYSTALS-Kyber。值得注意的是,我们必须确保ML-KEM实现能够抵御物理攻击,如侧通道分析(SCA)和故障注入攻击(FIA)。为了实现这一目标,我们建议采用一种掩蔽对策,更确切地说是通用的直接和掩蔽方法(DSM)。受前面一篇关于AES的论文的启发,我们将该方法扩展到除2码和偶数长度码以外的特征素数的有限域。我们还研究了它在Keccak中的应用,这是ML-KEM中使用的基于散列的函数。我们建议屏蔽转换并使用成本摊销来执行此散列。我们提供了ML-KEM的第一个屏蔽实现,SCA和FIA都具有纠正错误的弹性。我们的FIA弹性允许在乘法小工具中进行故障纠正。最后,我们采用多项式求值方法来计算特征不同于2的有限域上具有公共系数的屏蔽多项式。
Pyrros Chaidos、Aggelos Kiayias、Leonid Reyzin和Anatoliy Zinovyev
假设一个拥有大量有价值证据的证明人想通过只提供一小部分证据来快速说服核查人。我们定义了一个近似下界参数(ALBA),它允许证明程序这样做:简洁地证明满足谓词的大量元素的知识(或者,更一般地说,当谓词被推广为权重函数时,证明具有足够总权重的元素)。这个论点是近似的,因为在证明者实际知道的和验证者确信的证明者知道的之间有一个小差距。这一差距使得方案非常有效。我们在随机预言和一致参考串模型中给出了ALBA的非交互构造,并表明我们的证明大小几乎是最优的。我们还展示了当证据在多个证明人之间分布时,如何使我们的构造特别具有通信效率,这在将ALBA应用于分散环境时具有实际意义。我们演示了ALBA的两个非常不同的应用:用于大规模分散签名和用于证明简洁证明的通用可组合性。
文森特·黄
我们调查了软件工作中使用的各种数学工具,这些工具使用$\mathbb表示多项式{Z} (_q)[x]/⟨x^n-αx-β⟩$。特别是,我们调查了基于格的密码系统Dilithium、Kyber、NTRU、NTRU-Prime和Saber中针对多项式乘法的实现工作,以及指令集架构/扩展Armv7-M、Armv7E-M、Arv8-A和AVX2。本文有三个重点:(i)模运算,(ii)同态,(iii)矢量化。对于模运算,我们考察了蒙哥马利、巴雷特和普兰塔德乘法。对于同态,我们调查了(a)各种同态,如Cooley–Tukey FFT、Bruun’s FFT、Rader’s FFT、Karatsuba和Toom–Cook;(b) 用于将好的属性连接到系数环的各种代数技术,包括注入、Schönhage的FFT、Nussbaumer的FFT和局部化;和(c)与多项式模相关的各种代数技术,包括扭曲、组合乘法、∞求值、Good–Thomas FFT、截断、不完全变换和Toeplitz矩阵向量乘积。对于矢量化,我们考察了同态与矢量算法支持之间的关系。然后我们进行了几个案例研究:我们比较了Dilithium和Kyber中使用的模块乘法的实现,解释了Saber中如何利用矩阵到向量结构,并回顾了NTRU和NTRU Prime的矢量化变换的设计选择。最后,我们概述了几个有趣的实现项目。
卢卡斯·皮斯克、贾斯帕尔·辛格和尼·特里奥
一类程序$\mathcal{F}$的函数秘密共享(FSS)方案($\mathsf{gen},\mathsf{eval}$)允许经销商秘密共享任何函数$F\in\mathcal{F}$,这样每个函数共享都隐藏了函数,共享可以用于非交互地计算任何输入$x$的$F(x)$的加法共享。所有与FSS相关的应用程序通常要求经销商为一批功能生成并共享秘密共享。我们开始研究批处理函数秘密共享,其目标是秘密共享类$\mathcal{F}$中的一组函数,同时最小化FSS密钥集合的大小。我们使用标准同态秘密共享(HSS)方案、奇偶噪声学习假设和二次剩余假设的变体,构造了输出为单位和多位点函数的分批FSS方案。对于点函数,我们的方案比最新的原始批处理FSS方案具有渐近优势。具体来说,随着批大小从$2^{13}$增加到$2^}19}$,我们的批密钥大小减小了$3-80倍$。尽管我们的协议依赖于公钥操作,但它在局域网环境中效率低下。然而,它在网络带宽较慢的WAN设置中显示出了120倍的改进。作为我们协议中的一个构建块,我们引入了一种新的HSS密文压缩算法,该算法可以对压缩后的短密文进行解压缩,从而得到输入消息比特数组的低噪声密文。此原语可能会对其他HSS相关应用程序产生独立的兴趣。
侯晓阳、刘健、李靖宇、李玉涵、卢文杰、程红和奎仁
ChatGPT被认为是人工智能领域的一场重大革命,但它引发了人们对用户隐私的严重担忧,因为用户提交的数据可能包含敏感信息。由于模型参数数量庞大,激活函数复杂,现有的安全推理解决方案在支持类GPT模型方面面临巨大挑战。本文在一系列创新协议的基础上开发了密码GPT,这是安全的两部分GPT推理的第一个框架。首先,我们提出了一种为GPT推理定制的安全矩阵乘法,在SOTA上实现了6.2倍的加速比和4.1倍的带宽缩减。我们还提出了一种新的安全计算GELU的协议,在运行时超过SOTA 1.8倍,在通信中超过2.5倍,在精度上超过7.4倍。此外,我们提出了第一个安全top-k采样协议。我们为CipherGPT提供了全面的实现和全面的基准。特别是,我们测量每个操作的运行时和通信,以及它们的相应比例。我们相信这可以为该领域的未来研究提供参考。
谢耀庆、林慧嘉、吉洛
我们提出了一个基于格的任意函数类基于属性的加密(ABE)方案的通用框架,该方案由两部分组成:i)类的噪声线性秘密共享方案;ii)一种新型的内部生成函数加密(IPFE)方案,称为“规避”IPFE,我们提出了基于格的规避IPFE方案,并基于Wee[EUROCRYPT’22]和Tsabary[CRYPTO’22]最近提出的带有错误的规避学习(LWE)假设的变体,在简单条件下建立了它们的安全性。我们的一般框架是模块化的,概念简单,将构造ABE的任务减少到构造噪声线性秘密共享方案的任务,这是一个更轻量级的原语。基于规避LWE假设的变体的三个新ABE方案证明了我们框架的多功能性。-对于所有具有预定深度界限的多项式规模电路,我们获得了两个密文策略ABE方案。其中一个方案具有简洁的密文和密钥,在深度范围内是多项式大小,而不是电路大小。这消除了对张量LWE的需要,这是另一个新的假设,与Wee之前的最先进的结构相比[EUROCRYPT’22]。-我们为确定性有限自动机(DFA)和逻辑空间图灵机($\mathsf{L}$)开发了密文策略和密钥策略ABE方案。它们是第一个支持统一计算模型的基于格的公钥ABE方案。以前用于统一计算的基于格的方案仅限于密钥设置,或者仅针对有界共谋提供较弱的安全性。最后,回避IPFE的新原语作为基于对的IPFE的基于格的对等物,使基于对的ABE构造中开发的技术能够应用于基于格的构造。我们相信这是一个独立的兴趣,并可能会找到其他应用。
皮埃尔·梅耶、克劳迪奥·奥兰迪、劳伦斯·罗伊和彼得·斯科尔
我们提出了一种使用同态秘密共享技术对算术电路进行加密的新方法,获得了支持自由加法门的高速结构。特别是,我们建立在非交互协议的基础上,用于计算具有简单离散长子群的群中的分布式离散对数,进一步证明了同态秘密共享工具的通用性。依赖于Damgárd-Jurik密码系统的分布式离散日志(Roy和Singh,Crypto`21),其安全性遵循决策复合残差假设(DCR),我们得到以下主要结果:[**Damgárd-Jurik的IND-CPA安全性中,每次乘法两个密文。**]假设Damgárd-Jurik密码系统在语义上是安全的(根据DCR),对于使用$B$有界整数算法的电路,存在一种加密方案,每次乘法只使用两个密文。产生的乱码电路的总比特大小为:$$(n+2s_\次+2D_\次)\cdot(\zeta+1)\cdot\log n$$其中$n$是输入数,$s_times$是乘法数,$D_times@是电路的乘法深度,$n$是RSA模,$n^{zeta-1}$是计算中线值大小的大致界限。[**Damgárd-Jurik的KDM安全性中,每次乘法一个密文。**]假设Damgård-Jurik加密方案在对密钥及其逆密钥进行加密的情况下仍然是安全的,则该构造实现了-1$的速率。产生的乱码电路的总比特大小为:$$(n+s_times+1)\cdot(\zeta+1)\cdot\log n$$其中参数如上所示,但$N^{\zeta-2}$是震级界限。作为一个附带的结果,我们表明,我们的基于IND-CPA安全性的方案对于水平电路实现了$3/5$的速率。
冈田裕纪夫和高木重吉
门限公钥加密(ThPKE)是可以通过从N方中的t(≤N)收集“部分解密”来解密的PKE。基于带错误学习问题(LWE)的ThPKE特别重要,因为它可以扩展到门限全同态加密(ThFHE)。ThPKE和ThFHE是构建多方计算(MPC)协议的基本工具:2023年,NIST启动了一个项目(NIST IR 8214C),以制定实施阈值密码系统的指南。由于MPC通常需要仿真安全性(SS),因此满足SS(SS-ThPKE)的ThPKE方案也很重要。最近,Micciancio和Suhl(ePrint 2023/1728)提出了一种基于多项式模LWE的高效SS-ThPKE方案。然而,该方案需要使用一个称为“已知-规范LWE”的非标准问题进行安全证明,因为公钥错误的规范‖e‖从部分解密中泄漏。这导致了以下两个挑战:1)基于LWE的构建依赖于从已知规范的LWE到LWE之间的非轻还原。2) 未提出基于(标准)Ring-LWE的施工。在本文中,我们解决了这两个挑战:我们提出了一个高效的SS-ThPKE方案,其安全性从标准的LWE/Ring-LWE(直接)降低到多项式模。我们构造的核心技术是我们所称的“错误共享”:我们通过秘密共享来分配小错误ζ的共享,并使用它们来防止部分解密中的‖e‖泄漏。
李栋元、闵承宏和宋永洙
完全同态加密(FHE)允许在加密数据上计算任意函数,而无需对其进行解密。特别是,引导是FHE的核心构建块,它可以降低密文的噪声,从而恢复计算能力。本文为Fan-Vercauteren(FV)方案引入了一种新的自举框架,称为功能自举,它提供了比普通自举方法更通用、更高级的功能。更具体地说,函数引导允许我们计算任意函数,同时删除输入密文的错误。因此,我们可以获得更好的深度消耗和计算复杂性,因为电路评估可以作为功能引导过程的一部分进行集成。特别是,我们的方法扩展了FV的功能,因为它甚至适用于不同明文空间之间的函数。我们的功能引导框架的核心是同态查找表(LUT)评估方法,其中我们只使用FV方案支持的操作来表示任何LUT。最后,我们提供了一个概念验证实现,并给出了函数引导的基准测试。在具体的例子中,例如delta和sign函数,我们的函数引导对于9位或13位明文模数分别需要46.5s或171.4s。
Vipul Goyal、Chen-Da Liu-Zhang和Yifan Song
安全多方计算(MPC)允许一组$n$方通过其私有输入联合计算函数。Ben-Or、Canetti和Goldreich[STOC’93]以及Ben-Or,Kelmer和Rabin[PODC’94]的开创性工作解决了MPC在异步网络上的可行性。尽管有大量工作致力于提高通信复杂性,但当前具有信息论安全性和最佳弹性的协议$t<n/3$为具有$C$乘法门的电路通信$\Omega(n^4C)$字段元素。相比之下,使用$\Omega(nC)$通信的同步MPC协议早已为人所知。在这项工作中,我们在缩小这一差距方面取得了进展。我们提供了一种新的MPC协议,该协议使黑盒使用异步完全秘密共享(ACSS)协议,其中每次乘法的成本降低到通过ACSS分发恒定数量的共享的成本,改进了Choudhury和Patra[IEEE Trans.Inf.Theory'17]的最新技术的线性因素。通过Choudhury和Patra的协议实例化ACSS[J.Crypto’23],我们通过$\mathcal{O}(n^3C)$通信实现了MPC协议。此外,随着最近一项并行工作以每次共享的线性成本实现ACSS,我们通过$\mathcal{O}(nC)$通信实现了MPC。
