我们提出了一种使用同态秘密共享技术对算术电路进行加密的新方法，获得了支持自由加法门的高速结构。特别是，我们建立在非交互协议的基础上，用一个简单的离散长子群计算群中的分布式离散对数，进一步证明了同态秘密共享工具的通用性，。。。

本文介绍了具有简洁共享大小的同态秘密共享（HSS）。在HSS中，各方共享私有输入，然后各方可以同态地对其共享的函数进行求值，从而获得函数输出的共享。在简洁的HSS中，一部分输入可以使用在此类输入数量上大小为次线性的份额进行分配。然后，各方可以对股票上的函数$f$进行局部求值，但条件是$f$必须是线性的。。。

最近对乱码电路的改进主要集中在减小其尺寸上。Rosulek和Roy（Crypto 2021）最先进的结构需要1.5美元的比特用于在自由异或设置中的乱码和门。这低于Zahur、Rosulek和Evans（Eurocrypt 2015）线性混淆模型中先前证明的下限$2\kappa$。在一个比线性乱码模型更具包容性的模型中，它们的构造是否最优仍然是一个未知数。本文开始于。。。

私有集交集（PSI）允许双方计算其输入集的交集，而不会显示比计算结果更多的信息。PSI及其变体在实践中有许多应用。Circuit-PSI是一个著名的变体，旨在计算交集中项目的任何功能。然而，现有的circuit-PSI协议仅提供针对\emph{半诚实}对手的安全性。一个简单的解决方案是扩展纯。。。

我们设计了一种新的MPC协议，用于抵抗具有1/2威慑力的无擦除隐蔽自适应对手。新的MPC协议在渐近通信成本、PKE操作次数和求幂操作次数上与用于抵抗隐蔽静态对手的算术电路的最有效MPC协议相同。这意味着，新的MPC协议几乎免费地将安全性从隐蔽的静态安全提高到隐蔽的自适应对手。。。。

TLS oracles允许TLS客户端向外部（oracle）节点提供选择性数据来源，从而确保oracle节点的数据确实来自预定义的TLS服务器。通常，客户端/用户以零知识的方式提供其凭据并显示数据，以向预言者演示某些信息，同时确保其余数据的隐私。从概念上讲，这是TLS服务器、TLS客户端……之间的标准三方安全计算。。。

我们的工作旨在最大限度地减少安全计算中的交互，这是因为通信回合的高成本和挑战，特别是在有许多客户端的情况下。在这项工作中，我们重新讨论了单服务器设置中的安全聚合问题，在这种情况下，单个评估服务器可以安全地聚合客户端的各个输入。我们的主要贡献是One-shot Private Aggregation（$\mathsf{OPA}$），其中每个。。。

不可克隆密码学利用量子力学原理来解决经典上不可能完成的密码任务。在秘密共享的背景下，我们引入了一种新的不可克隆原语，称为不可克隆秘密共享（USS）。在USS计划中，有$n$的股东，每个人持有一个以量子态表示的经典秘密的份额。一旦所有各方（或至少$t$方）拿出他们的股份，他们就可以找回秘密。重要的是，它。。。

故障注入（FI）攻击是指故意将故障引入系统，使其以非预期的方式运行，受到广泛认可，并对硬件中实现的密码原语的安全性构成重大威胁，这使得容错成为一个日益重要的问题。然而，安全有效地保护密码硬件原语，即使使用成熟且有文档记录的方法，如冗余计算，也可以成为一种有效的方法。。。

在这项工作中，我们解决了生物特征验证系统中的隐私问题，这些系统通常需要服务器端处理敏感数据（例如指纹和虹膜代码）。具体来说，我们设计了一个解决方案，允许我们查询给定的Iris代码是否与给定数据库中包含的代码相似，同时使用安全多方计算（MPC）保护所有查询和数据集。满足世界ID和援助等操作系统的实质性性能需求。。。

多个作品设计或使用了$\mathbb以上的恶意安全可靠的大多数MPC协议{Z}（Z）_{2^k}$使用复制秘密共享（例如Koti et al.USENIX'21，以及其中的引用）。这种MPC协议设计的一个最新趋势是首先执行半诚实协议，然后使用检查来验证计算的正确性，该计算只需要次线性通信量（就电路大小而言）。在…中需要所谓的Galois环扩展。。。

私有信息检索（PIR）是一种基本的加密原语，它允许用户获取数据库条目，而无需向服务器透露所学习的数据库条目。如果服务器通信小于数据库大小，则PIR将变得非常重要。我们表明，构建（甚至）非常弱的单服务器PIR协议，而不进行预处理，需要公钥操作的数量在数据库大小中线性扩展。这与……的数量无关。。。

我们构造了一种高效的代理再加密（PRE）方案，该方案具有精确的具体安全估计，可安全抵御诚实的再加密攻击（HRA-secure）。为了获得这些精确的具体安全估计，我们将Li等人（CRYPTO’22）的紧密、细粒度的噪声淹没技术引入到基于RLWE（同态）的PRE方案中，并将混合统计计算安全性引入到HRA安全分析中。我们的解决方案还支持对密文进行同态操作。这样。。。

