在本文中，我们提出了一种新的高效的独立MAC构造，该构造基于使用流密码家族SNOW中的FSM部分进行处理，而流密码家族雪诺又使用AES循环函数。它结合了软件和硬件的极高速度和可截断的标签。提出了两个具有不同安全级别的SMAC具体版本，尽管也可能有其他用例。例如，SMAC可以在AEAD模式下与外部加密引擎相结合。每个设计选择。。。

本文研究如何使用代数密码分析来减少AES密码小规模变体的密钥计算时间，而数据挖掘方法可以加速这种分析。这项工作基于已知的明文攻击，旨在通过处理从明文-明文对中提取的多项式方程来加速密钥的计算。具体地说，我们建议将GF（2）上的多项式方程组的超定义转换为一个新的系统，以使。。。

类NTRU密码系统是研究最多的基于格的后量子候选系统之一。虽然大多数NTRU建议都是在商多项式的交换环上引入的，但也可以使用其他环。非交换代数早就被认可为构建NTRU新变体的方向。第一次尝试构建非对易变体是因为霍夫斯坦和西尔弗曼对格攻击有更大的抵抗力。该计划是在该集团的基础上制定的。。。

在本文中，我们研究了被称为Chi或\Chi的S-box，它最初由Daemen于1995年提出，此后在Keccak、Ascon和许多其他领域得到了广泛应用。这类密码通常[在最近的研究中]根据子空间跟踪攻击[TeDi19]和向量空间不变量进行分析。一个有趣的问题是，当不同的空间通过带常数的平移相互映射时。在本文中，我们放松了这个基本问题，并考虑了。。。

Rasta设计策略允许构建低轮密码，因为它通过随机化密码来有效地防止统计攻击和代数攻击，这使得它特别适合混合同态加密（HHE），也被称为反密码。这种随机化是通过对每一轮新密码评估的新可逆矩阵进行伪随机采样来实现的。然而，对每一轮随机可逆矩阵进行天真抽样会显著影响。。。

随着量子计算的发展，人们进行了广泛的研究，以发现量子在密码学领域的优势。将量子算法与经典密码分析方法（如差分密码分析和线性密码分析）相结合，有可能降低复杂性。本文提出了一种用于差分密码分析的量子差分发现电路。在我们的量子电路中，明文和输入差都处于叠加状态。。。。

在过去二十年中，微结构侧通道一直是开发新攻击技术、利用它们攻击各类目标和设计缓解措施的大量研究的重点。一个工作重点是提高攻击速度，实现更高级别的时间分辨率，使攻击者能够学习细粒度信息。这一系列工作中最新加入的是Prime+Scope[CCS’21]，它仅。。。

基于健壮数学框架的可证明安全性是密码学安全评估的黄金标准。针对公钥密码体制，研究了几种可证明的安全密码体制。然而，可证明安全的对称密钥加密技术却很少受到关注。尽管已知有基于因子分解和离散对数问题的可证明安全的对称密钥密码系统，但它们不仅比传统的分组密码慢，而且可以。。。

非对称密码身份验证密钥交换（aPAKE）协议，特别是强aPAKE（saPAKE。在PAKE中，客户机和服务器协作建立一个高熵密钥，依靠先前交换的密码进行身份验证。它的一个主要特点是能够抵抗离线和预计算（针对saPAKE）攻击。不透明，还有。。。

不可克隆加密涉及利用无克隆原则构建加密原语，否则无法经典实现。了解不可区分加密的可行性，即密钥不可区分原语之一，在平面模型中满足不可区分安全性一直是该领域的一个主要公开问题。到目前为止，现有的不可加密结构要么是在量子随机预言模型中，要么是基于新的。。。

在这项工作中，我们基于置换核问题（PKP）的一个新变体的硬度，引入了PERK一个紧凑的数字签名方案。对于任何基于PKP的NIST I类安全方案，PERK以6 kB获得最小签名大小，同时获得具有竞争力的签名和验证时间。PERK还与一般最新技术进行了比较。为了证实这些说法，我们提供了优化的恒定时间AVX2实现、详细的性能分析和。。。

许多人使用诸如Signal之类的消息应用程序来行使他们的私人通信权。为了应对量子计算的出现，Signal采用了一种名为PQXDH的新的初始握手协议来实现量子后的保密性，同时保持了经典的真实性和可否认性保证。与之前的X3DH相比，PQXDH包括KEM封装和临时密钥上的签名。在这项工作中，我们表明，由于……，PQXDH不能满足与X3DH相同的拒绝保证。。。