全球泛型群和UC-Secure零开销SNARK的勇敢新世界
Jan Bobolz、Pooya Farshim、Markulf Kohlweiss和Akira Takahashi
通用可组合性(UC)模型为在任意上下文中使用的协议提供了强大的安全保障。虽然这些保证非常可取,但在实践中,首选具有独立安全性证明的方案,如Groth16证明系统。这是因为UC安全通常会带来不必要的开销,有时会使UC安全方案的效率大大低于其独立方案。我们建立了Groth16的UC安全性,没有任何重大开销。本着全局随机预言的精神,我们设计了一个全局(受限)可观察的通用组功能,该功能模拟了可观察性的自然概念:追溯到从其他会话生成器派生的组元素的计算是可观察的。这个概念的形式化令人惊讶地微妙。我们提供了一个通用框架,用于在存在全局通用组的情况下证明协议的安全性,然后将其应用于Groth16。
阿诺德·西帕塞特
在本文中,我们介绍了ALTEQ密码系统的三种变体,这是最近提交给NIST的另一个签名请求。我们将这些危险变体命名为ALTEQ(DVA),因为尽管我们试图保持启发式安全,但退出通常的构造总是有一定的危险。首先,我们介绍DVA-GG(图形泛化),它可以被视为对ALTEQ中所做操作的更抽象的观点,并鼓励对代数变体进行更多研究。特别是,我们展示了这种方法可以为Beullens最近对ALTEQ的种子碰撞攻击提供补丁计数器,这种攻击只依赖于原语,并展示了原语在实验协议中的一些奇特用法。其次,我们提出了DVA-PC(预计算),它“很可能”与随机预言机模型中的ALTEQ一样安全,并允许通过易于并行的额外操作大幅降低签名和验证过程中的中间内存需求。特别是,这有助于预计算变量的在线阶段,而在线阶段仅取决于基本矩阵运算的复杂性。然后,我们可以选择每个签名使用一个很小的脱机内存,或者获得后量子密码最快的在线签名速度。第三,我们提出了DVA-DM(Distinct Matrices),它是一些偏离ALTEQ原始代数结构的密码分析目标。这些结构可以作为简单的计算加速,也可以仅仅压缩数据大小,并提供良好的选项来激励专业学习ALTEQ的密码分析:如果这些是安全的,那么ALTEQ将获得安全的变体,否则,我们将进一步了解这些问题。特别是,这些思想可以应用于ALTEQ以外的领域,并有望扩展到MEDS、LESS和基于组操作的加密。
诺加·隆·泽维和莫尔·韦斯
交互式Oracle证明(IOP)允许概率验证器与证明程序交互,以验证NP语句的有效性,同时只读取证明程序消息中的几位。IOP将标准的概率检验证明(PCP)推广到交互式环境中,自引入以来的几年中,IOP在主要参数(如证明长度、校准器和验证器运行时间)方面已经表现出了重大改进,这反过来导致简洁论据结构的显著改进。Zero-Knowledge(ZK)IOP还保证可以有效模拟任何查询限定(可能是恶意的)验证器的视图。ZK IOP是简洁的ZK参数的主要构建块,这些参数使用底层加密对象(例如,抗冲突哈希函数)作为黑盒。在这项工作中,我们构造了第一个接近自然NP问题的见证长度的ZK-IOP。更具体地说,我们为3SAT设计了恒定查询和恒定全IOP,其中总通信量为$(1+\gamma)m$,其中$m$是变量的数量,$\gamma>0$是一个任意小的常量,ZK反对验证器在恒定$\beta>0$的情况下从验证器消息中查询$m^\beta$位。这给出了Ron-Zewi和Rothblum(FOCS`20)最近结果的ZK变体,他们构造了(非ZK)IOP,接近一大类NP语言的见证长度。以前的ZK-IOP构造在证明长度中产生了一个(未指定的)较大的常量乘法开销,即使对诚实的验证者限制为ZK。我们通过改进大多数ZK-IOP构造的两个主要构建块,即ZK代码和用于汇总检查的ZK-IOPs,来获得我们的ZK-IO。更具体地说,我们为sumcheck提供了第一个ZK-IOP,它实现了sumchecking的次线性通信(通用张量代码)和ZK保证。我们还证明了ZK码张量的强ZK保持性,这扩展了Bootle、Chiesa和Liu(EC`22)的最新结果。考虑到这些对象在设计ZK-IOP中的核心作用,这些结果可能会引起独立的兴趣。
更快的验证和更小的签名:使用拒绝对ALTEQ进行权衡
阿诺德·西帕塞特
在本文中,我们在Goldreich-Micali-Widgerson与Fiat-Shamir的实例化中引入了一个新的概率函数参数,ALTEQ中使用了非平衡挑战,最近的NIST PQC候选者在请求附加签名时使用了该参数。设置为100%的概率不会给方案带来任何变化,但在低于100%时,会通过在其他完全有效的输入中注入潜在拒绝来修改公共质询生成过程。从理论上看,这并没有提高方案的渐近硬度,并对签字人的效率产生负面影响,而且本身可能看起来微不足道。然而,从实用的角度来看,无论是实现还是性能,这种琐碎性都允许在优化参数时有额外的自由度,因为针对伪造者的启发式安全级别也有所提高:以前有效的组合现在可以被视为无效。这允许我们权衡减少验证器中的计算负载,加速验证,略微减少签名大小,但代价是使签名速度变慢并且不太可能是恒定的时间。特别是,这种额外的自由度允许做出实现选择,从而能够更顺畅、更快地执行上述协议,特别是在使用矢量化指令的并行化环境中。当减缓签名过程不是问题时,我们还向ALTEQ证明了我们的建议对于其他选项的有用性:签名明显较小,但验证时间较长,或者公钥大小较低。提出的思想适用于任何原语,并且可以在ALTEQ之外使用。
Benedikt Bünz和Jessica Chen
证明机器计算的一个重要部分是证明从内存执行的读写操作的正确性,我们称之为内存证明。以前的方法需要证明Merkle树开口或多集散列,从而产生相对较大的证明电路。我们通过累加构造了一个高效的内存保护增量可验证计算(IVC)方案,该方案特别适用于具有大内存和确定性步骤的机器计算。在我们的方案中,IVC校验器PIVC的成本与内存大小T完全无关,每次读/写操作只需提交大约15个字段元素,比以前的工作提高了100倍以上。我们通过使用GKR协议的一个修改的、累积友好的版本,进一步降低了成本。在优化版本中,PIVC每次读/写只需要提交6个小的可存储元素。如果表存储32位值,则这相当于每次读取和写入时提交的字段元素少于一个。我们改进的GKR协议对于在IVC上下文中证明其他确定性计算也很有价值。我们的存储保护协议可以扩展为支持键值存储。
Ascon和Keccak中的最大尺寸同时线性逼近及其平移和微分性质
尼古拉斯·科托瓦(Nicolas T.Courtois)、弗雷德里克·阿米尔(Frédéric Amiel)和亚历山大·博纳尔·德·丰维拉斯(Alexandre Bonnard de Fonvillars)
在本文中,我们研究了被称为Chi或\Chi的S-box,它最初由Daemen于1995年提出,此后在Keccak、Ascon和许多其他领域得到了广泛应用。这类密码通常[在最近的研究中]根据子空间跟踪攻击[TeDi19]和向量空间不变量进行分析。一个有趣的问题是,当不同的空间通过带常数的平移相互映射时。在本文中,我们放松这个基本问题,并考虑任意点集及其平移。我们推广了2017年Eurocrypt对Keccak和Ascon的S-box部分线性化结果。我们基本上介绍了将Ascon S-box线性化到最大可能程度的新方法。在此基础上,我们展示了进一步显著的性质以及[同时]线性和[显著]微分性质之间的一些令人惊讶的联系。我们展示了一个新的最大尺寸族和11个点的最佳近似性质,超过了DDT表中任何集合的最大尺寸。我们证明了一个定理,该定理保证了这类属性通过任意输入端转换是稳定的,对于所有二次置换都成立。所有这些都将放在之前关于5位二次排列分类的工作中。
中村树黑
杂交算法是Joux和Vitse于2017年提出的求解多项式方程组的算法之一。它已在Fukuoka MQ challenge中实现,该挑战涉及多元晶体学的安全性,并保存了多个记录。Chen等人已于2017年提供了估算复杂性的框架。然而,通常不知道哪些参数实际可用。本文研究了如何为杂交算法选择可用参数。因此,我们提供了给出可用参数集的公式,并估计了杂交算法的复杂性。
Navid Alamati、Guru Vamsi Policiharla、Srinivasan Raghuraman和Peter Rindal
我们回顾了用于构造对称密钥原语的交替模范式,重点是构造高效协议,以使用安全多方计算(MPC)对其进行评估。Boneh等人(TCC 2018)的交替模范式可以构造各种对称密钥原语,其共同特征是输入被不同模上的两个线性映射相乘,首先在$\mathbb上{F} _2$,然后超过$\mathbb{F} _3个$.第一个贡献集中于交替模PRF的有效两部分评估,有效地构建了一个不经意的伪随机函数。我们对Boneh等人(TCC 18)提出的PRF进行了推广,并提出了降低通信和计算的方法。然后,我们提供了协议的几种变体,以及不同的计算和通信权衡,以评估PRF。大多数是在OT/VOLE混合模式,而一个是基于专门的乱码。我们最有效的协议大约快3美元,需要的通信量少1.3美元。我们的下一个贡献是对Dinur等人(CRYPTO 21)提出的OWF$f(x)=B\cdot_3(A\cdot_2x)$的有效评估,其中$A\in\mathbb{f}^{m\timesn}_2,B\in\mathbb{f}^{t\timesm}_3$和$\cdot_p$是乘法模$p$。这个惊人简单的OWF可以在MPC中通过秘密共享$[\hspace{-3px}[x]\hspace{-3px}]$over$\mathbb进行评估{F} _2$,本地计算$[\hspace{-3px}[v]\hspace{-3px}]=A\cdot_2[\hsspace{-3px.}[x]\hsspace{-3px-}]$,执行到$\mathbb的模转换协议{F} _3个$shares,然后本地计算输出共享$[\hspace{-3px}[y]\hspace{-3px}]=B\cdot_3[\hsspace{-3px.}[v]\hsspace{-3px-}]$。我们设计了一个定制的MPC-in-the-Head(MPCitH)签名方案,用于评估OWF,实现最先进的性能。生成的签名大小在4.0-5.5 KB之间,可实现2美元\text{-}3\与Dinur等人相比减少了$$倍。据我们所知,这仅比基于对称密钥原语的最小签名(包括最新的NIST PQC竞赛提交文件)大$\大约5%$。我们还表明,我们的核心技术可以扩展到为中小型环构建非常小的量子后环签名,这与最先进的基于晶格的方案相竞争。事实上,我们的技术更普遍地适用于MPCitH中的集合成员。
谢尼·本·达维德
概率可检查参数(PCA)是PCP的一种计算松弛,其中的可靠性保证仅适用于计算有限的对手生成的错误证明。PCA的优点是能够克服PCP的局限性。简洁PCA的证明长度是见证长度的多项式(与非确定性验证时间无关),在标准复杂性假设下,这对于PCP是不可能的。Bronfman和Rothblum(ITCS 2022)为NC构造了简洁的PCA,这些PCA是公开可验证的,并且在LWE的亚指数硬度下具有恒定的查询复杂性。在自适应安全设置中,我们为所有NP构造了一个查询复杂度恒定的公开可验证简洁PCA。与Bronfman和Rothblum构造相比,我们的PCA方案提供了一些改进:(1)它适用于NP中的所有问题,(2)它实现了自适应安全性,以及(3)它可以在以下任何假设下实现:LWE的多项式硬度$双线性映射上的O(1)$-LIN;或亚指数DDH。此外,我们的PCA方案有一个简洁的证明器,这意味着对于任何可以在时间$T$和空间$S$中验证的NP关系,证明都可以在时间$O_{lambda,m}(T\cdot\mathrm{polylog}(T))$和空间$O_{lambda,m}(S\cdot\tathrm{polylog}(T))$中生成。这里${O}_{\lambda,m}$说明了安全参数和见证大小中的多项式因子。在此过程中,我们构造了一个新的保持复杂度的RAM委托方案,该方案用于我们的PCA构造,并且可能具有独立的兴趣。