时间锁谜题是一种独特的密码原语，它使用计算复杂性将信息保密一段时间，之后安全性将过期。不幸的是，当前的时间锁原语分析技术没有提供完善的机制来构建使用过期安全性作为构建块的多方密码协议。我们在本文中解释说，所有其他针对这个微妙问题的尝试要么缺乏可组合性，要么缺乏完全一致的分析，要么。。。

在本文中，我们考虑了分布式计算（DC）模型中安全性的两个关键方面：安全数据洗牌和安全编码计算。至关重要的是，任何监听传输的外部实体都不会获得关于在DC模型的搅乱阶段期间交换的中间值（IV）的任何信息。我们的方法确保了数据洗牌期间的IV机密性。此外，系统中的每个节点都必须能够恢复计算所需的IV。。。

某些应用程序（如FHE转码）在操作加密数据时需要随机性。这种随机性必须在加密域中生成，并在整个计算过程中保持加密。此外，应该保证可以为不同的计算生成独立的随机硬币。在这项工作中，我们考虑伪随机函数（PRF）的同态评估，重点是实用的基于格的候选函数。。。。

众所周知，拜占庭容错（BFT）协议存在可伸缩性问题。事实上，随着副本数量$n$的增加，它们的性能急剧下降。虽然有很长一段时间的工作试图实现可伸缩性目标，但这些工作只能扩展到大约100个副本。在本文中，我们从所谓的委员会抽样方法中开发了BFT协议，该方法选择一个小型委员会达成共识，并将结果传递给所有副本。这样的。。。

功能加密（FE）允许用户从加密数据中提取特定的功能相关信息，同时保护底层明文的隐私。虽然已经有大量的研究致力于开发支持多种功能的安全高效的多输入功能加密方案，但在可验证FE方案的开发方面仍存在明显的研究差距。功能和性能受到了相当大的关注，但关键是。。。

主题建模是指一组流行的技术，用于发现文档集合中出现的隐藏主题。例如，可以使用这些主题对文档或标签文本进行分类，以便进一步处理。一种流行的主题建模技术是潜在迪里克莱分配（LDA）。在主题建模场景中，通常假设文档位于一个集中的数据集中。然而，有时文件由不同的方持有，并且包含隐私-或。。。

本文介绍了一种新的隐私保护生物特征识别协议Monchi，该协议将同态加密用于计算身份分数与函数秘密共享相结合，将此分数与给定阈值进行遗忘比较，最后输出二进制结果。考虑到同态加密的成本，在这个解决方案中，我们研究并评估了两个封装解决方案的集成，这两个解决方案可以实现多重加密的重组。。。

机器学习系统继续快速发展，在各个领域和学科中表现出显著的实用性。随着这些系统的规模和复杂性不断增长，一个旨在将机器学习即服务（MLaaS）推向市场的新兴行业正在兴起。将这些系统的操作和培训外包给功能强大的硬件具有许多优势，但当需要确保隐私和由一个。。。

安全的两方计算允许相互不信任的两方对其输入计算联合函数，从而保证输入隐私或正确性等属性。对于许多任务，例如联合计算统计数据，重要的是当一方收到计算结果时，另一方也会收到结果。不幸的是，这种称为公平的属性在任意函数的两方设置中是无法实现的。太弱了。。。

我们回顾了用于构造对称密钥原语的交替模范式，重点是构造高效协议，以使用安全多方计算（MPC）对其进行评估。Boneh等人（TCC 2018）的交替模范式可以构造各种对称密钥原语，其共同特征是输入被不同模上的两个线性映射相乘，首先在$\mathbb上{F} _2$，然后超过$\mathbb{F} _3个$.这个。。。

尽管取得了很大进展，但在具有大型输入数据集的环境中，具有主动安全性的通用安全多方计算（MPC）的成本可能仍然高得令人望而却步。这特别适用于图算法的安全评估，其中每一方持有一个大型图的子集。最近，Araki等人（ACM CCS’21）表明，如果输入图稀疏，专用解决方案可以提供显著更好的效率。特别是，它们为……提供了一个有效的协议。。。

私有集交集（PSI）是一种加密功能，用于双方学习其输入集的交集，而不会泄漏任何其他信息。Circuit-PSI是一种更强的PSI功能，各方只了解所需交叉口的秘密共享形式，因此不会直接显示交叉口。这些秘密共享随后可以作为该交集上任何函数的安全多方计算的输入。在本文中，我们考虑。。。

在加密数据上运行机器学习算法是一种前进的方式，可以将行业中常见的功能需求与处理潜在敏感数据时对隐私的重要关注结合起来。虽然在这个主题和各种协议上已经有了一个不断增长的领域，大多数协议都采用了完全同态加密或执行安全多方计算（MPC），但我们是第一个提出使用特殊加密方案的协议的人，该方案允许实现安全。。。

