结构格上的错误学习（LWE）问题及其变体在高效的后量子密码系统中得到了广泛的应用。最近，May提出了Meet-LWE攻击，这在使用三值机密分析LWE的中间会议方法的工作中取得了重大进展。在这项工作中，我们通过引入三元树来推广和扩展Meet-LWE的思想，这导致了秘密的不同表示。更准确地说，我们。。。

我们提出了一个基于格的任意函数类基于属性的加密（ABE）方案的通用框架，该方案由两部分组成：i）类的噪声线性秘密共享方案；ii）一种新型的内部生成函数加密（IPFE）方案，称为“规避”IPFE，我们提出了基于格的回避IPFE方案，并基于带错误的回避学习（LWE）的变体在简单条件下建立了它们的安全性。。。

在本文中，我们介绍了ALTEQ密码系统的三种变体，这是最近提交给NIST的另一个签名请求。我们将这些危险变体命名为ALTEQ（DVA），因为尽管我们试图保持启发式安全，但退出通常的构造总是有一定的危险。首先，我们介绍了DVA-GG（图形泛化），它可以被视为对ALTEQ中所做操作的一个更抽象的观点，并鼓励对其进行更多的研究。。。

在本文中，我们在Goldreich-Micali-Widgerson与Fiat-Shamir的实例化中引入了一个新的概率函数参数，ALTEQ中使用了非平衡挑战，最近的NIST PQC候选者在请求附加签名时使用了该参数。设置为100%的概率不会给方案带来任何变化，但在低于100%时，会通过在其他完全有效的输入中注入潜在拒绝来修改公共质询生成过程。从理论角度来看，。。。

在最近的Eurocrypt’24论文中，Manulis和Nguyen提出了新的CCA安全概念、vCCA和相关的施工蓝图，以利用CPA安全和正确的FHE超越CCA1安全屏障。然而，由于他们的方法仅在正确性假设下有效，因此，由于实践中使用的许多FHE方案都是近似的，因此不满足正确性假设，因此，FHE频谱的很大一部分未被覆盖。在本文中，我们改进了。。。

类NTRU密码系统是研究最多的基于格的后量子候选系统之一。虽然大多数NTRU建议都是在商多项式的交换环上引入的，但也可以使用其他环。非交换代数早就被认可为构建NTRU新变体的方向。第一次尝试构建非对易变体是因为霍夫斯坦和西尔弗曼对格攻击有更大的抵抗力。该计划是在该集团的基础上制定的。。。

不可压缩加密（Dziembowski，Crypto'06；Guan，Wichs，Zhandry，Eurocrypt'22）可防止攻击者学习整个解密密钥，但无法存储完整密文。在不可压缩加密中，攻击者必须在收到密钥之前尝试压缩预先指定的内存绑定$S$内的密文。在这项工作中，我们将不可压缩性的概念推广到函数加密。在不可压缩的功能加密中，对手可以破坏。。。

众所周知，要让解密方对公钥加密负责很难，因为密钥所有者可以解密任何任意密文。阈值加密旨在通过在一组必须通过解密协议进行交互的各方之间分配解密权限来解决此问题。然而，这些方可以使用多方计算（MPC）等加密工具来解密任意密文，而不会被检测到。我们引入（阈值）的概念。。。

Cremers等人（S&P’21）提出的BUFF变换是数字签名方案的一种通用变换，其目的是获得超越不可伪造性的额外安全保证：独占所有权、消息绑定签名和非抵抗性。不可识别性（本质上是挑战对手重新设计仅获得签名的未知消息）被证明是一个微妙的问题，正如最近Don等人（CRYPTO’24）所表明的那样，最初的。。。

在本文中，我们介绍了由于E.Stickel而产生的基于非交换代数的密钥协商的进一步发展，以及处理由于V.Sphilrain而产生的代数中断的方法。

Deuring对应是超奇异椭圆曲线和四元数阶之间的对应。在这种对应关系下，椭圆曲线之间的等值对应于四元数理想。这种对应关系在基于等代的密码学中起着重要作用，已经提出了几种计算与四元数理想对应的等代的算法（理想到等代算法）。特别地，SQIsign是一个基于Deuring通信和。。。

一条通往隐藏的道路（O2H）定理首先由Unruh（J ACM 2015）给出，然后由Ambainis等人（CRYPTO 2019）重申，是解决量子随机预言模型（QROM）中重编程问题的关键技术。它提供了一个上限$d\cdot\sqrt{\epsilon}$来表示区分器的优势，其中$d$是查询深度，$\epsilon$表示单向攻击者的优势。后来，为了获得更严格的上限，Kuchta等人（EUROCRYPT 2020）提出。。。

我们引入了基于Deuring对应和Kani引理的量子后数字签名方案SQIPrime。与SQISign尤其是SQISignHD的前身相比，SQIPrime进一步扩展了高维等基因的使用，这些高维等位基因已经在SQISgnHD的验证中使用，包括密钥生成和承诺。在这样做时，它不再依赖于平滑度等基因（维度1）。SQIPrime使用形式为$p=2^\alpha f-1$的素数运算，如。。。