董晓阳、赵伯欣、秦凌月、侯庆良、张顺、王晓云
本文提出了基于(广义)海绵结构的通用中间相遇(MitM)攻击框架,用于哈希函数的预映像和碰撞攻击。作为第一个贡献,我们的MitM preimage攻击框架涵盖了广泛的基于海绵的哈希函数,尤其是那些声称preimage安全级别低于其输出大小的函数。这些散列函数已被广泛标准化(例如Ascon-hash、PHOTON等),但很少针对预映像攻击进行研究。即使是秦等人(EUROCRYPT 2023)最近针对海绵构造的MitM攻击框架也无法攻击这些散列函数。作为第二个贡献,我们的MitM碰撞攻击框架为海绵构造的碰撞密码分析提供了不同的工具,而以前对海绵构造的冲突攻击主要基于差异攻击。本文中的大多数结果都是第一个第三方密码分析结果。如果之前存在密码分析,我们的新结果将显著改进之前的结果,例如将之前对Ascon-Hash的2轮碰撞攻击改进为当前的4轮,将之前对SPHINCS$^+$-Haraka的3.5轮量子预镜像攻击改进为我们的4轮经典预镜像攻击,等等。
约瑟夫·杰格
随机预言模型中的一项重要证明技术涉及对难以预测的输入重新编程,并辩称攻击者无法检测到这种情况的发生。在量子环境中,这方面的一个特别具有挑战性的版本考虑了自适应重编程,其中要重编程的点(或其应编程的输出值)取决于对手的选择。例如,Unruh(CRYPTO 2014)、Grilo-Hövelmanns-Hülsing Majenz(ASIACRYPT 2021)和Pan Zeng(PKC 2024)给出了分析自适应重编程的框架。我们反直觉地表明,这些自适应结果直接遵循Ambainis-Hamburg-Unruh(CRYPTO 2019)的非自适应单向隐藏定理。这些暗示与Ambainis-Hamburg-Unruh结果无法提供自适应框架的某些属性的信念(无论是明确表述还是隐含表述)相矛盾。
测量-回放-提取:量子随机Oracle模型中单向隐藏和CCA安全性的更严格证明
葛江霞、廖鹤鸣、薛睿
一条通往隐藏的道路(O2H)定理首先由Unruh(J ACM 2015)给出,然后由Ambainis等人(CRYPTO 2019)重申,是解决量子随机预言模型(QROM)中重编程问题的关键技术。它提供了一个上限$d\cdot\sqrt{\epsilon}$来表示区分器的优势,其中$d$是查询深度,$\epsilon$表示单向攻击者的优势。后来,为了获得更紧的上界,Kuchta等人(EUROCRYPT 2020)提出了测量-回风-测量(MRM)技术,然后证明了测量-回归-测量O2H(MRM-O2H)定理,该定理提供了上界$d\cdot\epsilon$。他们还提出了一个悬而未决的问题:我们能否将他们的MRM技术与Ambainis等人的半经典预言技术(CRYPTO 2019)或Zhandry的压缩预言技术(CLYPTO 2018)结合起来,以证明一个新的O2H定理,其上界甚至比$d\cdot\epsilon$更紧?在本文中,我们对上述问题给出了肯定的回答。我们将MRM技术与半经典预言技术相结合,提出了一种新的技术,称为测量回放提取(MRE)。利用MRE技术,我们证明了度量回风提取O2H(MRE-O2H)定理,它提供了上界$\sqrt{d}\cdot\epsilon$。作为MRE-O2H定理的一个重要应用,对于Hofheinz等人(TCC 2017)提出的$FO^{cancel{bot}$、$FO_m^{cance{bot{}$、$FO^{botneneneep$和$FO_m ^bot$,即Fujisaki-Okamoto变换的密钥封装机制(KEM)变体,我们在QROM中证明了以下结果:它们的IND-CCA安全性可以简化为基础公钥加密(PKE)方案的IND-CPA安全性,而不会损失平方优势。特别是,与Kuchta等人(EUROCRYPT 2020)给出的$FO^{\cancel{\bot}}$的IND-CCA证明相比,我们去掉了内射性假设,具有更严格的安全界限。在假设基础PKE方案是唯一随机可恢复的情况下,我们首次证明了它们的IND-CCA安全性可以简化为基础PKE体制的OW-CPA安全性,而不会损失平方优势。
洛伦佐·格拉西(Lorenzo Grassi)、刘福康(Fukang Liu)、克里斯蒂安·雷赫伯格(Christian Rechberger)、费比安·施密德(Fabian Schmid)、罗曼·沃尔奇(Roman Walch)和王庆举(Qingju Wang)
Rasta设计策略允许构建低轮密码,因为它通过随机化密码来有效地防止统计攻击和代数攻击,这使得它特别适合混合同态加密(HHE),也被称为反密码。这种随机化是通过对每一轮新密码评估的新可逆矩阵进行伪随机采样来实现的。然而,对每轮随机可逆矩阵进行天真抽样会显著影响普通评估运行时,尽管它不会影响同态评估成本。为了解决这个问题,在ToSC 2020上提出了Dasta,以降低生成随机矩阵的成本。在这项工作中,我们从不同的角度解决了这个问题:为了在不牺牲安全性的情况下最小化普通计算运行时,可以在多大程度上减少Rasta-like设计中的随机性?为了回答这个问题,我们仔细研究了类拉斯塔密码的主要威胁以及随机矩阵在确保安全方面的作用。我们将结果应用于最近提出的密码$\text{PASTA}$,提出了一个名为$\text的修改版本{帕斯塔}_\文本{v2}$用一个初始随机矩阵和固定线性层实例化,这是通过将两个MDS矩阵与Kronecker乘积结合而得到的,用于其他回合。与用于BGV和BFV样式HHE的最先进的密码$\text{PASTA}$相比,我们的评估表明$\text{帕斯塔}_\纯文本{v2}$速度快100%,而SEAL同态加密库中的同态运行时相同,HElib中的求值时间分别快30%。
达米亚诺·阿布拉姆、劳伦斯·罗伊和彼得·斯科尔
本文介绍了具有简洁共享大小的同态秘密共享(HSS)。在HSS中,各方共享私有输入,然后各方可以同态地对其共享的函数进行求值,从而获得函数输出的共享。在简洁的HSS中,一部分输入可以使用在此类输入数量上大小为次线性的份额进行分配。然后,各方可以对共享上的函数$f$进行局部求值,限制是$f$在简洁共享的输入中必须是线性的。我们为分支程序构造了简洁的两部分HSS,它基于决策复合残差假设、类组中类似DDH的假设,或者基于超多项式模噪比的错误学习。然后,我们给出了简洁HSS的几个应用,这些应用以前只使用完全同态加密或更强大的工具才知道:-简洁向量不经意线性求值(VOLE):双方可以获得任意长向量$\vec x$乘以标量$\Delta$的秘密份额,且通信向量的大小为次线性。-批、多方分布式点函数:一种协议,用于在$N$方之间分配一批秘密、随机点函数,对于任意多项式$N$,DPF数的通信次线性。-任意数量参与方的次线性MPC:具有次线性通信复杂度的MPC的两种新构造,任意多项式$N$具有$N$参与方:(1)对于大小为$s$的一般分层布尔电路,具有通信$O(N s/\log\logs)$,以及(2)对于具有通信$0(N s/\ logs)美元的分层、足够宽的布尔电路。
基于加性同态加密数据的简洁可验证计算的隐私保护蓝图
斯科特·格里菲、马尔库夫·科尔维斯、安娜·利桑斯卡娅和梅格纳·森古普塔
Kohlweiss、Lysyanskaya和Nguyen(Eurocrypt’23)推出的$f$隐私保护蓝图(PPB)系统允许审计师使用秘密输入$x$创建函数$f(x,\cdot)$的公共编码,该函数可验证地对应于承诺$C_x$到$x$。然后,审计师将能够从用户输入与承诺$C_y$对应的用户私有数据$y$时计算的托管$Z$中导出$f(x,y)$$Z$可验证地对应于承诺$C_y$,并且没有显示有关$y$的其他信息。PPB提供了一种抗滥用的托管机制:例如,如果$f$是监视列表函数,其中$f(x,y)$仅在$y$位于列表$x$上时输出$y$,则$f$-PPB允许审计师跟踪其他匿名系统中的监视列表用户。然而,审计师的$x$必须对应于公开的$C_x$(通过透明、合法的流程授权),审计师除了$f(x,y)$之外什么也不会学到。在本文中,我们以原始PPB结果为基础,通过三种方式进行构建:(1)我们定义并满足了一个更强的安全性概念,即恶意审计师不能在用户不是交易方的交易中陷害用户。(2) 我们为更大类的函数$f$;提供了有效的方案;例如,我们首次展示了如何实现$f$,这将允许审计师跟踪犯罪嫌疑人的电子现金交易。(3) 对于监视列表和相关函数,我们将托管$Z$的大小从审计师输入$x$的线性大小减小为对数。我们开发了一个新的框架,用于对附加的形态加密数据进行简洁可验证的计算。
Suvradip Chakraborty、Stanislav Peceny、Srinivasan Raghuraman和Peter Rindal
安全合并考虑将两个排序列表合并为一个排序的秘密共享列表的问题。合并是许多实际应用程序的基本构建块。例如,安全合并可以实现大量类似SQL的数据库连接,这对于几乎任何数据处理任务都至关重要,例如隐私保护欺诈检测、广告转换率、重复数据消除等等。我们提出了两种具有通信带宽和舍入权衡的结构。Logstar是我们的带宽优化结构,灵感来自Falk和Ostrovsky(ITC,2021),运行时间为$O(n\log^*n)$,与$O(\logn)$轮进行通信。特别是,对于所有可能的$n$,$\log^*n$因子将等于常数$2$,因此我们实现了近似线性的运行时间。中位数是我们的循环优化结构,它建立在Valiant(SIAM J.Compute.,1975)的经典并行基于中位数的不安全合并方法的基础上,该方法后来由Blunk等人(2022)在安全设置中进行了探索,需要$O(n\log^c n)$,$c\approx 1.71$与$O(\log n)$轮进行通信。我们引入了两个额外的结构,用于合并不同大小的输入列表。SquareRootMerge合并大小为$n^{\frac{1}{2}$和$n$的列表,在$O(n)$时间内运行,并与$O(\logn)$轮进行通信。CubeRootMerge受到了Blunk等人(2022)构造的启发,合并了大小为$n^{\frac{1}{3}$和$n$的列表。它在$O(n)$时间内运行,并与$O(1)$轮进行通信。为了提高混凝土效率,我们优化了施工。如今,具体有效的安全合并协议依赖于标准技术,如Batcher的合并网络或通用排序。这些方法需要一个深度为$O(\logn)$的$O(n\logn)$size电路。尽管进行了大量研究,但没有一项工作能够降低其具体成本。我们的构造是第一个通过改进它们的渐近性和保持小常数来提高效率的构造。我们对这些结构进行了分析基准测试,结果表明Logstar减少了带宽成本$\approx1.43\乘以$,Median减少了轮数$\applox1.62\乘以$。
阿南特·夏尔马(Anant Sharma)、努普尔·德什潘德(Nupur Deshpande)、桑奇塔·戈什(Sanchita Ghosh)、斯列塔马·达斯(Sreetama Das)和什巴达斯·罗伊(Shibdas Roy)
旅行推销员问题是在城市网络中找出最短路线的问题,销售人员需要旅行到所有城市,而不需要多次访问同一个城市。这个问题被称为$NP$-难问题,对于$N$个城市来说,其强制复杂性为$O(N^N)$或$O(N2N})$。如果给定的图中至少存在一个哈密顿圈,那么这个问题等价于找出给定图中最短的哈密顿环。这个问题的量子算法通常只使用Grover搜索提供二次加速,因此复杂性为$O(N^{N/2})$或$O(N ^N)$。我们提出了一种解决该问题的有界误差量子多项式(BQP)算法,具有指数加速。我们算法的总体复杂度为$O(N^3\log(N)\kappa/\epsilon+1/\epsilon^3)$,其中错误$\epsillon$是$O(1/{rm poly}(N))$,$\kappa$是编码所有哈密顿圈的矩阵的非大条件数。