在S$\&$P 2023上，Zhou等人提出了一系列称为Bicoptor的安全三方计算协议，用于计算隐私保护机器学习中的非线性函数。在这些协议中，双方$P_0、P_1$分别持有相应的秘密份额，而第三方$P_2$充当助手。作者声称，Bicoptor中的任何一方都不能独立地泄露输入、中间产物或输出的机密性。在…中。。。

随着云计算的日益普及，将数据存储并将计算委托给功能强大且价格合理的云服务器的能力对公司和个人用户都是有利的。然而，云计算的安全性已成为一个值得关注的问题。特别是，云服务提供商（CSP）无法确保关键任务应用程序中的数据机密性和计算完整性。在本文中，我们提出了一个机密且可验证的授权。。。

梯度提升决策树（GBDT）是一种著名的机器学习算法，它在欺诈检测、在线营销和风险管理等真实场景中实现了高性能和出色的可解释性。同时，两个数据所有者可以通过执行安全多方计算（MPC）协议，在不公开其私有数据集的情况下联合训练GBDT模型。在这项工作中，我们提出了NodeGuard，一个高效的两方计算（2PC）框架，用于。。。

生物特征身份验证消除了用户记住秘密的需要，并为用户身份验证提供了一种方便的机制。基于生物特征的身份验证的传统实现在服务器和服务器上存储敏感的用户生物特征，成为极具吸引力的攻击目标和大规模无意泄露生物特征数据的来源。为了缓解这个问题，我们可以采用保护隐私的计算，并在服务器上只存储受保护的生物特征。虽然。。。

我们为有限域上的线性代数提出了新的安全多方计算协议，提高了安全性方面的最新水平。我们看一看\emph{无条件安全和完美正确性}的情况，即无错误的信息理论安全。我们特别提出了一个预期的恒速协议，用于求解$\mathbb上$n$变量中$m$线性方程组{F} （_q）$具有预期复杂性$O（k（n^{2.5}+m^{2.5{+n^2m^{0.5}））$其中$k>。。。

目前，联合学习（FL）被认为是协作机器学习的最佳技术之一。它允许一组客户训练一个通用模型，而不会泄露他们的敏感和隐私数据集到协调服务器。后者负责模型聚合。然而，FL在更新的安全性、计算的完整性和服务器的可用性方面面临一些问题。在本文中，我们结合了一些新的理念，如客户声誉和。。。

数据市场公司的收入逐年稳步增长。私有功能评估（PFE）是解决相应安全问题的一种有价值的工具。【Horvath等人，2019年】介绍了受控私人职能评估任务及其放松版本。在本文中，我们提出并研究了几种不同的方法，这些方法具有抗静态腐败对手的计算和信息理论安全性。后一个安全级别。。。

符合策略的签名（PCS）是Badertscher et最近引入的原语al.[TCC 2021]中，中央当局向其用户分发与属性集（例如国籍、与特定部门的关系或年龄）相关的密钥和公钥。该机构还强制执行一项策略，根据对其属性的联合检查，确定哪些发送方可以为哪些接收方签署消息。例如，发送方和接收方必须具有相同的国籍，。。。

在联合学习中，Flamingo（S\&P’23）和LERNA（ASIACRYPT’23）等安全聚合（SA）协议在恶意模型中实现了高效的多轮SA。然而，每一轮聚合都需要至少三个客户端-服务器往返通信，并且缺乏对聚合结果验证的支持。可验证的SA方案，如VerSA（TDSC’21）和Eltaras等人（TIFS’23），在服务器确实……的安全假设下提供可验证的聚合结果。。。

安全多方计算旨在允许一组参与者在其秘密输入上计算给定函数，而不透露计算结果以外的任何其他信息。在这项工作中，我们着重于设计用于共享多项式操作的安全多方协议。我们考虑的是经典模型，其中对手是诚实的，但却是经常的，并且系数（或任何秘密值）要么使用加性同态加密方案加密，要么。。。

我们提出了一种用于安全计算差异私有稀疏直方图的结构，该结构聚合了来自大量客户端的输入。每个客户端在特定索引处为聚合提供一个值。我们关注的是可能的索引集超多项式大的情况。因此，得到的直方图将是稀疏的，即大多数条目的值都为零。我们的构建依赖于两个非共谋服务器，并提供针对恶意。。。

函数秘密共享（FSS）（Boyle et al.，Eurocrypt 2015）是一种加密原语，可以对给定函数族$\mathcal{F}$中的函数进行加性秘密共享。FSS支持广泛的加密应用，包括私有信息检索（PIR）、匿名消息传递系统、私有集交叉等。形式上，给定阿贝尔群的正整数$r\geq2$和$t<r$，以及函数$F:[n]\to\mathbb{G}$的类$\mathcal{F}$。。。