基于等基因的密码学是一种密码方案，其安全性基于一个称为等基因问题的数学问题的难易程度，并作为后量子密码的候选方案之一而备受关注。一种具有代表性的基于等基因的加密是一种称为SQIsign的签名方案，该方案已提交给NIST PQC标准化竞赛。SQIsign由于其非常短的签名和密钥大小而引起了人们的广泛关注。。。

Cheon-Kim-Kim-Song（CKKS）全同态加密方案旨在有效地对加密状态下的实数进行计算。最近，Drucker等人[J.Cryptol.]提出了一种以黑盒方式使用CKKS对二进制数据进行计算的有效策略。在这项工作中，我们介绍了几种专门为密文编码二进制数据设计的CKKS引导算法。关键的是，新的CKKS引导算法能够引导。。。

分散式多客户端功能加密（DMCFE）将基本功能加密扩展到相互不信任的多个客户端。他们可以独立加密多个明文输入，以对嵌入在函数解密密钥（由多个参数输入定义）中的函数进行求值。它们控制这些函数，因为它们都必须有助于生成功能解密密钥。标签可以用于密文和。。。

云存储的广泛使用迫切需要搜索和共享数据。使用关键字搜索的公钥认证加密（PAEKS）允许从加密数据中检索，同时抵抗内部关键字猜测攻击（IKGA）。大多数PAEKS方案仅适用于单接收机模型，显示出非常有限的适用性。为了解决这一问题，已经研究了使用关键字搜索的广播认证加密（BAEKS）来实现。。。

我们引入了SQIsign2D-West，它是使用二维等基因表示的SQIsgn的变体。SQIsignHD是第一个使用高维等基因表示的SQIsgn变体。它的八维变体旨在提供可证明的安全性，但被认为是不现实的。它的四维变体着眼于效率，与SQIsign相比，签名时间明显更快，但由于四维表示的复杂性，验证速度较慢。它。。。

嵌入曲线是定义在素数域上的椭圆曲线，其阶数（特征）是配对友好曲线的素数子群阶数（标量域）。嵌入曲线有一个密码大小的大素数子群，但它们本身并不友好。Sanso和El Housni发布了BLS配对友好曲线的嵌入曲线族。它们的族由多项式参数化，就像配对友好曲线的族一样。然而，他们的工作并没有。。。

基于属性的加密（ABE）是公钥加密的泛化，它支持对加密数据的细粒度访问控制。在（密文策略）ABE中，中央可信机构向用户发布属性$x$的解密密钥。反过来，密文与解密策略$\mathcal{P}$相关联。只要$\mathcal{P}（x）=1$，解密就会成功并恢复加密的消息。最近，Hohenberger、Lu、Waters和Wu（Eurocrypt 2023）引入了……的概念。。。

在这项工作中，我们基于置换核问题（PKP）的一个新变体的硬度，引入了PERK一个紧凑的数字签名方案。对于任何基于PKP的NIST I类安全方案，PERK以6 kB获得最小签名大小，同时获得具有竞争力的签名和验证时间。PERK还与一般最新技术进行了比较。为了证实这些说法，我们提供了优化的恒定时间AVX2实现、详细的性能分析和。。。

近年来，功能加密（FE）在多用户环境中取得了重大发展，尤其是多客户端功能加密（MCFE）。当与访问控制相结合时，例如基于属性的加密（ABE），这一挑战变得更加重要，而FE和MCFE框架实际上没有涵盖这一点。另一方面，对于复杂原语，许多工作都研究了对手的可接受性，以确保安全模型。。。

由Cheon，Kim，Kim，Son（IACR ePrint 2019/1468）和Chuengsatiansup，Prest，Stehlé，Xagawa钱包（ASIACCS’20）概括了通用NTRU假设-选项。其主要优势之一在于能够提供更大的灵活性-参数的ity，例如基础环维度。在这项工作中，我们提出了几种基于格的加密方案，它们是IND-CPA（或OW-CPA）在基于模块-NTRU的标准模型中安全还有。。。

这项工作表明，与应用通用BUFF变换相比，FALCON如何更有效地实现Cremers等人（S&P’21）提出的超越不可伪造特性（BUFF）。具体来说，我们表明应用Pornin和Stern变换（ACNS’05），即PS-3变换，已经足以使FALCON实现BUFF安全。对于FALCON，这仅仅意味着在签名生成和验证的散列步骤中包含公钥，而不是仅散列nonce和。。。

FALCON是国家标准与技术研究所（NIST）新的后量子密码（PQC）原语标准化的候选。然而，为该算法定义有效的对抗副通道攻击（SCA）的对策仍然是一个挑战。FALCON是一种基于格的签名，它依赖有理数，这在密码学领域是不常见的。虽然最近的工作提出了一种屏蔽加法和乘法的解决方案，但一些障碍。。。