James Xin-yu Chiang、Bernardo David、Tore Kasper Frederiksen、Arup Mondal和Esra Yeniaras
众所周知,要让解密方对公钥加密负责很难,因为密钥所有者可以解密任何任意密文。阈值加密旨在通过在一组必须通过解密协议进行交互的各方之间分配解密权限来解决此问题。然而,这些方可以使用多方计算(MPC)等加密工具来解密任意密文,而不会被检测到。我们引入了带有自证其罪证据的(阈值)加密的概念,其中各方必须在解密每个密文时提供自证其责的解密证据。在标准公钥加密情况下,对手可能会破坏这些证明,因此我们加强了我们的观念,以确保在解密成功时发布这些证明。这会创建一个解密审计跟踪,在解密权由一个必须负责的受信任方(例如,受信任的执行环境)持有的情况下,这非常有用。在阈值情况下,我们确保执行解密协议的各方中至少有一方会学习到自我证明,即使他们使用了MPC等高级工具。一方获悉证据并可能随时泄露,这一事实对不希望被认定为恶意解密者的各方(例如,基于阈值加密的服务的商业运营商)起到了威慑作用。我们在适当假设下提供匹配结构的同时,研究了我们的概念的(im)可能性和应用。在阈值情况下,我们基于个人密码术(CRYPTO 2023)的最新结果。
塞巴斯蒂安·卡纳德(Sébastien Canard)、卡罗琳·丰丹(Caroline Fontaine)、邓海芬(Duong Hieu Phan)、大卫·波因契瓦尔(David Pointcheval)、马克·雷纳德(Marc Renard)和雷诺德·瑟迪
在最近的Eurocrypt’24论文中,Manulis和Nguyen提出了新的CCA安全概念、vCCA和相关的施工蓝图,以利用CPA安全和正确的FHE超越CCA1安全屏障。然而,由于他们的方法仅在正确性假设下有效,因此,由于实践中使用的许多FHE方案都是近似的,因此不满足正确性假设,因此,FHE频谱的很大一部分未被覆盖。在本文中,我们通过定义和研究一种适用于包含近似FHE的更一般情况的安全概念变体来改进他们的工作。由于CPAD更适合捕获近似FHE方案的被动安全性,而不是CPA安全性,因此我们从以前的概念开始定义我们的vCAD新安全概念。尽管我们表明,当正确性假设成立时,vCCA和vCCAD是等价的,但我们确定,在一般情况下,vCCAD安全性严格高于vCCA安全性。在这样做的过程中,我们有趣地在强度不断增加的CPAD安全变体之间建立了几个新的分离结果。这使我们能够澄清vCCA安全性和CPAD安全性之间的关系,并揭示出对于精确的FHE来说,安全概念比包含近似概念时要简单得多——例如,在这种情况下,我们确定,对于CPAD和vCAD安全来说,多重挑战安全概念比单一挑战安全概念严格更强。最后,我们还提供了具体的施工蓝图,展示了如何利用Manulis和Nguyen提出的一些蓝图来实现vCAD安全。因此,vCCAD安全性是迄今为止已知的最强的CCA安全概念,可以通过正确和近似的FHE方案来实现。
夏洛特·霍夫曼
由Goyal、Song和Srinivasan(CRYPTO’21)推出的可追踪门限秘密共享方案,允许可证明地追踪泄露给泄露方的泄露股份。作者首次给出了可追踪秘密共享方案的定义和构造。然而,在他们的建设中,股份的大小是秘密大小的二次方。Boneh、Partap和Rotem(CRYPTO’24)最近提出了可追踪秘密共享的新定义和第一个实际构造。在他们的定义中,考虑一个重建框$R$,其中包含$f$泄漏的股份,在输入$t-f$额外股份时,输出秘密$s$。如果一个人只能通过黑盒访问$R$来发现$R$盒子里泄露的股份,那么这个方案就是可追踪的。Boneh、Partap和Rotem根据Shamir的秘密共享和Blakely的秘密共享给出了构造。由于秘密共享的大小只有秘密大小的两倍,因此这些构造是有效的。在这项工作中,我们提出了第一个基于中国剩余定理的可追踪秘密共享方案。Boneh、Partap和Rotem认为这是一个公开的问题,因为它导致了具有加权阈值访问结构的可追踪秘密共享。该方案基于米格诺特的秘密共享,并将标准米格诺特秘密共享方案的份额增加了2美元。
Alireza Kavousi、Zhipeng Wang和Philipp Jovanovic
公共随机性是许多密码协议和分布式系统中的一个基本组件,通常在确保其安全性、公平性和透明性方面起着至关重要的作用。由于对区块链和加密货币平台的兴趣激增,以及此类构建块在这些领域的实用性,近年来,设计安全协议以分布式方式生成公共随机性受到了相当大的关注。本文对公共随机性主题的知识进行了系统化,重点介绍了提供公共可验证性的密码工具以及这些系统的关键主题。我们提供了关于最先进的协议如何在对抗性环境中有效实现这一任务的具体见解,并提出了可能对未来研究感兴趣的各种研究空白。
有限密钥重用的风险:针对Kyber的自适应和并行后处理不匹配攻击
钱果、埃里克·马尔滕森和阿德里安·奥斯特罗姆
本文研究了NIST选择用于标准化的基于错误学习(LWE)的密钥封装机制(KEM)Kyber对密钥失配攻击的鲁棒性。我们证明,通过在并行化级别和后处理的格减少成本之间取得平衡,Kyber的安全级别可能会因一些不匹配查询而受到影响。这突出表明,迫切需要严格禁止CPA-secure Kyber中的密钥重用。我们进一步提出了一种增强并行失配的自适应方法这些攻击最初由Shao等人在AsiaCCS 2024上提出,从而显著降低了查询复杂性。该方法通过格约简将自适应攻击与后处理相结合来检索最终的密钥条目。我们的方法通过将Kyber512和Kyber768/Kyber1024的查询复杂度分别降低14.6%和7.5%来证明其有效性。此外,这种方法有可能大大改进针对CCA-secure版本的Kyber KEM的多值纯文本检查(PC)基于oracle的副通道攻击。
乔瓦尼·迪利吉奥斯(Giovanni Deligios)和莫斯·米兹拉希·埃尔贝斯(Mose Mizrahi Erbes)
在共识问题上,$n$方希望就共同价值达成一致,即使其中一些人腐败且行为不端。如果各方有共同的意见,则必须就$m$达成一致。解决共识的协议假设要么是同步通信网络,其中消息在已知时间内传递,要么是具有任意延迟的异步网络。异步协议只允许$t_a<n/3$个损坏方。同步服务器可以容忍$t_s<n/2$的安装损坏,但如果违反同步假设,则其安全性将完全崩溃。Blum、Katz和Loss[TCC'19]介绍的网络认知一致性协议,在可证明的最佳假设$t_a\leq t_s$和$2t_s+t_a<n$下,无论网络条件如何,都是安全的,可以容忍多达$t_s$的同步损坏和$t_a$的无损坏。尽管努力提高效率,但所有已知的网络诊断协议都没有达到最先进的纯同步协议的渐进复杂性。在这项工作中,我们引入了一种新的技术,可以将任何同步和异步一致性协议编译成网络感知协议。此过程只会产生少量恒定的开销轮次,因此编译后的协议与同步协议的最佳轮次复杂度相匹配。我们的编译器还保留了各种假设条件下最先进的同步和异步协议的渐近通信复杂性。因此,它缩小了同步共识和网络认知共识之间当前的效率差距。另外,我们的协议支持$\ell$-位输入,并且可以在已知可能用于纯同步协议的假设下进行扩展,以实现通信复杂性$O(n^2\kappa+\elln)$。
季晓宇、李俊如、宋一凡
安全多方计算(MPC)允许一组$n$方在其私有输入上联合计算函数。在这项工作中,我们重点关注具有最佳弹性($t<n/3$)的emph{异步网络}设置中的信息理论MPC。此设置中最著名的结果是由Choudhury和Patra[J.Cryptol’23]实现的,这需要每个乘法门$O(n^4\kappa)$位,其中$\kappa$是字段元素的大小。异步完全秘密共享(ACSS)协议允许经销商共享一批Shamir共享,这样所有各方最终都会收到他们的共享。ACSS是AMPC中的一个重要组成部分。ACSS最著名的结果要归功于Choudhury和Patra[J.Cryptol’23],它要求每个共享$O(n^3\kappa)$bits。另一方面,在同步设置中,众所周知,分发Shamir共享可以通过每个共享$0(n\kappa]$bits来实现。同步设置和异步设置之间的通信存在$n^2$的差距。我们的工作通过提出第一个实现每次共享$O(n\kappa)$位的ACSS协议来弥补这一差距。当与Choudhury和Patra的编译器从ACSS到AMPC结合时,我们获得了每个乘法门具有$O(n^2 \kappa)$位的AMPC,将以前最著名的结果提高了$n^2$。此外,通过将Choudhury和Patra的编译器改进了$n$倍的并行工作,我们获得了每个乘法门具有$O(n\kappa)$位的第一个AMPC。
亚历山大·梅和马西莫·奥斯图齐
设$\star:G\times X\rightarrow X$是集合$X$上大小为$N=|G|$的组$G$的动作。假设$y=g\star x\ in x$是一个组操作dlog实例,其中我们的目标是从已知的集合元素$x,y\ in x$中计算未知的组元素$g\ in g$。Galbraith-Hess-Smart(GHS)冲突查找算法使用多项式内存以$N^{\frac 12}$步求解组操作日志。我们表明,组操作日志适用于预计算攻击。更准确地说,对于任何$s,t$我们的预计算算法在$st$步内计算空间复杂性$s$的提示,这允许在$t$步内求解在线阶段的任何组操作数据日志。典型的实例化是$s=t=N^{\frac13}$,它给出了预计算时间$N^{\frac23}$和空格$N^}\frac13}$以及联机时间$N_{\frac13{$。此外,我们还表明,求解多个组操作dlog实例$y_1、\ldots、y_m$可以加快速度。也就是说,我们的冲突查找算法解决了$\sqrt中的$m$组动作dlog{m} N个^{\frac 12}$steps,而不是运行$m$乘以GHS所需的直接$mN^{\frac 12}$steps。有趣的是,我们的多实例算法(带有预计算)可以看作是我们的预计算算法的特例。我们的多实例方法可以与我们的预计算自由组合,允许进行各种权衡。从技术上讲,我们的预计算和多实例组操作dlog攻击是对阿贝尔组中标准dlog设置技术的改编。虽然这种适应看起来很自然,但从本质上来说,还不清楚哪些技术从数据日志转移到更通用的组操作数据日志设置,而$X$没有提供组结构。我们的算法直接适用于所有基于组操作的密码系统,例如CSIDH及其变体。我们提供了实验证据,证明我们的技术在CSIDH环境中工作良好。
用数据挖掘方法减少由AES小尺度变量导出的多项式方程组
贾娜·贝鲁什科娃、马丁·朱雷切克和奥哈·朱雷科娃
本文研究如何使用代数密码分析来减少AES密码小规模变体的密钥计算时间,而数据挖掘方法可以加速这种分析。这项工作基于已知的明文攻击,旨在通过处理从明文-明文对中提取的多项式方程来加速密钥的计算。具体来说,我们建议将GF(2)上的多项式方程组的超定义系统转换为一个新系统,以便使用F4算法计算Gröbner基所需的时间比原始系统少。其主要思想是将相似多项式分组为簇,并对每个簇求和两个最相似的多项式,从而得到更简单的多项式。我们比较了不同的数据挖掘技术来寻找相似的多项式,例如聚类或位置敏感散列(LSH)。实验结果表明,使用LSH技术,我们得到了一个方程组,与我们在本工作中考虑的其他方法相比,我们可以最快地计算Gröbner基。实验结果还表明,与从原始非变换系统计算Gröbner基的情况相比,计算变换方程组的Gróbner基可大大缩短时间。本文证明了减少过定义的方程组可以减少查找密钥的计算时间。
Christoph Dobraunig、Krystian Matusiewicz、Bart Mennink和Alexander Tereschenko