不经意伪随机函数（OPRF）是一个由两部分组成的协议，用于联合评估伪随机函数，其中用户有输入x，服务器有输入k。在协议的末尾，用户使用值x处的键k学习PRF的评估，而服务器不了解用户的输入或输出。OPRF是从密码、私有集交集、私有信息检索等方面构建安全身份验证和密钥交换的主要工具，。。。

我们研究异步环境下的安全多方计算，具有完美的安全性和最佳的恢复能力（少于四分之一的参与者是恶意的）。已经证明，每个函数都可以在此模型中计算[Ben-OR，Canetti，and Goldreich，STOC’1993]。尽管经过30年的研究，异步设置中的所有协议都需要$\Omega（n^2C）$通信复杂性来计算具有$C$乘法门的电路。相比之下，近15年来，在。。。

安全多方计算（MPC）允许两方或多方通过其私有字段输入计算任何公共函数，而不会泄露计算结果以外的任何信息。MPC协议的主要效率瓶颈来自各方之间的交互。为了限制交互，MPC的现代协议在离线阶段生成了大量与输入相关的预处理材料，称为乘法三元组。此预处理稍后可以使用。。。

近年来，RAM模型中的安全两部分计算（2PC）引起了人们的极大关注。除Keller和Yanai（Eurocrypt 2018）成本高昂外，大多数现有结果仅支持半诚实安全。在本文中，我们提出了一种有效的基于RAM的2PC协议，该协议具有主动安全性和一位泄漏。1） 我们提出了一种具有一位泄漏的分布式点函数（DPF）主动安全协议，该协议的效率基本上与。。。

在Zahur、Rosulek和Evans（Eurocrypt 2015）提出的线性乱码模型中，乱码and门至少需要2位密文，其中$\kappa$是安全参数。尽管随后的工作，包括Rosulek和Roy（Crypto 2021）和Acharya等人（ACNS 2023）的工作，已经超越了这些线性约束，但仍有待开发更全面的设计框架。我们的工作提供了一个新颖、统一、可以说简单的视角来看待乱七八糟的。。。

比特币生态系统继续发展，超越了最初的权力下放、透明度和安全承诺。第二层解决方案的集成取得了显著进展，通过从主区块链中卸载交易来解决可伸缩性问题。这有助于更快、更具成本效益的事务处理，同时保持完整性。铭文和顺序协议的出现进一步拓宽了功能范围，使。。。

在这项工作中，我们考虑了设计信息理论MPC协议的任务，对于该协议，给定方的状态可以从少量方恢复，这一特性我们称之为局部可修复性。在考虑多方离开并加入计算的动态设置上的MPC时，这一点非常有用，最近的文献中对这种情况给予了显著关注。由于（Cramer等人，EUROCRYPT’00）的结果，设计这样的协议可以归结为。。。

在这项工作中，我们提出了用于半诚实安全三方计算（3-PC）和带有一个损坏的恶意四方计算（4-PC）的环上新协议。与相同环境中的最新协议相比，我们的协议需要更少的低延迟和高带宽链路来实现高吞吐量。我们的协议还通过每个门所需的基本指令减少50%来降低计算复杂性。此外，我们的协议实现了。。。

SCALES（小型客户机和大型临时服务器）模型是最近提出的MPC模型（Acharya等人，TCC 2022）。虽然SCALES模型为实际的大规模MPC提供了一些吸引人的特性，但Acharya等人的结果仅在该模型中提供了半诚实的安全协议。针对一般布尔电路，我们提出了一种新的有效的SCALES协议，该协议可以抵御恶意对手。我们从Acharya等人的基础建设开始，设计并使用一套。。。

受安全数据库搜索的激励，我们为客户端-服务器设置中的函数$f$提供了安全计算协议，在该协议中，客户端可以通过与每个持有$f$的多个服务器通信，从私有输入$x$中获得$f（x）$。具体来说，我们提出了从被动安全协议到主动安全协议的通用编译器，被动安全协议只对遵循协议的服务器保持安全，而主动安全协议即使对恶意服务器也能保证隐私和正确性。我们的。。。

考虑在$n$方之间进行安全多方计算（MPC）的任务，该任务具有完美的安全性和有保证的输出交付，支持$t<n/3$主动破坏。假设要计算的算术电路$C$定义在有限环$\mathbb{Z}/q\mathbb2{Z}$上，对于任意$q\in\mathbb{Z}$。众所周知，这种环上的MPC类型是可能的，其通信规模为$O（n|C|）$，假设$q$规模为$\Omega（n）$。然而，对于等长环。。。

乱码电路（GC）是实用安全计算的基本技术。GC处理布尔电路；传输编码的门真值表会消耗大量的网络带宽，每个真值表都会根据计算安全参数$\kappa$进行缩放。减少带宽消耗的GC优化很有价值。考虑将布尔双输入单输出门（由$4$-row单列查找表LUT表示）推广到任意$N$-row是很自然的。。。