本文涉及一种基于对数签名的定向加密密码系统，该签名通过线性方程组（我们称之为LINE）互连。对数签名是算法中的基本密码原语，其特点是具有不同的密码属性，包括非线性、非对易性、单向性和密钥可分解性。密码系统的机密性取决于。。。

本文介绍了DEFI——一种基于特征为0的交换环上的各向同性二次型的高效散列签名方案。表单是公开的，但构造是一个活板门，它依赖于方案的私钥。对于整数上的多项式环和代数数域上的整数环，密码分析可简化为求解环上的二次丢番图方程或等价于求解二次丢梵图系统。。。

加密累加器，由Benaloh和De于1993年推出Mare表示一个具有简明值的集合，并提供（非）成员关系的证明。累加器已经发展，在匿名凭证、电子现金和区块链应用程序中变得至关重要。针对特定需求，出现了动态和通用等各种属性，导致了多个累加器定义。2015年，Derler、Hanser和Slamanig提出了一个统一模型，但包括零知识安全在内的新特性，。。。

本文对Adh零知识证明系统进行了全面的安全性分析，该系统是一种新型的基于格的抗量化持有证明系统。Adh系统提供紧凑的密钥和证明大小，使其适合于真实世界的数字签名和公钥协议。我们通过将其降低到模块-ISIS问题的硬度来探索其安全性，并引入三个新变体：模块-ISIS+、模块-ISIS_和模块-ISIS。这些结构增强了。。。

一个可验证的随机函数（VRF）允许人们计算一个随机图像，同时提供了一个独特的证据，证明函数被正确评估。VRF是现代密码学的基石，在其他应用中，它是最近提出的证明一致性协议的核心。在这项工作中，我们启动了聚合VRF的正式研究，即允许将证据/图像聚合为一个小数据的VRF，其大小与…无关。。。

NTRU问题已被证明是全同态加密（FHE）方案中有效引导的有用构件，并且已经提出了不同的此类方案。FINAL（ASIACRYPT 2022）首次使用同态多路复用（CMux）门构造FHE，用于盲旋转操作。后来，XZD+23（CRYPTO 2023）通过更改密文格式来实现环自同构评估，从而进行了渐近优化。在这项工作中，我们检查了对FINAL的修改以评估CMux。。。

等价类签名允许基于消息空间中定义的等价类的受控延展性。因此，签名可以公开随机化，并适用于同一等价类中的新消息代表。值得注意的是，安全性要求在新消息代表的有效签名空间中，适应的签名-消息对与随机签名-消息配对看起来无法区分。与决策Diffie-Hellman一起。。。

本手稿在雅可比坐标系下提供了$y^2=x^5+a_3x^3+a_2x^2+a_1x+a_0$形式的亏格2超椭圆曲线在带$char（K）\ne2$的域$K$上的完整、无逆且显式的群定律公式。公式不需要使用多项式算术运算，例如结果、mod或gcd计算，而只需要使用$K$中的运算。

盲签名使接收者能够在不向签名者透露任何消息的情况下获得对其选择的消息的签名。圆最优盲签名被设计为签名者和接收者之间的两轮交互协议。巧合的是，消息的选择在许多应用程序中并不重要，通常由接收方将其设置为随机（非结构化）消息。为了为此类应用设计更高效的盲签名，Hanzlik（Eurocrypt’23）。。。

使用重试进行散列和签名是一种流行的技术，用于根据基于代码或多元假设设计高效的签名方案。与Gentry、Peikert和Vaikuntanathan（STOC 2008）定义的基于预图像可采样函数的Hash和Sign签名不同，基于代码和多元方案中的陷门函数不是主观的。因此，标准方法使用随机试验。Kosuge和Xagawa（PKC 2024）创造了“哈希与符号结合重试”范式。同样多的攻击。。。

在本文中，我们研究了在Okamoto-Uchiyama公钥加密方案中使用小素数的效果。我们介绍了两个新版本并证明了它们的安全性。然后，我们将展示如何选择系统的参数，以便保持安全性结果。此外，我们还提供了我们介绍的密码算法与原始Okamoto-Uchiyama密码系统之间的实际比较。

在这项工作中，我们分析了NIST当前附加签名标准化过程中提交的所谓超越不可伪造特性（BUFF）的安全性。BUFF概念将针对恶意生成的密钥的安全性形式化，并具有各种现实世界的用例，在这些用例中，尽管在协议级别上存在误用的可能性，但仍可以保证安全性。因此，NIST宣布针对BUFF概念的安全性为理想特性。尽管NIST感兴趣，但……中只有6美元。。。