可调整的宽块密码是一种与可调整的块密码行为相同的构造,不同之处在于实际块大小是灵活的。由于此功能,可调整的宽分组密码可以直接用作强加密方案,在将明文加密为密文时提供完全扩散,反之亦然。此外,它还可以作为经过身份验证的加密方案的基础,实现最强的安全概念。在本文中,我们给出了停靠双层可调整宽分组密码的三个实例:$\mathit{ddd}\text{-}\mathit{AES}$、$\mathit{ddd\text{-}\ mathit}AES}^+$和$\mathat{bbb}\text}\matchit{-dd}\text{-}\mathit\AES}$。这些实例专门使用与AES-GCM(AES和有限域乘法)类似的构建块,旨在实现最大并行性,因此可以有效利用现有的硬件加速器$\mathit{ddd}\text{-}\mathit}AES}$是一个生日绑定的安全方案,而$\mathit{ddd\text{-}\tathit{AES}^+$是一种立即通用的方案,可以进行可变长度的调整$\mathit{bbb}\text{-}\mathit}ddd}\text{-}\fathit{AES}$实现了超出生日界限的安全性,前提是不经常使用相同的调整。此外,$\mathit{bbb}\text{-}\mathit{ddd}\text}-}\mathit{AES}$构建在一个新颖的条件超越生日限制的安全伪随机函数的基础上,该函数是排列异或的一个可调整变体,有助于在AES评估中包含调整,而不牺牲停靠双层中的灵活性。此外,我们还引入了一种经过身份验证的加密模式$\mathit{aaa}$,该加密模式专门定制为使用$\mathat{ddd}\text{-}\mathit{AES}$和$\mathit{bbb}\text}\mathat{ddd{\text{-}\mathit{AES}$进行实例化,其中特别注意如何处理nonce和相关数据。我们证明了该模式在非相关设置、非误用设置以及使用随机非符号的设置中是安全的。
Yacov Manevich、Hagar Meir、Kaoutar Elkhiyaoui、Yoav Tock和May Buzaglo
Arma是拜占庭容错(BFT)共识系统,旨在实现所有硬件资源的水平可扩展性:网络带宽、CPU和磁盘I/O。与之前的BFT协议不同,Arma将客户端事务的传播和验证与一致性过程分开,将一致性过程限制为仅对成批事务的元数据进行完全排序。这种分离使各方能够在多台机器之间分配用于事务验证、分发和磁盘I/O的计算和存储资源,从而实现横向可扩展性。此外,Arma通过施加最大值来确保审查阻力包括客户交易的时间限制。我们建造并评估了两个Arma原型。第一个是一个每秒处理200000多个事务的独立系统,第二个集成到Hyperledger Fabric中,大大加快了一致性。
王立忠、曾伯恩、关彦良、周春燕
在本文中,我们提出了一个简单的基于非对易环的具有密钥-随机对齐的UOV签名方案:简单NOVA,它可以看作是NOVA的简化版本[48]。我们通过跳过NOVA中使用的扰动技巧简化了NOVA的设计,从而缩短了密钥生成过程,加快了签名和验证。再加上相应的一些修改,这个NOVA的替代版本也很安全,可能更适合实际使用。我们还使用Magma实际实施并针对已知的主要攻击进行详细的安全分析。
Susumu Kiyoshima公司
可重置的统计零知识[Garg—Ostrovsky—Visconti—Wadia,TCC 2012]是一个强大的隐私概念,即使证明者在多个证明中使用相同的随机性,也能保证统计零知识。在本文中,我们证明了$NP$的可重置统计零知识参数与$NP$中的见证加密方案的等价性。-积极结果:对于任何$NP$语言$L$,在单向函数存在的假设下,可以从$L$的见证加密方案构造$L$可重置的统计零知识参数。-负面结果:$NP$的偶数可重置统计见证诱导可识别参数的存在意味着在单向函数存在的假设下,$NP$存在见证加密方案。积极的结果是通过自然地扩展现有技术获得的(很可能已经在专家中广为人知)。负面结果是我们的主要技术贡献。为了探索负面结果的解决方案,我们还考虑了模型中的可重置安全性,在该模型中,诚实方的随机性仅在固定输入下重复使用。我们表明,即使在这个模型中,可重置的统计隐藏承诺方案也是不可能的。
Ali Raya、Vikas Kumar和Sugata Gangopadhyay
类NTRU密码系统是研究最多的基于格的后量子候选系统之一。虽然大多数NTRU建议都是在商多项式的交换环上引入的,但也可以使用其他环。非交换代数早就被认可为构建NTRU新变体的方向。第一次尝试构建非对易变体是因为霍夫斯坦和西尔弗曼对格攻击有更大的抵抗力。该方案是在二面体群的群环上建立的。然而,他们的设计与标准NTRU不同,很快就被发现易受代数攻击。在这项工作中,我们将二面体群上的群环NTRU恢复为GR-NTRU框架的一个实例。与文献中许多非对易变体的提议不同,我们的工作重点是将方案付诸实践。通过在非交换环的新设置上提出一个有效的反演算法,描述解密失败模型,并分析与实例化相关的格,我们明确了使我们的方案可实现的所有方面。最后,我们讨论了针对我们的方案的最著名的攻击,并提供了一个针对128位、192位和256位安全级别的实现,以证明其实用性。
Kyungbae Jang、Yujin Oh和Hwajeong Seo
随着量子计算的发展,人们进行了广泛的研究,以发现量子在密码学领域的优势。将量子算法与经典密码分析方法(如差分密码分析和线性密码分析)相结合,有可能降低复杂性。本文提出了一种用于差分密码分析的量子差分发现电路。在我们的量子电路中,明文和输入差都处于叠加状态。实际上,虽然我们的方法无法通过量子计算实现直接加速,但它依靠叠加态的量子概率提供了不同的视角。对于量子模拟,在给定有限数量的量子比特的情况下,我们通过实现Toy-ASCON量子电路来模拟我们的量子电路。
Taechan Kim公司
最近对乱码电路的改进主要集中在减小其尺寸上。Rosulek和Roy~(Crypto~2021)最先进的结构需要1.5美元的比特才能在自由XOR设置中进行乱码和门运算。这低于Zahur、Rosulek和Evans~(Eurocrypt ~ 2015)线性混淆模型中先前证明的下限$2\kappa$。最近,Ashur、Hazay和Satish~(eprint 2024/389)提出了一个方案,该方案需要$4/3\kappa+O(1)$bits用于garbing and gates。准确地说,他们将Rosulek和Roy引入的\emph{slicing}概念扩展到了形式为$g(u,v,w):=u(v+w)$的三输入门。通过设置$w=0$,它可以用来乱码AND门,从而提高通信成本。然而,在本文中,我们发现Ashur、Hazy和Satish提出的方案泄漏了有关置换位的信息,从而允许评估者透露有关私人输入的信息。确切地说,我们证明了在他们的混淆方案中,评估器可以计算比特$\alpha$和$\beta+\gamma$,其中$\alpha$、$\beta$和$\gamma$分别是输入标签$A$、$B$和$C$的私有置换位。
尼贝什·什雷斯塔(Nibesh Shrestha)、罗汉·什雷索姆(Rohan Shrothrium)、安妮凯特·凯特(Aniket Kate)和卡提克·纳亚克(Kartik Nayak)
传统的基于领导的BFT协议经常导致参与方之间的工作分配不平衡,由单个领导执行大多数任务。最近,基于有向非循环图(DAG)的BFT协议已成为平衡各方共识努力的解决方案,与传统协议相比,通常会产生更高的吞吐量。然而,现有的基于DAG的BFT协议在提交决策时存在较长的延迟。延迟如此之长的主要原因是每两个或更多“回合”就有一个领先者。即使在诚实的领导者下,这些协议也需要两个或更多可靠的广播(RBC)实例来提交领导者提交的提案(领导者顶点),以及其他RBC来提交其他提案(非领导者顶点)。在这项工作中,我们提出了第一个基于DAG的BFT,它支持每轮中的先导顶点。在诚实的领导下,\name保持一轮RBC提交延迟加上$1\delta$以提交领导顶点(其中$\delta$s是消息的实际传输延迟),并且只保留一轮额外的RBC提交非领导顶点。此外,我们将\name扩展到了\nmultimame,这有助于在单轮中实现多个领导者,并在一轮中提交所有领导者顶点,延迟为一轮RBC加上$1\delta$。通过实验评估,我们证明,与最先进的基于DAG的协议相比,我们的协议实现了更好的延迟,吞吐量稍好。
我们能打破三分之一的下限吗(Im)降低杂乱电路通信成本的可能性
Chunghun Baek和Taechan Kim
最近对乱码电路的改进主要集中在减小其尺寸上。Rosulek和Roy(Crypto 2021)最先进的结构需要1.5美元的比特用于在自由异或设置中的乱码和门。这低于Zahur、Rosulek和Evans(Eurocrypt 2015)线性混淆模型中先前证明的下限$2\kappa$。在一个比线性乱码模型更具包容性的模型中,它们的构造是否最优仍然是一个未知数。本文首先为一大类实际的乱码方案提供了一个综合模型并证明了模型中乱码and门大小的下限。我们表明,在我们的带有自由异或设置的新模型中,乱码AND门至少需要1.5美元\kappa$位。值得注意的是,罗苏莱克和罗伊的建筑已经达到了最佳状态尽管事实上,我们的模型可能捕捉到了其构造的任何潜在扩展。
北川福崎、森岛富辅、西岛良彦和山川隆史
我们从单向函数构造量子公钥加密。在我们的构造中,公钥是量子的,而密文是经典的。最近的一些工作中也提出了基于单向函数(或较弱的基元,如伪随机函数类状态)的量子公钥加密[Morimae-Yamakawa,eprint:2022/1336;Coladangelo,eprint:2023/282;Barooti-Grilo-Malavolta-Sattath-Vu-Walter,eprint_2023/877]。然而,它们有一个巨大的缺点:只有当量子公钥可以在不被对手篡改的情况下传输给发送方(运行加密算法)时,它们才是安全的,这似乎需要不令人满意的物理设置假设,例如安全量子信道。我们的构造没有这样一个缺点:即使我们假设只有未经身份验证的量子信道,它也能保证加密消息的保密性。因此,加密是用对抗性篡改的量子公钥来完成的。我们的构造是第一个量子公钥加密,它实现了经典公钥加密的目标,即仅基于单向函数在不安全信道上建立安全通信。此外,我们还展示了一个通用编译器,它使用单向函数将针对选定明文攻击(CPA安全)的安全性升级为针对选定密文攻击(CCA安全)。因此,我们获得了仅基于单向函数的CCA安全量子公钥加密。
Elena Andreeva、Rishiraj Bhattacharyya、Arnab Roy和Stefano Trevisani
ZK-SNARK是面向隐私的支付系统、身份协议或匿名投票系统的基本组件,是用于可验证计算的高级加密协议:现代SNARK允许用适当的约束语言对程序的不变量进行编码,这些不变量表示为算术电路,可以构造正确计算的零知识证明。SNARK系统中最重要的计算之一是验证Merkle树(MT)的打开证明,该证明依赖于二进制MT上固定输入长度(FIL)密码压缩函数的计算。由于经典的、面向比特的散列函数(如SHA-2)在SNARK框架中无法紧凑地表示,面向算术(AO)的密码设计已经成为一种替代的、有效的解决方案。如今,大多数AO压缩函数都是基于海绵排列的哈希模式构建的。虽然与基于块密码的模式相比,这种方法可以节省成本,因为它不需要密钥调度,但AO块密码调度程序的计算成本通常很低。此外,经典的面向比特的密码学长期以来一直在研究如何根据Preneel-Govaerts-Vandewalle(PGV)框架从分组密码构造可证明安全的压缩函数。潜在的效率提高,加上在经典环境中强大的可证明安全基础,激发了对基于AO块密码的压缩函数的研究。在这项工作中,我们提出了PGV-LC和PGV-ELC两种基于AO块密码的FIL压缩模式,这两种模式受到了经典PGV方法的启发,并对其进行了扩展,提供了灵活的输入和输出大小,并在AO设置中提供了可证明的安全保证。我们证明了理想密码模型中的碰撞阻力和预映象阻力,并给出了任意数MTs上碰撞阻力和开放阻力的界。我们通过实验比较了Hades块密码上的AO PGV-ELC模式与其流行且广泛采用的海绵实例化、波塞冬及其改进变体波塞冬2。在本机x86执行中,我们得到的构造比Poseidon快3倍,比Poseiton2快2倍,在Groth16 SNARK框架中快50%。最后,我们研究了使用arity大于2的MTs的好处,提出了一种在这种情况下获得紧凑R1CS约束系统的新策略。事实上,通过将PGV-ELC模式下Hades块密码的有效参数化与MT arity的最佳选择相结合,我们测量到与二进制MT上的Poseidon相比,本机MT构造时间提高了9倍,证明生成时间提高了2.5倍。