我们报告了FIPS 205 SLH-DSA基于哈希的签名标准的高效安全硬件实现技术。我们证明，通过优化特定于SLH-DSA的填充格式和迭代哈希过程的硬件，可以获得非常显著的总体性能提升。原型实现SLotH包含Keccak/SHAKE、SHA2-256和SHA2-512内核，支持SLH-DSA的所有12个参数集。SLotH还支持边信道安全PRF计算。。。

EdDSA由IRTF和NIST标准化，是基于Edwards曲线的著名Schnorr签名方案的变体，得益于无状态和确定性的nonce推导（即，它不需要可靠的随机性或状态连续性来源）。最近，NIST呼吁多方阈值EdDSA签名采用一种模式，通过零知识（ZK）证明来验证这种nonce派生。然而，转换无状态和确定性的好处是很有挑战性的。。。

我们介绍了VeriSimplePIR，这是最先进的半诚实SimplePIR协议的可验证版本。VeriSimplePIR是一种有状态可验证的PIR方案，确保所有查询与固定的、格式良好的数据库一致。这是第一个不依赖诚实摘要来确保安全的高效可验证PIR方案；任何摘要，甚至是恶意服务器生成的摘要，都足以提交到某个数据库。这是由于我们的可提取验证程序，它可以。。。

最近提出了几种密码认证密钥交换（PAKE）协议，它们利用密钥封装机制（KEM）创建高效且易于实现的量子后安全PAKE。这项工作是由国家标准与技术研究所（NIST）的意图推动的，该研究所打算很快将一种名为$\mathsf{Kyber}$的基于晶格的量子后KEM标准化。在最近的两项工作中，Beguinet等人（ACNS 2023）和Pan和Zeng（ASIACRYPT 2023）提出了通用。。。

本文提出了一种新的有效的虚类群散列函数。许多基于类组的协议，如可验证延迟函数、定时承诺和累加器，都依赖于有效且安全的哈希函数的存在，但文献中没有太多可用的具体构造，并且现有构造对于实际用例来说效率太低。我们的新方法基于韦索洛夫斯基的初始方案，实现了惊人的500倍。。。

物理攻击对加密算法的安全实现构成了巨大威胁。虽然大量的研究工作致力于防范被动物理攻击（例如，副通道分析（SCA）），但防范其他类型物理攻击的前景仍然是一个挑战。尽管故障攻击（FA）在研究中受到越来越多的关注，但与SCA相比，它仍然缺乏可证明安全的设计的普及率。联合王国。。。

Ball、Li、Lin和Liu最近的一项工作【Eurocrypt’23】展示了由Applebaum、Ishai和Kushilevitz引入的算术混淆范式的新实例化【FOCS’11】。特别是，Ball等人的乱码方案是在足够大的有界整数计算上的第一个恒速乱码电路，由此推断出在存在半诚实对手的情况下，在有界整数运算上的第一次恒速安全两方计算（2PC）。主要来源。。。

近年来，私有信息检索（PIR）的构建在计算性能上有了显著的改进。然而，这些改进依赖于繁重的离线预处理，这在实际应用程序中通常很难实现。出于不需要离线处理的PIR问题，我们引入了WhisPIR，这是一种低查询通信的完全无状态PIR协议。WhisPIR客户端都是临时的，这意味着它们只带有协议公共参数。。。

出于对大规模分散网络并发服务于多个客户端的需求，我们提出了一种新的低开销UC安全、可公开验证的阈值ECDSA协议，该协议具有可识别的中止。我们首次展示了如何将消息复杂度从O（n^2）降低到O（n），以及如何将计算复杂度从0（n）降低到实际的O（1）（每一方，其中n是参与方的数量）。我们只需要一个广播频道进行通信。因此，我们天生支持。。。

安全多方计算（MPC）允许一组$n$方在其私有输入上联合计算函数。在这项工作中，我们重点关注具有最佳弹性（$t<n/3$）的emph{异步网络}设置中的信息理论MPC。此设置中最著名的结果是由Choudhury和Patra[J.Cryptol’23]实现的，这需要每个乘法门$O（n^4\kappa）$位，其中$\kappa$是字段元素的大小。异步完全机密。。。

安全多方计算（MPC）允许一组$n$方通过其私有输入联合计算函数。Ben-Or、Canetti和Goldreich[STOC’93]以及Ben-Or，Kelmer和Rabin[PODC’94]的开创性工作解决了MPC在异步网络上的可行性。尽管有大量工作致力于提高通信复杂性，但具有信息理论安全性和最佳弹性的当前协议$t<n/3$communication$\Omega（n^4C）$field。。。

在这项工作中，我们研究了完全安全的MPC协议的通信复杂性，该协议具有针对$t=（n-1）/3$损坏的保证输出传递。在此设置中，之前最著名的结果是由于Goyal、Liu和Song（CRYPTO，2019）实现了每个门$O（n）$通信，其中$n$是参与方的数量。另一方面，在诚实多数的情况下，设计高效MPC协议的最新趋势是依靠打包的Shamir共享来加快在线。。。