Fiat-Shamir变换是构造签名方案中广泛使用的一种技术，称为Fiat-Shamir签名方案（FS-SIG），它源自安全标识（ID）方案。然而，现有的安全证明只考虑了经典的签名查询，没有考虑叠加攻击，其中签名预言机对对手是完全可访问的。Alagic等人提出了一种称为盲不可伪造性的安全模型（BUF，Eurocrypt'20），被认为是一种。。。

适配器签名可以看作是标准数字签名方案的一种广义形式，其中秘密随机性隐藏在签名中。适配器签名是一种最新的加密原语，正在成为区块链应用（如加密货币）的重要工具，以降低链上成本，提高可替代性，并有助于在支付通道网络、支付通道中心和原子交换中实现非链支付形式。然而，目前使用的适配器。。。

本文介绍了一种构造可链接环签名（LRS）的新框架。我们的框架完全基于知识签名（SoK），允许使用相应的证人代表任何NP陈述发布签名。我们的框架具有以下优点：（1）最终LRS的安全性仅取决于基础SoK的安全性；（2） 生成的LRS自然支持在线/离线签名（即验证），其中输出。。。

MPC-in-The-Head（MPCitH）范式被广泛用于构建量子后签名方案，因为它提供了一种基于难题设计知识证明的通用方法。多年来，MPCitH的格局发生了重大变化，最近的改进来自于头中的VOLEitH（VOLEitH）和头中的阈值计算（TCitH）。虽然这些框架的直接应用已经改进了现有的基于MPCitH的签名，但我们在。。。

定时密码学研究仅在预定时间内保持其安全性的原语，例如顺序工作的证明和时间锁难题。事实证明，该功能在许多实际应用中都很有用，例如随机性生成、密封式拍卖和公平多方计算。然而，时间密码学的现状并不令人满意：几乎所有有效的构造都依赖于一个单一的顺序性假设，即。。。

Gröbner基计算复杂度的确定在理论和实践中都是一个重要问题，求解程度在其中起着关键作用。本文研究仿射半正则序列及其齐次序列的解度。我们的一些结果被认为从数学上严格证明了计算仿射半正则序列生成的理想Gröbner基的方法的正确性。本文是……的续集。。。

在“跟上KEM”中，Cremers等人介绍了KEM的各种绑定模型。作者表明，ML-KEM是LEAK-BIND-K-CT和LEAK-BIN D-K-PK，即在对手有权访问但无法操作密钥材料的情况下绑定密文和公钥。他们进一步推测，ML-KEM也有MAL-BIND-K-PK，但没有MAL-BIND-K-CT，即在攻击者能够。。。

在本文中，我们提出了一种新的基于同构的公钥加密（PKE）方案，命名为LIT-SiGamal。这基于LIT图和SiGamal。SiGamal是一种基于等基因的PKE方案，它使用带辅助点的交换图。LIT-SiGamal使用LIT图，这是一个由大角度水平等值线和相对较小角度垂直等值线组成的交换图，而原始SiGamals使用CSIDH图。LIT-SiGamal的优势是高效的。。。

考虑到热带Stickel协议及其变体都容易受到广义Kotov-Ushakov攻击，我们建议使用max-min半环，更广泛地说，使用max-$T$半环，其中乘法基于$T-$范数，作为实现Stickel协议的框架。虽然max-min半环或max-$T$半环上的Stickel协议仍然容易受到一种形式的Kotov-Ushakov攻击，但我们证明它对。。。

Arpin、Chen、Lauter、Scheidler、Stange和Tran最近的工作计算了超奇异$\ell$-isogeny图中长度为$r$的圈数。在本文中，我们扩展了这项工作，以计算沿脊椎发生的循环数。我们提供了这样的循环数和平均数$p\to\infty$的公式，其中$\ell$和$r$是固定的。特别地，我们表明，当$r$不是$2$的幂次时，沿。。。

密码累加器是一种紧凑的数据结构，用于表示来自某个域的一组元素。它允许对成员身份进行紧凑的证明，对于通用累加器，还允许对数据结构中的元素x进行非成员身份验证。此外，动态累加器允许在累加器中添加和删除元素。以前已知的基于RSA的动态累加器在实践中速度太慢，因为它们需要域中的元素。。。

匿名身份加密（AIBE）是基于身份加密（IBE）的扩展，它通过提供密文匿名性来增强密文的隐私性。本文引入了具有匿名撤销的可撤销IBE（RIBE-AR）的概念，它能够发布更新密钥并隐藏更新密钥的撤销集，从而有效地撤销AIBE的私钥。我们首先定义了RIBE-AR的安全模型，并提出了一种有效的RIBE-AR方案。。。

变形加密的优雅范例（Persiano等人，Eurocrypt 2022）考虑了在独裁者控制的世界中建立私人通信的问题。面临的挑战是，允许两个共享某些机密变形密钥的用户在独裁者没有注意到的情况下交换秘密消息，即使独裁者可以完全访问常规密钥。在过去的一年中，一些作品考虑了这个问题，并提出了建设、新的扩展和。。。