卡里姆·巴赫里
$(n,t)$-可验证秘密共享(VSS)方案允许经销商在$n$方之间共享秘密。所有方都可以验证其共享的有效性,并且只有一组(即超过$t$)方可以访问该秘密。在本文中,我们提出了$\Pi$,作为在诚实多数设置中构建VSS方案的统一框架。值得注意的是,$\Pi$不依赖同态承诺;相反,它需要一个随机预言机和除其核心属性隐藏和绑定之外的任何承诺方案,它可能是同态的和/或后量子(PQ)安全的。-当使用基于离散对数(DL)的承诺时,$\Pi$可以在RO模型中构造两个新的VSS方案,分别命名为$\Pi_P$和$\Pi_F$。与著名的Pedersen和Feldman VSS方案相比,$\Pi_P$和$\Pi_F$都需要在验证(响应重建)过程中进行$O(1)$(响应$O(t)$)指数运算,而不是$O。-通过使用基于哈希的承诺实例化$\Pi$,我们获得了一个新的PQ安全VSS方案,标记为$\Pi_{LA}$$\Pi_{LA}$在所有指标上均优于Asiacrypt’23的Atapoor、Baghery、Cozzo和Pedersen最近的协议$\Pi_{LA}$也可以被视为Gennaro、Rabin和Rabin在PODC’98中提出的简单VSS方案的放大版本。-在$\Pi_F$的基础上,我们构建了一个名为$\Pi_S$的公共VSS(PVSS)方案,它可以被视为Schoenmakers’99加密方案的一个新变体。为此,我们首先将多项式离散对数(PDL)问题定义为DL的推广,然后基于新的硬度假设构建Schnorr知识证明(PoK)方案的变体。我们认为PDL关系和相关的PoK方案对于基于Shamir的阈值协议可能是独立有趣的。我们相信$\Pi$足够通用,可以在各种上下文中使用,例如格、等基因和大量实际用例。
Matteo Campanelli、Dario Fiore和Anaïs Querol
我们通过以轻量级的方式链接小型专用“验证工具”SNARK来研究模块化构建SNARK的问题。我们的动机既是理论上的,也是实践上的。在理论方面,模块化SNARK设计将是灵活和可重复使用的。实际上,专业SNARK有可能比大多数现有工作所关注的通用方案更有效。如果计算自然呈现不同的“组件”(例如,一个算术电路和一个布尔电路),一个通用的方案会将它们同质化为一个单一的表示形式,从而带来性能上的成本。通过模块化方法,人们可以利用计算的细微差别,为每个组件选择最佳的小工具。我们的贡献是LegoSNARK,它是一个承诺和证明zkSNARK(CP-SNARK)的“工具箱”(或框架),包括:1) 通用组合工具:使用基本关系$\mathit{simply}$的证明工具构建新的CP-SNARK。2) 一个“提升”工具:将承诺和证明功能添加到广泛的现有zkSNARKs$\mathit{efficiency}$类中。这使得它们可以在相同的计算中进行互操作(可链接)。例如,一个基于QAP的方案可以用来证明一个组件;另一个基于GKR的方案可以用来证明另一个方案。3) 一系列简洁实用的小工具,适用于各种关系。此外,通过我们的框架和小工具,我们能够获得新的简洁证明系统。值得注意的是:–$\mathsf{LegoGro16}$是Groth16 zkSNARK的承诺和证明版本,它对使用经典Pedersen向量承诺提交的数据进行操作,并在证明时间上达到5000美元/倍的速度。–$\mathsf{LegoUAC}$,一种基于配对的SNARK,用于算术电路,具有通用的、电路相关的CRS,并证明了电路门数量的时间线性(与Groth等人(CRYPTO’18)的最新方案相比,具有二次CRS和准线性证明时间)。–用于实现最佳证明复杂性的矩阵乘法的CP-SNARK。4) 用C$\mathsf{++}$编写的代码库,用于具有承诺和证明功能的高度可组合的zkSNARK$^*$。_______________$^*$可在https://github.com/imdea-software/legosnark .
卢卡斯·科瓦尔奇克、塔尔·马尔金、乔纳森·厄尔曼和丹尼尔·威克斯
差异隐私的一个主要挑战是设计计算效率高的非交互算法,该算法可以回答敏感数据集上的大量统计查询。也就是说,我们想设计一个差异私有算法,该算法从某个大数据域$X$中获取由少量元素$n$组成的数据集$D\inX^n$,并有效地输出一个摘要,该摘要允许用户有效地获得某个大家族$Q$中任何查询的答案。忽略计算约束,即使$X$和$Q$是指数大的,而$n$只是一个小多项式,这个问题也可以解决;然而,所有具有远程相似保证的算法都在指数时间内运行。已有多个结果表明,在不可区分混淆(iO)的强假设下,当$X$和$Q$可以指数大时,不存在有效的差异私有算法,在任何标准复杂性假设下,信息理论和计算效率高的差异私有算法之间都没有很强的分离。在这项工作中,我们表明,如果存在单向函数,则当$X$和$Q$指数大,并且$n$是任意多项式时,不存在通用的差分私有算法。事实上,我们证明了即使$X$只是次指数大(假设只有多项式单向函数),这个结果仍然成立。这个结果解决了Vadhan在最近的调查中提出的一个公开问题。
Matteo Campanelli、Antonio Faonio、Dario Fiore、Tianyu Li和Helger Lipmaa
查找参数允许证明已提交向量的元素来自(较大的)已提交表。它们使新的方法能够降低通用zkSNARK的证明程序复杂性,更有效地实现诸如范围检查、XOR和and等“非算术运算”。我们沿着两个方向扩展了查找参数的概念,并提高了它们的效率:(1)我们将向量查找扩展到矩阵查找(在这里我们可以证明一个提交的矩阵是一个提交表的子矩阵)。(2) 我们考虑零知识查找参数的概念,该参数保持子向量/子矩阵和表的隐私。(3) 我们提出了新的零知识查找参数,称为cq+、zkcq+和cq++,比现有技术更有效,即Eagen、Fiore和Gabizon最近的名为cq的工作。最后,我们给出了零知识矩阵查找参数在零知识决策树域中的一个新应用,其中模型提供者向决策树发布承诺,并可以证明承诺数据结构上的零知识统计。我们的基于查找参数的方案具有简洁的验证,证明器的时间复杂度渐近优于现有技术,并且在对决策树的承诺可能是恶意的强安全模型中是安全的。
比约恩·克里普克(Björn Kriepke)和高哈尔·吉尔吉斯斯坦(Gohar Kyureghyan)
我们考虑地图$\chi:\mathbb{F} _2^n \到\mathbb{F} _2^对于$n$odd,由$y=\chi(x)$与$y_i=x_i+x{i+2}(1+x{1+1})$给定,其中指数是按$n$的模计算的。我们建议推广映射$\chi$,我们称之为广义$\chi$-映射。我们证明了这些映射形成了一个阿贝尔群,它与$\mathbb中的单位群同构{F} _2[十] /(X^{(n+1)/2})$。使用这种同构,我们很容易获得$\chi$迭代的闭式表达式,并解释它们的属性。
西尔维娅·斯科扎和阿诺·威尔迪
我们提出了一种基于广义Diffie-Hellman密钥交换的新密钥交换协议。在后者中,我们不使用群作用,而是考虑半群作用。在我们的建议中,半群是$\mathbb{S}^3$中带连通和运算的定向节点集。作为半群作用,我们通过连通和选择半群对自身的作用。为了使协议工作,我们需要使用节点不变量,这允许我们从以两种不同方式表示的相同节点开始创建共享密钥。特别是,我们使用有限类型不变量。该协议的安全性由半群中节点分解的难度来保证。
刘延一、诺亚姆·马佐尔和拉斐尔·帕斯
我们对Hirakara和Nanashima(STOC’24)的最新结果进行了简单的替代解释,表明如果(1)NP中的每种语言都有零知识证明/自变量,并且(2)ZKA包含非平凡语言,则单向函数存在。我们的演示不依赖于元复杂性,我们希望它可能对教学有用。
Joseph Jaeger、Akshaya Kumar和Igors Stepanovs
我们引入了一种新的加密原语,称为对称签密,它与传统的签密不同,因为发送方和接收方共享一个密钥。我们证明,对称加密和签名的自然组合可以实现强大的安全概念,以抵御可以学习和控制许多密钥的攻击者。然后,我们确定密钥库加密消息传递协议的核心加密算法可以建模为对称签密方案。我们证明了该算法的安全性,尽管我们的证明需要假设底层原语的非标准、脆弱的安全属性。
利用流动性抵押衍生品(LSD)进行抵押:机遇与风险
熊西汉、王志鹏、陈曦、威廉·诺滕贝尔和迈克尔·胡特
在权益证明(PoS)以太坊生态系统中,用户可以将ETH押在Lido上以获得stETH,这是一种表示已押ETH并累积押记奖励的液体押记衍生品(LSD)。LSD通过促进其在二级市场的使用,提高了风险资产的流动性,例如用于Aave或Curve资产交易所的抵押借款。利多(Lido)、Aave和Curve的可组合性使一种新兴的策略成为杠杆投资,即用户提供stETH作为Aave的抵押品,借入ETH,然后获得更多stETH。这可以通过在Lido上初始下注ETH直接实现,也可以通过将ETH换成曲线上的stETH间接实现。虽然这一迭代过程提高了财务回报,但也带来了潜在的风险。本文探讨了杠杆投资的机会和风险。我们建立了一个与stETH进行杠杆下注的正式框架,并在963美元天内确定了442美元的以太坊头寸。这些头寸的总金额为537{,}123$ETH(8.77$m美元)。我们的数据显示,大多数(81.7%$)杠杆质押头寸的年利率(APR)高于丽都的传统质押。尽管回报很高,但我们也认识到杠杆投资的风险。从Terra崩盘事件中,我们了解到代币贬值会对市场产生巨大影响。因此,我们在极端条件下进行压力测试,特别是在stETH贬值期间,以彻底评估相关风险。我们的模拟表明,杠杆下注可能通过从清算和去杠杆活动中引入额外的销售压力,加剧级联清算的风险。此外,这一战略还带来了更广泛的系统性风险,因为它通过加强清算破坏了普通头寸的稳定性。
较弱假设下的基于时间的密码术:随机信标、延迟函数等
达米亚诺·阿布拉姆、劳伦斯·罗伊和马克·西姆金
假设某些计算本质上需要一些连续的时间,这一假设已经成为密码学的一个强大工具。它允许在分布式协议中提供安全性和活性保证,而这在经典的硬性假设下是不可能实现的。不幸的是,基于时间的密码学领域的许多构造都是基于新的且理解不足的硬假设,这些假设往往经不起时间的考验(参见Leurent等人2023,Peikert&Tang 2023)。在这项工作中,我们在几个方面取得了进展。我们形式化地定义了延迟函数的概念,并提出了一种基于最小假设的延迟函数构造方法。我们表明,这些函数与满足某些效率标准的经典密码对象相结合,将允许构造延迟加密,否则,已知延迟加密仅存在于一个新的关于等基因的硬假设基础上。我们正式定义了在区块链上下文中使用的随机信标,并且我们表明(线性同态)时间锁谜题允许有效地构建它们。我们的工作将基于时间的密码学置于更坚实的理论基础上,从更简单的假设中提供了新的构造,并为构建延迟加密开辟了新的途径。
Daniel Benarroch、Matteo Campanelli、Dario Fiore、Kobi Gurkan和Dimitris Kolonelos