可证明的隐私通常需要进行复杂的分析，并且通常会导致无法接受的准确性损失。虽然已经提出了许多经验验证或近似方法，如成员推断攻击（MIA）和差异隐私审计（DPA），但这些方法并没有提供严格的隐私保障。在本文中，我们应用最近提出的可能近似正确（PAC）隐私来为一系列实际的、，。。。

不可克隆密码学利用量子力学原理来解决经典上不可能完成的密码任务。在秘密共享的背景下，我们引入了一种新的不可克隆原语，称为不可克隆秘密共享（USS）。在USS计划中，有$n$的股东，每个人持有一个以量子态表示的经典秘密的份额。一旦所有各方（或至少$t$方）拿出他们的股份，他们就可以找回秘密。重要的是，它。。。

量子计算技术的出现将危及许多当前的密码算法，尤其是广泛用于保护数字信息的公钥密码。我们所依赖的大多数算法在全球范围内用于许多不同通信、处理和存储系统的组件中。一旦可以使用实用的量子计算机，所有公钥算法和相关协议都将容易受到犯罪分子、竞争对手和…的攻击。。。

本文提出了一种新的白盒攻击技术，称为过滤，它可以与任何其他基于跟踪的攻击方法相结合。其思想是根据实现中中间变量的值过滤跟踪，目的是修复敏感值的共享，并降低相关屏蔽方案的安全性。再加上LDA（过滤LDA，FLDA），它导致了一次攻击，击败了最先进的任意程度和数量的SEL掩蔽方案（CHES 2021）。。。

在白盒密码术中，早期的保护技术已经落入自动差分计算分析攻击（DCA），导致了新的对策和攻击。Ishai-Sahai-Wagner的掩蔽方案（ISW，CRYPTO 2003）是一种标准的旁道对抗措施，可防止差分计算分析，但在白盒环境中易受线性解码分析（LDA）攻击。然而，Biryukov-Udovenko最近的二次和三次掩蔽方案。。。

生成性预处理变换器（GPT）是一种大型语言机器学习模型，非常擅长生成新颖、连贯的自然语言。值得注意的是，这些技术也被成功地扩展到了计算机编程语言。然而，GPT模型的输出通常是随机的，并不总是正确的。对于编程语言，严格要求在语法和算法上对计算机代码进行精确的规范，以便。。。

函数提交允许用户提交到输入$\mathbf{x}$，然后打开任意函数$\mathbf{y}=f（\mathbf{x}）$的提交。承诺和开口的大小应以$|\mathbf｛x｝|$和$|f|$为次线性。在这项工作中，我们给出了任意电路的第一个基于配对的功能承诺，其中承诺的大小和开口的大小由恒定数量的群元素组成。安全依赖于标准的双边。。。

垂直联合学习（VFL）正在成为一种具有各种实际应用的标准协作学习范式。随机性对于增强VFL中的隐私至关重要，但引入过多的外部随机性通常会导致无法忍受的性能损失。相反，正如在其他联合学习设置中所演示的那样，利用内部随机性（由变分自动编码器（VAE）提供）可能是有益的。然而，由此产生的隐私从未。。。

某些应用程序（如FHE转码）在操作加密数据时需要随机性。这种随机性必须在加密域中生成，并在整个计算过程中保持加密。此外，应该保证可以为不同的计算生成独立的随机硬币。在这项工作中，我们考虑伪随机函数（PRF）的同态评估，重点是实用的基于格的候选函数。。。。

我们提出了两种提高STARK证明的计算和/或通信成本的技术：打包和模块化分装。打包允许生成多个约束可满足性的单个证明。我们通过将所有相关多项式的求值打包到相同的Merkle叶中，并将所有DEEP FRI函数组合到一个随机有效性函数中来实现这一点。我们的基准测试表明，与……相比，包装减少了验证时间和验证大小。。。

主题建模是指一组流行的技术，用于发现文档集合中出现的隐藏主题。例如，可以使用这些主题对文档或标签文本进行分类，以便进一步处理。一种流行的主题建模技术是潜在迪里克莱分配（LDA）。在主题建模场景中，通常假设文档位于一个集中的数据集中。然而，有时文件由不同的方持有，并且包含隐私-或。。。

机器学习系统继续快速发展，在各个领域和学科中表现出显著的实用性。随着这些系统的规模和复杂性不断增长，一个旨在将机器学习即服务（MLaaS）推向市场的新兴行业正在兴起。将这些系统的操作和培训外包给功能强大的硬件具有许多优势，但当需要确保隐私和由一个。。。