故障停止签名是一种数字签名，它允许签名者证明特定的伪造签名确实是伪造的。在发布此类证明后，系统可以停止运行。我们引入了一个新的简单的ECDSA故障停止签名方案。我们的建议基于最小假设，即使用量子计算机的对手无法打破加密安全散列函数的（第二）预成像阻力。我们的方案与传统的ECDSA一样有效，不需要。。。

我们提出了一种基于广义Diffie-Hellman密钥交换的新密钥交换协议。在后者中，我们不使用群作用，而是考虑半群作用。在我们的建议中，半群是$\mathbb{S}^3$中带连通和运算的定向节点集。作为半群作用，我们通过连通和选择半群对自身的作用。为了使协议工作，我们需要使用节点不变量，这允许我们创建共享密钥。。。

阈值Schnorr签名在实践中得到了越来越多的采用，并提供了针对单点故障的实用防御。然而，现有的随机门限Schnorr签名方案面临的一个挑战是，签名者必须在签名回合中仔细维护秘密状态，同时还要确保在签名会话完成后删除状态。如果不这样做，将通过重复使用nonce导致致命的密钥恢复攻击。确定阈值时。。。

$n$-out-of-$n$分布式签名是一种特殊类型的阈值$t$-out-$n$签名。它们是由一组$n$签名者以协作方式创建的，每个签名者都持有密钥的一部分。近年来，由于不同的应用，例如降低加密货币中密钥泄露的风险，这类签名得到了广泛的研究。在量子对手面前维护安全，Damgárd等人（J Cryptol 35（2），2022）。。。

结构保持签名（SPS）已成为一个重要的密码构建块，因为它们与Groth-Sahai（GS）NIZK框架的兼容性允许在标准假设下以合理的效率构建协议。在过去几年中，人们对门限签名方案的设计产生了极大的兴趣。然而，直到最近Crities等人（ASIACRYPT 2023）才引入了阈值SPS（TSPS）以及完全非交互式结构。。。。

此说明揭示了与延迟消息选择一起使用时MuSig和BN多签名的漏洞。尽管这两个方案都可以通过在选择要签名的消息之前对前两轮签名进行预处理来正确实现，但我们表明它们是不安全的（即对于选定的消息攻击，它们不是存在不可伪造的）当消息选择推迟到第三轮签名时，以及当允许并行签名会话时。这次袭击。。。

可验证随机函数（VRF）由于在秘密领导人选举协议中的应用，在利益证明（PoS）区块链中发挥着关键作用。然而，Micali、Rabin和Vadhan最初的定义本身不足以满足此类应用。主要担心的是，对手可能会制造输出分布不均的VRF密钥对，从而不公平地增加获胜机会。为了解决这个问题，David、Gaíi、Kiayias和Russel（2017/573）提出了一个。。。

全同态加密（FHE）近年来受到了广泛关注。中文余数表示（CRR）或RNS表示是FHE的核心技术之一。CRR基础转换是KeySwitching程序的关键步骤。Bajard等人提出了一种用于CRR基准转换的快速基准转换方法，但必须忽略误差的消除。Halevi等人建议使用浮点算法来避免错误，但浮点算法有其自身的问题。。。

Fiat-Shamir with Aborts范式（FSwA）使用拒绝抽样来消除机密对给定源分布的依赖性。最近的结果表明，与超立方体中的均匀分布不同，超球体中的连续高斯分布和均匀分布都使拒绝率和知识证明的大小最小化。然而，在实践中，这两种分布都受到其采样器复杂性的影响。到目前为止，这三种分布是。。。

我们引入了一个工具包，用于将基于格的哈希和签名签名方案转换为t-探测模型中安全的屏蔽友好签名。到目前为止，有效屏蔽基于格的哈希和签名方案一直是一个公开的问题，比如Mitaka的尝试都没有成功。2023年，NIST PQC提交的浣熊（Racoon）首次取得突破，尽管尚未得到正式证明。我们的主要概念贡献是认识到浣熊背后的相同原则。。。

我们提出了一种新的量子后公钥加密方案（PKE），称为基于超奇异Isogeny-Lollipop的加密或SILBE。SILBE是通过利用Castryck和Vercauteren对Fouotsa、Moriya和Petit的M-SIDH密钥交换的广义棒棒糖攻击而获得的。这样做，我们实际上可以使SILBE成为量子后安全的可更新公钥加密方案（UPKE）。SILBE是第一个非基于群体行动的基于等基因的UPKE。在其核心，SILBE广泛。。。

可验证随机函数（VRF）是伪随机函数，此外，函数所有者可以证明生成的输出相对于提交的密钥是正确的。在本文中，我们引入了指数VRF或eVRF的概念，它是一个VRF，它不显式地提供输出$y$，而是提供$y=y\cdot G$，其中$G$是某个有限循环群的生成器（或在乘法符号中$y=G^y$）。我们从DDH和。。。