我们考虑在零知识下证明公共集的一个元素满足给定的属性而不公开该元素的问题,即对于某些$u$,S$中的“$u\和$P(u)$保持”。此问题出现在许多应用程序(匿名加密货币、凭证或白名单)中,出于隐私或匿名原因,在这些应用程序中,隐藏某些数据并确保这些数据的属性至关重要。我们为这个问题设计了新的\textit{moduled}和\textit}高效}构造,通过新的\ttextit{commit-and-proved-zero-knowledge集合成员系统},即为公共承诺$c_u$中的值$u$证明$u\S$的方案。我们还扩展了我们的结果以支持{\em非成员证明},即证明$u\notin S$。作为提交和证明,我们的解决方案可以通过将我们的集合(非)成员系统与任何其他$P(u)$的提交和证明方案相结合,在S$和$P(u)$持有的形式为“$u\”的语句中充当即插即用模块。此外,他们还与主要订单组的Pedersen承诺合作,这使得他们能够与流行的系统(如Bulletproof或Groth16)兼容。我们将我们的方案实现为一个软件库,并对其性能进行了实验测试。与之前实现类似属性的工作相比——在Zcash中结合zksNARK和Merkle Trees的巧妙技术——我们的解决方案提供了更大的灵活性、更短的公共参数,并且对于一组2^{64}$的大小,证明时间快了$3.7\times$--$30\times$。
夏洛特·列斐夫和巴特·梅宁克
基于散列链的密码系统是一种有用的方法,可以确保使用一次性密码进行身份验证。核心思想在RFC 1760中指定为S/Key。在2017年CCS上,Kogan等人引入了T/Key,这是一种改进的密码系统,一次性密码仅在有限的时间内有效。在对手的基本模型下,他们证明了在随机预言模型中构造它们的安全性。在这项工作中,我们在基于散列链的密码系统的分析和实例化方面取得了各种进展。首先,我们描述了一种称为U/Key的轻微泛化,它允许在实例化和分析中实现更大的灵活性,并且我们开发了一种安全模型,该模型将对抗强度细化为离线和在线复杂性,可用于随机预言机模型之外,并允许直接论证多用户安全性。其次,我们推导了随机预言模型中U/Key的一个新的安全证明,以及用海绵构造和截断置换实例化的U/Keys的专用且更严格的安全证明。这些专用的安全证明反过来解决了理解海绵结构级联评估的预成像阻力的问题。当应用于T/Key时,这些结果比早期的结果有了显著的改进:而最初建议的使用SHA-256的实例化使用了一个将768位映射到256位的压缩函数,通过截断排列结构,通常可以通过大小为256位的排列来实现128位的安全性。
Michael Mirkin、Lulu Zhou、Ittay Eyal和Fan Zhang
自从Nakamoto发现比特币的区块链协议以来,加密货币和去中心化平台正在迅速发展。这些系统使用工作证明(PoW)为数字资产实现前所未有的安全性。然而,PoW的巨大电力消耗和生态影响导致决策者考虑采取严厉措施,并采用重要系统来探索替代方案。但这些替代方案意味着要远离PoW的关键安全方面。我们提出Sprints,这是一种区块链协议,它实现了与PoW区块链几乎相同的安全保障,但考虑到电源和硬件,生态影响较小。为了实现这一点,斯普林特公司(Sprints)迫使矿工们间歇性地进行采矿。它将延迟证明(PoD,例如,使用可验证的延迟函数)和PoW交织在一起,其中只有PoW才需要大量的资源支出。我们证明,在Sprints中,攻击者的成功概率与传统PoW相同。为了评估实际表现,我们分析了缩短PoW持续时间的影响,显示韧性略有下降(49%而不是50%)。我们通过在模拟网络中使用100个修补过的比特币客户端进行完整实施来确认结果。
Rishab Goyal、Venkata Koppula、Mahesh Sreekumar Rajasree和Aman Verma
不可压缩加密(Dziembowski,Crypto'06;Guan,Wichs,Zhandry,Eurocrypt'22)可防止攻击者学习整个解密密钥,但无法存储完整密文。在不可压缩加密中,攻击者必须在收到密钥之前尝试压缩预先指定的内存绑定$S$内的密文。在这项工作中,我们将不可压缩性的概念推广到函数加密。在不可压缩函数加密中,对手可以在任何时候破坏非区分密钥,但只有在将密文压缩到$S$位以内后才能接收区分密钥。不可压缩加密的一个重要效率度量是密文速率(即$\mathsf{rate}=\frac{|m|}{|\mathsf{ct}|}\;$)。我们给出了许多关于不可压缩函数加密的新结果:1.对于来自标准假设的电路的基于不可压缩属性的加密,具有$\mathsf{ct}$-rate-$\frac{1}{2}$和短密钥,2.(不可压缩)功能加密电路的不可压缩功能加密(a) $\mathsf{ct}$-rate-$\frac{1}{2}$和短密钥,(b) $\mathsf{ct}$-rate-$1$和大密钥。我们的结果实现了最佳效率,因为使用$\mathsf{ct}$-rate-$1$以及短密钥的不可压缩的基于属性的/函数加密具有很强的不可置信性障碍。此外,我们的假设是最小的,因为基于属性/函数的不可压缩加密严格地比不可压缩的加密强。
Esha Ghosh和Melissa Chase
在保密密钥透明(KT)系统中需要第三方审计师是一个部署挑战。在这个简短的注释中,我们采用了一个简单的隐私保护KT系统,该系统在诚实的审计师(OPTIKS)在场的情况下提供强大的安全保障,并展示了如何向其添加无审计模式。无审计模式提供的安全性略弱。我们形式化了这个安全属性,并证明我们提出的协议满足我们的安全定义。
可证明安全性的新限制及其在ElGamal加密中的应用
斯文·施瓦格
我们提供的新结果表明,ElGamal加密无法被证明为CCA1-secure,这是密码学中一个长期存在的公开问题。我们的结果来自于一个非常广泛的、基于元归约的不可能结果,该不可能结果是关于具有有效可重新随机化的见证人的随机自可归约关系。我们开发的技术首次允许为非常弱的安全概念提供不可能的结果,其中挑战者在安全游戏结束时输出新的挑战语句。这可以用来最终解决过去一直难以捉摸的加密类型定义。我们通过将几个已知的密码设置作为随机自约化和可重随机关系的实例来证明我们的结果具有广泛的适用性。这些设置包括一般的半同态PKE和一大类经证明的同态单向双射。因此,我们还获得了Paillier和Damgíard–Jurik PKE的IND-CCA1安全性的新的不可能性结果,以及许多一个以上的反演假设,如一个以上DLOG或一个以上RSA假设。
F.Betül Durak、Chenkai Weng、Erik Anderson、Kim Laine和Melissa Chase
我们引入了Precio,这是一种新的安全聚合方法,用于在客户端-服务器设置中计算秘密共享数据的分层直方图和总和。Precio的动机是广告转换测量场景,在线广告商和广告网络希望在不需要第三方Cookie等隐私侵入技术的情况下测量广告活动的性能。Precio在数据点数量上具有线性(时间和通信)复杂性,并保证不同的私有输出。我们正式分析了它的安全性和隐私性,并提出了一个彻底的性能评估。该协议支持比Prio大得多的域。与基于DPF的解决方案相比,它支持更灵活的聚合,在某些设置中,性能高达四个数量级。
法比奥·班菲(Fabio Banfi)、康斯坦丁·盖吉尔(Konstantin Gegier)、马丁·赫特(Martin Hirt)、尤利·莫雷尔(Ueli Maurer)和吉尔赫梅·里托(Guilherme Rito)
变形加密方案允许共享所谓双密钥的双方在已建立的PKE方案的密文中嵌入秘密消息。这可以防止独裁者强迫接收者泄露PKE方案的密钥,但他却对双密钥的存在视而不见。我们确定了Persiano、Phan和Yung(EUROCRYPT 2022)的原始模型的两个局限性。首先,在它们的定义中,双密钥只能与密钥对一起生成一次。这有一个缺点,即在独裁者上台后,想要使用变形模式的接收者需要部署新的键盘,这是一种潜在的可疑行为。其次,接收方无法区分密文是否包含隐蔽消息。在这项工作中,我们提出了一个新的模型来克服这些限制。首先,我们允许在部署后将多个双密钥关联到一个键盘。在双密钥仅依赖于公钥的情况下,这也可以实现拒绝。其次,我们提出了一个自然稳健性概念,它保证对定期加密的消息进行无序解密会产生一个特殊符号,指示不包含任何隐蔽消息,这也消除了某些攻击。最后,为了实例化我们新的、更强的变形加密定义,我们提供了通用的和具体的构造。具体来说,我们证明了ElGamal和Cramer-Shoup满足一个新的条件,即选择性随机可恢复性,这使得我们能够进行鲁棒的变形扩展,并且我们还为RSA-OAEP提供了一个鲁棒的变形扩充。
Jelle Don、Serge Fehr、Yu-Hsuan Huang、Jyun-Jie Liao和Patrick Struck
Cremers等人(S&P’21)提出的BUFF变换是数字签名方案的一种通用变换,其目的是获得超越不可伪造性的额外安全保证:独占所有权、消息绑定签名和非抵抗性。不可识别性(本质上是挑战对手重新设计一条仅获得签名的未知消息)被证明是一个微妙的问题,正如最近Don等人(CRYPTO’24)所表明的那样,最初的定义基本上无法实现;特别是,它不是通过BUFF变换实现的。这导致引入了新的、弱化的不可辞职性版本,这是(潜在的)可以实现的。特别是,研究表明,BUFF变换的盐渍变体确实实现了某种减弱版本的非韧性。然而,盐析需要额外的随机性,并导致稍大的签名。最初的BUFF转换是否也实现了一些有意义的非抵抗性概念,这仍然是一个自然的未决问题。在这项工作中,我们肯定地回答了这个问题。我们表明,面对已知的不可能结果,BUFF变换满足了人们可以期望的(几乎)最强的非抗阻性概念。我们的结果涵盖了统计和计算情况,以及经典和量子设置。我们分析的核心是一个新的随机神谕安全游戏,我们称之为“隐藏与搜索”。虽然乍一看似乎是无辜的,但严格分析却令人惊讶地具有挑战性。
丹尼尔·纳格尔
在本文中,我们介绍了由于E.Stickel而产生的基于非交换代数的密钥协商的进一步发展,以及处理由于V.Sphilrain而产生的代数中断的方法。
阿维夫·亚什(Aviv Yaish)、玛亚·多坦(Maya Dotan)、秦开华(Kaihua Qin)、阿维夫·佐哈尔(Aviv Zohar)和亚瑟·杰维斯(Arthur Gervais)
事实证明,分散式金融(DeFi)生态系统在促进代币兑换和借贷等金融业务方面很受欢迎。DeFi平台代码的公开可用性,以及与所有用户交互的实时数据,产生了代表用户寻找和抓住利润机会的复杂工具。在这项工作中,我们发现用户和上述工具有时都表现出次优:他们的利润可以增加100%以上,次优操作损失的收入最高可达428.14ETH(517000美元)。为了得出这些发现,我们研究了850多个平台使用的核心DeFi原语,仅在以太坊就每天产生超过1亿美元的交易量:(1)借贷资金,(2)使用闪换来关闭分散交易所(DEX)之间的套利机会,(3)使用闪光互换(flashswap)对资不抵债的贷款进行清算,闪光互换结合了前两者。然后将每个原语可以获得的利润转化为可以解决的优化问题。我们发现,错过的盈利机会会被其他人注意到,有时还会出现通过类似行动获取利润的反向交易。通过分析这些事件,我们发现一些交易与特定的矿工有间接联系,并假设他们利用自己对私人订单流的了解来获利。从本质上讲,这是一个矿藏可开采价值(MEV)“实际应用”的实例。
Jelle Don、Serge Fehr、Yu-Hsuan Huang和Patrick Struck