门限公钥加密（ThPKE）是可以通过从N方中的t（≤N）收集“部分解密”来解密的PKE。基于带错误学习问题（LWE）的ThPKE特别重要，因为它可以扩展到门限全同态加密（ThFHE）。ThPKE和ThFHE是构建多方计算（MPC）协议的基本工具：2023年，NIST启动了一个项目（NIST IR 8214C），以制定实施阈值的指南。。。

CRYSTALS-Dilithium是一种后量子安全数字签名算法，目前由NIST标准化。因此，使用CRYSTALS-Dilithium的设备将很快普及并部署在各种环境中。因此，评估CRYSTALS-Dilithum实现对物理攻击的抵抗力非常重要。在本文中，我们使用故障注入对ARM Cortex-M4中对冲模式下的CRYSTALS-Dilithium实现进行了攻击。电压故障。。。

我们证明了密钥交换和两部分计算完全等价于具有某些结构和硬度特性的幺半群作用。据我们所知，这是任何密钥交换或两方计算协议固有的数学结构的第一个“自然”特征，也是公开密钥加密数学结构必要性的第一个明确证明。然后我们利用这些特征来显示一个新的黑盒分离结果，。。。

深入了解用户体验和行为对于大型软件系统和web服务的成功至关重要。然而，获得这样的见解，同时保护用户隐私，是一项重大挑战。多方计算的最新进展使得在秘密共享数据上计算可验证聚合变得切实可行。这些协议的一个重要用例是重击数，其中服务器计算用户持有的最常用输入，而无需自己学习输入。。。。

量子器件提供了一种非常有用的功能，即以非确定性的方式生成随机数，因为量子态的测量是不确定性的。这意味着可以构建量子器件，以均匀叠加的方式生成量子比特，然后测量这些量子比特的状态。如果在均匀叠加中量子位的制备是无偏的，那么量子计算机可以用来创建高熵、安全的随机数。通常，准备和。。。

多方计算（简而言之，MPC）的典型结果通过假设一个阈值对手主动腐蚀各方和/或失败腐蚀各方来捕获有缺陷的各方。然而，这些损坏类型不足以捕获可能出现临时网络故障和/或局部故障的正确各方，这对于大规模全球网络上的MPC尤其重要。遗漏故障和一般对手结构已被提议为更合适的替代方案。。。。

完全同态加密（FHE）是对加密数据执行隐私保护分析的强大工具。用Cheon-Kim-Kim-Song（CKKS）方案实例化的近似同态加密是在实数和复数上进行FHE的一种很有前途的方法。CKKS方案能够对许多隐私保护的机器学习应用程序进行有效评估。尽管它的效率很高，但目前在如何安全地实例化给定。。。

在过去十年中，加密货币受到了学术界和业界的关注，培育了多样化的区块链生态系统和新型应用程序。桥梁的出现改善了互操作性，使跨不同区块链的资产转移能够利用其独特的功能。尽管无信任桥接协议的流行度大幅提高，并且出现了分散财务（DeFi），但它们仍然效率低下，或者中继过多的信息（例如。，。。。

我们引入了氦，这是一个新的框架，它支持轻量级参与者的可扩展安全多方计算，并容忍了混乱。氦依赖多方同态加密（MHE）作为其核心构建块。虽然MHE方案在理论上已经得到了很好的研究，但之前的工作还没有解决采用时最重要的关键考虑事项，例如支持资源受限的参与者，以及确保网络动荡下的活跃性和安全性。在这项工作中，我们。。。

类$\cal｛F｝$的函数秘密共享（FSS）允许将秘密函数$F\in\cal｛F｝$拆分为（简洁的）秘密共享$F_0，F_1$，使得对于所有$x\in\｛0,1\｝^n$，它持有$F_0（x）-F_1（x）=F（x）$。FSS有许多应用程序，包括私有数据库查询、最近邻搜索、私有重击和预处理模型中的安全计算，其中支持的类$\cal{F}$转换为应用程序中的丰富性。不幸的是，具体有效的FSS。。。

伪随机相关函数（PCF）允许双方在给定相关评估密钥的情况下，本地生成任意多个伪随机相关字符串，例如不经意传输（OT）相关性，然后双方可以使用这些相关性来联合运行安全计算协议。在这项工作中，我们提供了一种新颖而简单的方法来构造用于OT相关的PCF，方法是依赖于一类包含弱约束的约束伪随机函数。。。

为了应对量子计算的发展趋势和经典密码系统中日益严重的漏洞，我们引入了一个全面的密码框架。基于Kuang等人的开创性工作，我们提出了两个创新原语的统一：量子置换垫（QPP）对称密钥加密和同态多项式公钥（HPPK）密钥封装机制（KEM）和数字签名（DS）。通过利用。。。

协作zk-SNARK的概念是由Ozdemir和Boneh（USENIX 2022）提出的，它允许多方联合创建分布式秘密的zk-SNARK证明（也称为证人）。这种方法确保了证人的隐私，因为证据生成过程中涉及的任何损坏服务器都无法了解有关诚实服务器证人的任何信息。后来，Garg等人继续研究，重点是如何实现更快的证明生成（USENIX 2023）。然而，他们。。。