机密性和身份验证是安全电子邮件（e-mail）的两个主要安全目标。此外，拒绝也是一些电子邮件应用程序的一项重要安全属性，以保护发件人的隐私。虽然可搜索加密解决了安全电子邮件系统中的关键字搜索问题，但它也打破了系统的可否认性。因为对手可以从活门以及密文中获取数据发送方和数据用户的信息。。。

在这项工作中，我们提出了两个用于抗泄漏属性加密（ABE）的通用框架，这是ABE的改进版本，即使部分密钥泄漏，也可以证明它是安全的。我们的框架依赖于素数群上的标准假设（$k$-Lin）。第一个框架是为有界泄漏模型中具有属性隐藏的抗泄漏ABE设计的。在这项工作之前，还没有人推导出具有……的通用抗泄漏ABE框架。。。

自1978年Rivest、Shamir和Adleman发明公开密钥密码系统RSA以来，RSA已经成为密码学中一种广泛流行和有用的方案。它的安全性与分解两个大素数乘积的大整数的难度有关。由于各种原因，已经提出了RSA的几种变体，其中一些具有不同的算法，如椭圆曲线和奇异三次曲线。2018年，Murru和Saettone基于……提出了另一种RSA变体。。。

认证密钥交换（AKE）协议的弱前向保密性（wFS）是（完全）前向保密（FS）的被动变体。从wFS升级到FS的一种自然机制是使用密钥确认消息，该消息通过文本计算消息身份验证码（MAC）。不幸的是，Gellert、Gjösteen、Jacobson和Jager（GGJJ，CRYPTO 2023）表明，这种机制天生会造成与用户数量成比例的损失，导致总体非权限减少，即使。。。

Hudoba提出了一种公钥加密（PKE）方案，并推测其安全性是基于人工集团问题。在本文中，我们证明了该方案是不安全的。为此，我们为Hudoba提出的偶邻无关集问题设计了一个有效的算法。这就为基于种植集团构建PKE提供了可能性。

本文介绍了\textsl{signature validation}，一个允许任何下划线的原语{t} 赫德聚会$T$（\下划线{T} 小时e odore）验证\下划线{v} 酯化物$V$（下划线{五} 平硐)通过计算验证了由下划线发出的消息$m$上的签名$s${s} 火成岩$S$（下划线{S} 阿拉).一个简单的解决方案是由Sarah$x=\{m，\sigma_s\}$发送，其中$\sigma _s$是Sarah在$m$上的签名，并让Vadim通过$x$上的$\sigma_v$签名确认接收。。。。

基于属性的加密技术允许对私钥的使用进行细粒度控制。特别是，基于属性的签名（ABS）指定了签名者的功能，该签名者只能对与由其属性集授权的策略关联的消息进行签名。此外，我们可以期望签名不会泄露任何关于签名者身份的信息。ABS是一个有用的工具，用于需要粒度访问控制的身份保持认证过程，并且可以。。。

这项工作启动了对具体注册功能加密（Reg-FE）的研究，超越了“所有或无”功能：-我们从配对中构建第一个用于线性函数或内积评估（Reg-IPFE）的Reg-FE。该方案在素数阶双线性群$k$-Lin假设下实现了自适应IND安全性。对$k$-Lin假设的一个小修改产生了第一个注册内部产品加密（Reg-IPE）方案。之前的工作在……中实现了相同的安全性。。。

Arora&Ge引入了一个无噪声多项式系统，通过线性化计算错误学习（LWE）实例的秘密。Albrecht等人后来利用Arora-Ge多项式模型研究了在半正则性假设下LWE多项式系统上Gröbner基计算的复杂性。在本文中，我们重新讨论了Arora-Ge多项式，并证明了它满足Caminata和Gorla最近提出的一个泛型条件，称为在泛型坐标中。。。。

Memory-hard函数（MHF）是一种计算结果需要大量内存的函数。虽然MHF是一种未知的原始元素，但考虑活板门MHF（TMHF）的概念是很自然的。TMHF类似于MHF，但在对公共参数进行采样时，也会对活板门进行采样，这样可以更便宜地评估功能。Biryukov和Perrin（Asiacrypt’17）是第一个考虑TMHF的人，他们提出了一种候选TMHF结构，称为Diodon，它基于Scrypt MHF。。。

之前的几项工作建议使用具有简短证明的非交互知识论据来聚合Falcon的签名，Falcon是NIST选择用于标准化的首批后量子签名的一部分。特别是LaBRADOR，基于标准结构格假设并在CRYPTO’23上发表，似乎很有希望实现这一任务。然而，此前没有任何工作以严格的方式处理过这一想法。在本文中，我们彻底证明了如何聚合Falcon签名。。。

介绍了基于注册属性的签名（注册ABS）的概念。与经典的基于属性的签名（ABS）不同，注册的ABS允许任何用户生成自己的公钥/密钥对并在系统中注册。关键馆长对保持系统的流动至关重要，这是一个完全透明的实体，不会保留秘密。我们的结果可以总结如下。-本文首次定义了注册。。。