BUFF变换是数字签名方案的一种通用变换,目的是获得标准不可伪造性以外的附加安全属性,例如独占所有权和不可抵抗性。在要求额外的量子后签名时,NIST明确提到这些签名是“额外的理想安全属性”,一些提交文件确实提到了BUFF转换,目的是实现这些签名,而其他一些提交文件遵循BUFF变换的设计,但没有明确提及。在这项工作中,我们展示了以下关于一般非弹性特性的负面结果,特别是BUFF变换。在普通模型中,我们通过一个简单的攻击观察到,任何给定签名的消息具有高熵的签名方案都不满足非抵抗属性(而如果消息可以有效地从其签名计算出来,则不满足抵抗属性)。鉴于BUFF变换在给定签名的消息中具有高熵,因此,无论使用何种哈希函数实例化随机预言机,BUFF转换都不会实现非抵抗性。当考虑随机预言模型(ROM)时,由于之前的工作没有严格定义ROM中的非抵抗性,问题变得稍微复杂一些。对于定义对ROM的自然扩展,我们观察到我们的不可能性结果仍然成立,尽管已经有关于ROM中BUFF变换的不可抵抗性的积极主张。事实上,先前关于BUFF转换的不可抗拒性的主张依赖于错误的论证。从积极的方面来看,我们证明了如果不可辞职性的(弱化的)定义中的熵要求是统计的,则BUFF变换的盐水版本满足ROM中稍微较弱的不可辞职性变体,涵盖经典和量子攻击;对于计算变量,我们给出了另一个否定结果。
Chris Peikert和Zachary Pepin
近年来,代数结构的错误学习(LWE)变体激增,包括Ring-LWE、Module-LWE、Polynomial-LWE,Order-LWE和Middle-Product LWE,以及一系列简化以支持其硬度,这些问题本身以及结构格上相关的最坏情况问题都是如此。然而,由于其参数和分析的复杂性,尤其是其(通常较大)放大和误差分布的畸变,这些简化通常难以解释和使用。在本文中,我们统一并简化了这一工作。首先,我们给出了一个通用框架,其中包含*所有*提出的LWE变体(在交换基环上),特别是统一了在数字域上定义的所有先前的“代数”LWE变量。然后,我们使用该框架将Ring-LWE简化为其他代数LWE变体,包括Module-LWE、Order-LWE和Middle-Product LWE。特别是,我们所有的约简都具有易于分析和经常较小的误差扩展;在大多数情况下,他们甚至保持错误不变。我们工作的一个主要信息是,通过简单且相当紧凑的约简,可以直接使用原始Ring-LWE问题的硬度作为定义在数字域上的所有其他代数LWE问题硬度的基础。
Menhir:一种具有访问和卷模式泄漏保护的不经意数据库
莱昂尼·赖切特、戈瑞·钱德兰、菲利普·肖普曼、托马斯·施奈德和比约恩·谢尔曼
在分析用户数据的同时保护个人隐私仍然是一个巨大的挑战。可信执行环境(TEE)是一种可能的解决方案,因为它们可以保护进程和虚拟机(VM)免受恶意主机的攻击。然而,TEE可能会将访问模式泄漏给代码和正在处理的数据。此外,当数据存储在TEE数据库中时,回答查询所需的数据量是另一个不需要的包含敏感信息的侧通道。这两种类型的信息泄漏(访问模式和卷模式)都允许数据库重建攻击。在本文中,我们介绍了Menhir,一个不经意的TEE数据库,它通过ORAM保证隐藏访问模式,并通过差异隐私隐藏卷模式。该数据库允许使用类似SQL的WHERE子句进行范围和点查询。它建立在最先进的不经意AVL树结构Oblix(S&P’18)的基础上,Oblix本身无法防止体积泄漏。我们展示了如何在范围查询中利用卷泄漏,并改进了结构以减轻这种类型的攻击。我们证明了Menhir的正确性和遗忘性。我们的评估表明,我们的方法是可行的,并且能够很好地根据数据库中的行数和列数进行扩展。
Xavier Bultel公司
环签名允许组(称为“环”)的成员在组内匿名签名消息,这是在签名时临时选择的(成员之前不需要进行交互)。在本文中,我们提出了一种物理版本的环签名。我们的签名基于多个签名中的一个,这是许多实际加密环签名中使用的一种方法。它由装有用挂锁锁上的硬币的盒子组成,这些硬币只能由特定的小组成员打开。要签署消息,小组成员摇晃小组其他成员的盒子,使硬币处于随机状态(“头”或“尾”,对应于比特$0$和$1$),并打开他们的盒子来排列硬币,使硬币的唯一“或”对应于他们想要签署的消息的比特。我们提出了一个原型,可以用于硬币,也可以用于以较大(非二进制)字母编码的消息的骰子。我们建议这个系统可以用来以一种有趣的方式向公众解释环形签名。最后,我们基于真实的密码安全证明对签名的安全性进行了半形式化分析。
FairSec:通过SPDZ兼容的不经意PRF公平和恶意保护电路PSI
杨亚熙、梁晓坚、宋祥福、黄林亭、任红玉、董长玉、周建英
私有集交集(PSI)允许双方计算其输入集的交集,而不会显示比计算结果更多的信息。PSI及其变体在实践中有许多应用。Circuit-PSI是一个著名的变体,旨在计算交集中项目的任何功能。然而,现有的circuit-PSI协议仅提供针对\emph{半诚实}对手的安全性。一个直截了当的解决方案是将纯基于乱码电路的PSI(NDSS'12)扩展到恶意安全的电路PSI,但这将导致非具体的复杂性。另一个是将最先进的半诚实电路PSI协议(EUROCRYPT’21;PoPETS’22)转换为在恶意环境中安全。然而,它会遇到\emph{一致性问题},因为各方不能保证功能$f$的输入与上一步中获得的输入保持不变。本文通过引入第一个恶意电路PSI协议FairSec来解决上述问题。FairSec的核心构建块称为分布式双密钥不经意PRF(DDOPRF),它使用双密钥对秘密共享输入进行不经意评估。此外,我们确保DDOPRF与SPDZ的兼容性,增强了我们的电路PSI协议的多功能性。值得注意的是,我们的结构允许我们毫不费力地保证电路PSI中的公平性。重要的是,FairSec还实现了线性计算和通信复杂性。
李汝嘉、李元钊、王琴、段思思、王琦和马克·瑞安
随着在线活动的规模和复杂性不断增加,问责制作为一种事后机制,已成为确保系统安全的有效补充方法。数十年的研究深入探讨了问责制的内涵。然而,他们未能实现解密的实际责任。本文试图解决这一差距。我们考虑这样一个场景:客户端(称为加密者,她)对她的数据进行加密,然后选择一个代理(也称为解密者,他)为她存储数据。如果解密者对加密数据发起非法解密,则检测到这种行为的概率是不可忽略的,从而使解密者对其解密负责。我们做出了三项贡献。首先,我们回顾了迄今为止已知的问责制的关键定义。在广泛调查的基础上,我们形式化了专门针对解密过程的问责制的新定义,称为问责制解密,并讨论了获取这一概念时的(im)可能性。我们还在通信中定义了安全目标。其次,我们提出了一种新的可信执行环境(TEE)辅助解决方案,该解决方案与定义保持一致。我们没有完全信任TEE,而是采取了进一步的措施,使TEE在“信任,但验证”模型中工作,我们信任TEE并使用其服务,但授权用户(即解密者)检测TEE的潜在受损状态。第三,我们实施了一个完善的系统,并进行了一系列评估。结果表明,我们的解决方案是有效的。即使在涉及300000美元日志条目的场景中,解密过程也需要大约5.5美元毫秒,恶意解密者可以在69美元毫秒内被识别。
斯文·鲍尔(Sven Bauer)、法布里奇奥·德·桑蒂斯(Fabrizio De Santis)、克里斯特简·科莱西(Kristjane Koleci)和安妮塔·阿盖伊(Anita Aghaie)
在计算机算术运算中,数论转换(NTT)在高效实施中发挥着重要作用循环卷积和负循环卷积的乘法应用大整数和大次数多项式。乘法多项式是基于格的密码学中的一种常见操作。因此,NTT是一个几个基于格的加密算法的核心组件。两个众所周知的例子是密钥封装机制Kyber和数字签名算法Dilithium。在这项工作中,我们引入了用于保护NTT免受故障攻击的新颖而有效的方法。该新对策基于多项式评估和插值。我们证明了它的错误检测能力,计算出所需的额外的计算工作,并展示如何具体使用保护Kyber和Dilithium的NTT免受故障注入攻击。最后,我们提供了建议的具体实施结果在资源受限的ARM Cortex-M4微控制器上的新技术,例如,当适用于帝力。
Guilhem Mureau、Alice Pellet-Mary、Heorhii Pliatsok和Alexandre Wallet
在Asiacrypt 2022上,Ducas、Postlethwaite、Pulles和van Woerden介绍了数域$K$(模-LIP)中模格的格同构问题。在本文中,当$K$是一个完全实数域时,我们描述了求解$K^2$中秩为$2$的模的LIP的算法。我们的算法利用了这个问题、相对范数方程和将代数整数分解为两个平方和之间的联系。对于一大类模块(包括$\mathcal{O} K(_K)^2$),以及一大类全实数域(包括分圆域的最大实数子域),它在经典多项式时间内运行于域的度和域的Dedekind zeta函数在1处的剩余(在合理的数论假设下)。我们提供了一个运行在一些分圆域的最大实子域上的概念证明代码。作为附带贡献,我们还为模LIP问题的未来研究提供了一些算法和理论工具。
罗宾·弗洛特和丹尼尔·泽泰
在本文中,我们提出了一种针对使用小密钥的search-LWE实例的新攻击。该方法包括将公钥提升到$\mathbb Z$,并找到公钥除以模$a$的良好丢番图近似值。这是使用晶格约简算法完成的。所考虑的晶格和所需的近似质量与已知的针对小密钥的决策LWE攻击类似。然而,我们不需要深入分析约简算法(任何给出足够小向量的约简算法对我们来说都足够了),我们的方法直接解决了搜索问题,这比决策问题更难。
用超定义二次方程组模拟密码:在星期五、视觉、RAIN和饼干中的应用
刘福康、穆罕默德·马佐恩和威利·迈耶
众所周知,方程组在定义过高时更容易求解。在这项工作中,我们研究了如何过度定义方程组来描述面向算术(AO)的密码Friday、Vision和RAIN,以及在后量子签名方案Biscuit中使用的$mathbb F{2^{ell}$上的一个特殊的二次方程组。我们的方法受到了Courtois-Pieprzyk和Murphy-Robshaw方法的启发,分别用$mathbb F_2$和$mathbbF{2^8}$上的二次方程的超定义系统来建模AES。然而,与Murphy-Robshaw方法相比,我们的方法更加精细和简化,因为它可以充分利用Friday和Vision中使用的低阶$mathbb F_2$线性化仿射多项式,并且可以用我们的方法清晰地描述$mathbbF_2^{ell}$上的超定义方程组。对于RAIN,我们转而考虑二次布尔方程,而不是大型有限域上的方程$\mathbb F{2^{ell}}$。具体来说,我们证明了RAIN的特殊结构允许我们建立比仅使用Courtois-Pieprzyk方法获得的方程更具线性独立性的二次布尔方程。此外,我们进一步证明,饼干(NIST PQC第一轮附加签名)中潜在的密钥恢复问题也可以通过求解$mathbb F{2^{ell}}$上的一个非常高估的二次方程组来描述。缺点是,为这些密码构造的二次方程组不能被视为半正则的,这使得Gröbner基攻击的复杂性难以上界。然而,这种新的建模方法可以显著提高针对这些密码的Gröbner基攻击复杂性的下限,即我们认为求解与下限相同规模的二次方程随机系统的复杂性。如何根据我们的建模方法更好地估计对这些密码的Gröbner基攻击的上下界是一个悬而未决的问题。
SmartBean:透明、具体有效的多项式承诺方案,具有对数验证和在任何组上运行的通信成本
弗兰克·Y.C.卢
我们引入了一个新的、具体有效的、透明的多项式承诺方案,该方案具有对数验证时间和通信开销,可以在任何组上运行。现有的基于组的多项式承诺方案必须使用效率较低的组,例如未知阶的类组或基于配对的组,以实现透明度(没有可信设置),这使得它们在实践中采用成本高昂。 我们提供了第一个基于组的多项式承诺方案,它可以在任何组上运行。它不依赖于昂贵的配对操作,也不需要未知阶的类组来实现透明度,同时仍然提供对数验证器时间和通信成本。 我们工作的证明程序工作主要由$4n,\mathbb{G}$多指数控制,验证程序工作主要是由4个log$n,\mathbb{G}$指数控制,通信成本是4 log$n。由于我们的协议可以在Curve25519等快速组上运行,因此我们可以使用Pippenger的算法轻松地加速多指数运算。我们工作的具体表现表明,在几乎所有方面都比目前的技术水平有了显著的改进。