我们实现了一个安全的平台，用于对多个组织和多个数据集进行统计分析。我们为JOIN和GROUP-BY操作的不同变体提供了一套协议。JOIN允许基于公共列组合来自多个数据集的数据。GROUP-BY允许聚合一列或一组列中具有相同值的行，然后对这些行应用一些聚合汇总（如总和、计数、中值等）。这两种操作都是……的基本工具。。。

乱码电路（GC）技术通常适用于布尔电路。尽管人们对此非常感兴趣，但GC的有效算法推广只在大量假设（如LWE）中才知道。我们从循环相关鲁棒散列构造算术乱码电路，这是著名的自由异或乱码技术的基本假设。让$\lambda$表示计算安全参数，并考虑整数$\mathbb{Z} _米任何$m\geq 2$的价格为$。设$\ell=\lceil\log_2 m。。。

在最近的突破性成果中，基于公钥密码学中的标准假设，对乱码电路的新使用产生了几种原语的构造，如基于身份的加密（IBE）和2轮安全多方计算。虽然这些不同结果中的技术有许多共同的元素，但这些作品并没有提供可以跨它们使用的模块化抽象。我们的主要贡献是引入了一种新的模糊概念，称为Reach-Restricted。。。

Laconic密码技术能够在不平衡输入上实现安全的两部分计算（2PC），只需两轮通信即可实现渐近最优通信。特别是，接收方（发送第一轮消息）持有长输入，而发送方（发送第二轮消息）则持有短输入，他们在联合输入上安全计算函数的通信大小仅随发送方输入的大小而增长，并且与接收方无关。。。

在一项开创性的工作中，Ishai等人（FOCS–2006）研究了使用匿名公告板（ABB）作为构建块，为密钥协商和安全多方计算（MPC）设计无条件安全协议的可行性。虽然他们的结果确定了ABB模型中密钥协议和诚实多数MPC的可行性，但没有研究协议在其轮次和通信复杂性方面的最佳性。本文丰富了无条件安全机制的研究。。。

量子密码学中一个尚未解决的主要问题是，是否有可能混淆任意量子计算。事实上，即使在经典预言机模型中，量子模糊处理的可行性还有很多需要理解的地方，在该模型中，人们可以免费对任何经典电路进行模糊处理。在这项工作中，我们开发了一系列新的技术，用于构建量子状态模糊器，这是Coladangelo和Gunn最近正式提出的一个强大概念。。。

我们提出了一种面向用户隐私的解决方案，该解决方案用于多个数据客户的隐私保护数据聚合。大多数现有的最先进的方法对性能效率过于重视，似乎忽略了除输入隐私之外的隐私属性。大多数数据聚合解决方案通常都不会讨论用户与生俱来的权利，即当用户在浏览器上搜索内容或自愿参与时，他们为自己的数据控制和匿名而享有的隐私权。。。

这项工作首次实现了头中症候群解码（SDitH）签名方案的硬件实现，该方案是NIST PQC过程中用于标准化量子后安全数字签名方案的候选方案。SDitH的硬度基于保守的基于代码的假设，它使用了多方头计算（MPCitH）结构。这是基于传统解码问题的基于码的签名方案的第一个硬件设计，也是第二个用于。。。

洗钱是一种严重的金融犯罪，犯罪分子旨在通过一系列交易隐瞒其资金的非法来源。虽然银行有义务监测交易，但很难追踪这些非法资金流动，因为它们通常跨越多家银行，而由于隐私问题，这些银行无法共享这些信息。我们提出了安全的风险传播，这是一种在不侵犯隐私的情况下跨银行检测洗钱的新的高效算法。。。

ZK-SNARK是面向隐私的支付系统、身份协议或匿名投票系统的基本组件，是用于可验证计算的高级加密协议：现代SNARK允许用适当的约束语言对程序的不变量进行编码，这些不变量表示为算术电路，可以构造正确计算的零知识证明。SNARK系统中最重要的计算之一是。。。

乱码方案允许对电路$C$和输入$x$进行乱码，以便在隐藏$C$与$x$的同时计算$C（x）$。在自适应安全环境中，对手在看到乱码电路后指定电路的输入，以便可以预先处理$C$的乱码，然后在在线阶段仅乱码输入$x$。由于在线阶段可能是时间关键的，这是一个有趣的问题，在此阶段需要传输多少信息。。。

安全多方计算（MPC）构造通常允许在有限域或环上进行计算。虽然对许多应用程序很有用，但某些实际应用程序需要使用十进制数。虽然可以在MPC中模拟浮点运算，但定点计算由于其简单性和高效实现而在实际领域获得了更多的吸引力。即便如此，目前的定点MPC协议仍然需要计算一个安全的截断。。。