我们构建了一个具体有效的门限加密方案，其中一组参与方的联合公钥是作为其本地计算的公钥的确定函数计算的，从而实现了静默设置阶段。通过消除设置阶段的交互，我们的方案立即具有一些非常理想的特性，例如异步设置、多重宇宙支持和动态阈值。在我们的工作之前，唯一已知的具有静默设置的阈值加密构造。。。

适配器签名作为区块链应用程序中的ad-dress可伸缩性和互操作性问题的工具，例如用于交换不同加密率的原子交换，引起了人们的关注。适配器签名可以通过扩展通用数字签名方案来构造，这些数字签名方案既可以对消息进行身份验证，也可以向特定方披露秘密证人。在Asiacrypt 2021中，Aumayr等人将两部分适配器签名作为一个独立的加密粒度。。。

门限公钥加密（ThPKE）是可以通过从N方中的t（≤N）收集“部分解密”来解密的PKE。基于带错误学习问题（LWE）的ThPKE特别重要，因为它可以扩展到门限全同态加密（ThFHE）。ThPKE和ThFHE是构建多方计算（MPC）协议的基本工具：2023年，NIST启动了一个项目（NIST IR 8214C），以制定实施阈值的指南。。。

密钥同态公钥加密（KHPKE）是同态公钥加密的一种变体，其中只有拥有同态评估密钥的用户才能执行同态评估。然后，KHPKE针对没有同态评估密钥的用户满足CCA2安全性，而针对拥有密钥的用户则满足CCA1安全性。到目前为止，在标准的Diffie-Hellman型假设和键控全同态。。。

最近，分布式技术的激增引起了人们对阈值签名协议越来越大的兴趣，随着最近NIST首次呼吁多方阈值方案，这种兴趣达到了顶峰。自推出以来，菲亚特-沙米尔变换一直是设计标准数字签名方案的最流行方法。在这项工作中，我们将菲亚特-沙米尔转换转换为多方设置，构建一个框架，寻求一种替代的、更容易的方法来设计阈值数字。。。

在这项工作中，我们引入了一系列基于动态数论变换的非对称密码函数，并使用多轮模运算来增强扩散和反演的难度。此函数用作新型通信效率高的零知识密码系统的基本密码构建块。定义的系统表现出部分同态，并表现为加性正累加器。通过使用一种新颖的技术来建设性地嵌入。。。

在本文中，我们提出了一种新的双概率检验，以确定$N=pq$是否是任意RSA模上两个素数的乘积，在该检验中我们放宽了当前大多数双概率检验中假设的限制，即$p\equivq\equiv 3\Mod{4}$。我们的双素性检验从Lucas素性检验推广到双素性情况。我们的测试总是接受$p$和$q$都是质数的情况，否则接受概率最多为$1/2$。此外，我们还证明了。。。

完全同态加密（FHE）是对加密数据执行隐私保护分析的强大工具。用Cheon-Kim-Kim-Song（CKKS）方案实例化的近似同态加密是在实数和复数上进行FHE的一种很有前途的方法。CKKS方案能够对许多隐私保护的机器学习应用程序进行有效评估。尽管它的效率很高，但目前在如何安全地实例化给定。。。

我们重点讨论了构造完全同态加密（FHE）方案的问题，该方案在CCA1之外实现了一些有意义的自适应选择密码安全概念。为此，我们提出了一个新概念，称为防止验证的选择文本攻击的安全性（vCCA）。它背后的思想是通过对评估算法施加强大的控制来确定密文的完整性。本质上，我们要求通过同态求值获得的密文必须是。。。

等价类签名（EQS），由Hanser和Slamanig（AC’14）引入，双线性群元素的符号向量。签名可以是“自适应”的，这意味着任何人都可以将向量上的签名转换为该向量的任意倍数上的（随机）签名。（签名从而验证等价类。）然后，转换后的签名/消息对与随机消息上的随机签名无法区分。EQS已用于有效实例化（可授权）。。。

完全同态加密（FHE）允许在加密数据上计算任意函数，而无需对其进行解密。特别是，引导是FHE的核心构建块，它可以降低密文的噪声，从而恢复计算能力。本文为Fan-Vercauteren（FV）方案介绍了一种新的引导框架，称为功能引导，它提供了比普通引导更通用、更高级的功能。。。

叛徒追踪系统允许识别在广播环境中构建恶意解码器的用户。在传统的叛徒追踪系统中，密钥权威机构负责生成全局公共参数并向用户发布密钥。如果emph{密钥授权本身}损坏，所有安全性都会丢失。这就提出了一个问题：我们能否在没有可信权威的情况下构建一个叛徒追踪计划？在这项工作中，我们提出了一种新的。。。