虚二次域的类组（简称类组）作为未知顺序的透明组在密码学中复兴。它们是RSA组的无信任替代品的主要候选，因为类组不需要（分布式）可信设置来对未知顺序的加密安全组进行采样。最近，类组在可验证秘密共享、安全多方计算、透明多项式承诺、，。。。

我们探讨了匿名证明帐户所有权（匿名PAO）的问题。此类证明允许证明人向验证人证明其在服务器上拥有有效帐户，而无需服务器或验证人跟踪，也无需在服务器端进行任何更改，甚至无需向其透露正在发生任何匿名PAO。这个概念在诸如告密之类的敏感应用程序中很有用。首次引入匿名PAO的是Wang等人，他还介绍了。。。

通过巨大的努力，在最诚实多数的环境下，安全多方计算（MPC）的通信成本得到了显著提高。特别是，Escudero等人（CCS’22）提出的最先进的最诚实多数MPC协议在在线阶段的算术电路中，每个乘法门总共需要12个字段元素。然而，对于布尔电路，每个AND门仍需要$12\log（5n/4）$位的在线通信。也就是说，对于布尔电路，没有。。。

本文提出了一种分布式不经意RAM（DORAM）协议MetaDORAM，该协议在理论上是安全的，并且对于较小的块大小，其通信成本低于所有以前的理论上安全的DORAM协议。具体来说，给定$n$个位置的内存，每个位置的大小为$d$位，MetaDORAM每个查询只需要$O（（d+\log^2（n））\log（n）/\log。当$d=\Theta（\log^2（n））$时，这是一个$\Theta，。。。

安全多方计算（MPC）允许多方在输入上计算函数，同时保持输入私有。在其基本设置中，协议仅涉及持有输入。在分布式MPC中，还有执行以下操作的外部服务器执行所需计算的分布式协议，无需学习有关输入和输出的信息。在这里，我们提出了几个基本MPC功能的分布式协议。我们以……开头。。。

我们研究了多方计算中的一个基本问题，我们称之为多重百万富翁问题（MMP）。给定一个一组私有整数输入，问题是确定等于该集最大值（或最小值）的输入子集，没有透露任何其他输入信息期望输出所隐含的内容。这样的问题是很自然的百万富翁问题的延伸，这是第一个多重-聚会计算问题。。。

自2015年以来，在有限域中计算离散对数的渐近复杂性显著降低。因此，许多主流配对友好曲线的密钥大小必须更新，以保持所需的安全级别。在PKC’20中，Guillevic对一系列嵌入度从9美元到17美元的配对友好曲线的安全性进行了全面评估。本文主要研究具有嵌入度的对友好曲线。。。

本文介绍了一种新的单服务器安全聚合框架LERNA。我们的协议是根据使用同一组客户端执行多个连续聚合阶段的设置而定制的，其中一部分可能会在某些阶段退出。我们依赖于客户端之间的初始秘密共享设置，该设置一次性生成，并在所有后续聚合阶段重用。与之前的工作相比【Bonawitz等人，CCS’17，Bell等人，CCS'20】。。。

1982年，Yao提出了比较两个私有值的问题，从而启动了安全多方计算（MPC）协议的研究。自那时以来，比较协议经过了广泛的研究，并得到了广泛的应用。我们调查了任意数量的参与方的最新比较协议，将其分解为较小的原语，并在通常假设基础MPC协议确实。。。

本文研究了多方私有集并（mPSU），这是一个基本的密码问题，允许多方计算各自数据集的并，而不需要透露任何附加信息。我们提出了一个有效的mPSU协议，该协议在存在任意数量的共谋半诚实参与者的情况下是安全的。我们的协议避免了计算成本高昂的同态操作或通用多方计算，从而为mPSU……提供了一种有效的解决方案。。。。

我们研究了以下有关密码原语的广泛问题：是否可以使用$O（\logn）$-size消息来对抗任意$\mathsf{poly}（n）$-time对手？众所周知，除非信息理论安全可行，否则答案是“否”。在这项工作中，我们通过考虑公共信息和计算安全的加密设置来重新审视这个问题。假设对……的变体进行了深入研究，我们得到了以下结果。。。

现代安全消息传递协议通常旨在提供可否认性。要做到这一点，就需要在没有真正用户参与的情况下伪造令人信服的密码抄本。在这项工作中，我们注意到当事方可能希望取消否认，并在对话发生后公开对话。我们提出了一种新的协议，称为Not-on-the-Record-Yet（NOTRY），使用户能够证明之前的对话记录是真实的。作为关键构建块，我们建议。。。

在这项工作中，我们介绍了FANNG-MPC，这是一个通用的安全多方计算框架，能够为保护隐私的机器学习服务（MLaaS）提供主动安全性。FANNG源于现已弃用的SCALE-MAMBA，是一个面向数据的分支，具有用于实现私有神经网络的新颖库和指令集，有效地复兴了流行的框架。据我们所知，FANNG是第一个在…中提供主动安全MLaaS的MPC框架。。。