基于矩阵决策Diffie-Hellman（MDDH）假设和双边MDDH假设，我们提出了一种用于内积的注册函数加密（RFE）方案和一种基于配对的用于二次函数的RFE方案。此前，RFE仅已知是根据Francati-Friolo-Maitra-Malavolta-Rahimi-Venturi[Asiacrypt’23]中的不可区分模糊化（iO）构建的。

在过去的几十年里，我们看到了先进的密码原语的激增，这些原语具有基于各种假设构建的有损或同态性质，如二次残差、决策Diffie-Hellman和带错误学习。这些原语意味着复杂性类$\mathcal{SZK}$（统计零知识）中存在困难的问题；因此，它们只能基于在$\mathcal{BPP}^{mathcal}SZK}}$中被打破的假设。这为建筑设置了障碍。。。

加密数据上阶跃函数的计算是同态加密中的一个基本问题，因为它在隐私保护计算中有着重要的应用。然而，在密码学中，同态计算一般阶跃函数的有效方法仍然是难以捉摸的。针对这一问题，本文提出了两种一般阶跃函数的多项式逼近方法。第一种方法利用了这样一个事实，即任何阶跃函数都可以表示为…的线性组合。。。

在实例化BGV方案时，双幂分圆法是一种流行的选择，因为它高效且符合FHE标准。然而，在双幂分圆法中，BGV引导中的线性变换不能用现有技术分解为用于加速的子变换。因此，当插槽数量很大时，它们可能非常耗时，从而降低了明文空间的SIMD属性带来的优势。通过利用。。。

在完全同态加密的背景下，我们考虑了通过环乘积上的大整数分解来表示大整数（通过中国剩余定理），并引入了一种仅通过环分量知识来确定符号的新算法。然后我们证明我们的算法以很高的概率提供了正确的结果。

全同态加密的核心是刷新噪声分量过大的密文。所谓的引导程序的效率至关重要，因为它通常被视为实现全同态密码系统实际部署的主要瓶颈。在迄今为止最快的两种实现中，消息空间被限制为二进制整数。如果消息空间扩展到离散环面$T_{p_i}$或。。。

同态加密中的许多算法都需要将密文的时隙移动到不同密文的系数。我们描述了一种类似FFT的方法，用于分解BGV和BFV的槽到系数变换（及其逆变换）。该方法适用于双幂分圆环，可以处理完全填充和稀疏填充的槽。以前，这种方法只适用于两个非幂次分圆环。我们的算法承认。。。

本文介绍了超奇异椭圆曲线自同态环中方向计算的几种算法。这个问题归结为用三元二次型表示整数，它是基于同系密码中有关定向曲线安全性的几个结果的核心。我们的主要贡献是表明，对于判别元$n$到$O（p^{4/3}）$…的二次阶，存在有效的算法可以解决这个问题。。。。

我们给出了快速Kummer曲面之间（N，N）-等值线的另一种推导方法，以补充基于θ函数理论的现有工作。我们使用这个框架为N=3的情况生成了显式公式，并表明所得算法比所有以前的（3,3）-等代算法更有效。

适配器签名是一种新型的密码原语，它将签名和秘密值的泄漏联系在一起。它已成为解决区块链中可扩展性和互操作性问题的重要工具。Aumayr等人（Asiacrypt 2021）最近提供了适配器签名的形式化，并提出了一种可证明安全的基于ECDSA的适配器签名，该签名需要在预签名阶段进行零知识证明，以确保签名者正确工作。然而。。。

在过去十年中，向后量子密码术的过渡对密码学家来说是一个巨大的挑战和努力，取得了令人印象深刻的成果，例如未来的NIST标准。然而，后者迄今为止只考虑了中央加密机制（签名或KEM），而没有考虑更高级的机制，例如针对隐私保护应用程序。特别令人感兴趣的是被称为盲签名、群签名和匿名凭据的解决方案系列，其中。。。

BGV格式是计算同态整数算法的最流行的FHE格式之一。BGV的自举技术对于同态评估任意深度电路是必要的。然而，由于BGV的数字删除过程显示出至少$O（\sqrt{p}）$的计算复杂性，因此对于大型明文素数$p$，BGV引导性能较差。在本文中，我们通过利用……的特性，对具有较大$p$的数字删除过程提出了优化。。。

由于NIST的附加签名标准化项目，量子后数字签名方案最近受到了越来越多的关注。MPC-in-the-Head和VOLE-in-the-Head是从零知识证明系统构造此类签名的通用技术。两者之间的一个共同主题是一个全功能但只有一个向量承诺方案，该方案在内部使用GGM树。这个原语在签名和。。。

双接收方加密（DRE）是一种特殊形式的公钥加密（PKE），允许发送方为两个接收方加密消息。如果没有进一步的属性，DRE和PKE之间的区别只是语法上的。一个如此重要的属性是可靠性，它要求不能构造密文，以便接收方解密为不同的明文。许多应用程序都依赖于此属性来实现更复杂的协议或原语。此外，许多。。。