在本文中，我们通过空间和/或大小的常数因子改进了Ragavan和Vaikuntanathan[RV24]提出的Regev量子因子分解算法[Reg23]的空间效率变体。这使我们能够通过[Reg23]和[RV24]桥接电路之间混凝土效率的显著差距；[Reg23]使用的门更少，而[RV24]使用的量子位更少。主要观察到[RV24]的空间有效量子模幂技术可以修改为。。。

NTRU问题已被证明是全同态加密（FHE）方案中有效引导的有用构件，并且已经提出了不同的此类方案。FINAL（ASIACRYPT 2022）首次使用同态多路复用（CMux）门构造FHE，用于盲旋转操作。后来，XZD+23（CRYPTO 2023）通过更改密文格式来实现环自同构评估，从而进行了渐近优化。在这项工作中，我们检查了对FINAL的修改以评估CMux。。。

零知识证明系统广泛应用于互联网上的不同应用。在零知识证明系统中，SNARK由于其验证时间快、证明规模小而成为一种流行的选择。零知识系统的效率对可用性至关重要，这导致了所谓的面向算术的密码的发展。在这项工作中，我们引入了Vision Mark-32，这是一个在二进制塔字段上定义的Vision的修改实例，它具有优化的。。。

翻盖技术的扩展和背面保护的缺乏使得集成电路（IC）容易受到来自IC背面的某些类型的物理攻击。激光辅助探测、电磁和基于身体的注射攻击就是此类攻击的例子。不幸的是，文献中提出的对策很少，也没有商业上可用的对策。那些确实存在的不仅昂贵，而且与当前的集成电路不兼容。。。

可验证随机函数（VRF）可以由持有密钥的证明程序对输入进行评估，生成伪随机输出和输出有效性证明，可以使用相应的公钥进行验证。VRF是委员会选举机制的一个核心构建块，该机制对各方进行抽样，以执行加密协议中的任务，例如在取证（PoS）区块链中生成块或执行一轮MPC协议。我们提出了这个概念，并且匹配。。。

现有的遗忘系统通过隐藏内存访问模式提供了强大的安全性，但它们遇到了显著的可扩展性和性能挑战。最近增强这些系统实用性的努力涉及在可信执行环境（TEE）中嵌入不经意计算，例如，不经意排序和洗牌。例如，遗忘排序被大量使用：在Oblix（S&P’18）中，当创建和访问遗忘索引时；在史努比的高吞吐量中。。。

事实表明，自私的采矿攻击使矿工能够获得不公平的相对收入，对最长链的发展构成威胁。尽管自私挖掘是一种在工作证明区块链背景下经过充分研究的攻击，但它对最长链的工作证明（LC-PoS）协议的影响仍有待解决。本文采用理论和基于实现的方法来分析LC-PoS协议中的自私提议攻击。我们。。。

近年来，量子技术得到了迅速发展。随着对称密码的安全分析不断出现，许多密码需要评估加密算法的量子电路实现所需的资源。在这方面，我们提出了量子电路决策问题，这要求我们确定对于给定的置换f，在电路深度D内是否存在一个使用M辅助量子位且不超过K个量子门的量子电路。。。。

作为服务的机器学习要求客户端信任服务器并提供自己的私有信息来使用此服务。通常，客户可能会担心服务器在没有有效监督的情况下收集他们的私人数据，服务器还旨在确保对用户数据进行适当管理，以促进其服务的进步。在这项工作中，我们重点关注私有决策树评估（PDTE），它可以缓解与分类相关的隐私问题。。。

本文提出了基于（广义）海绵结构的通用中间相遇（MitM）攻击框架，用于哈希函数的预映像和碰撞攻击。作为第一个贡献，我们的MitM preimage攻击框架涵盖了广泛的基于海绵的哈希函数，尤其是那些声称preimage安全级别低于其输出大小的函数。这些散列函数已被广泛标准化（例如Ascon-hash、PHOTON等），但很少研究。。。

在秘密共享计划中，$n$个政党共享一个秘密，这样，秘密可以由授权联盟恢复，同时应该对未授权联盟进行隐藏。在这项工作中，我们研究了$k$片访问结构的秘密共享，在这种结构中，大小为$k$的联盟要么被授权，要么没有被授权，较大的联盟被授权，较小的联盟被未授权。这些接入结构的已知方案中，小型k$接入结构所占份额小于大型接入结构；因此我们的。。。

完全同态加密（FHE）允许在加密数据上计算任意函数。在多方FHE应用程序中，不同的方对其机密数据进行加密，并将密文提交给服务器，服务器根据应用程序逻辑对其执行同态操作。例如，在一个秘密投票应用程序中，计数是通过对投票进行加密的密文求和来计算的。有效的加密投票形式为$E（0）$和$E（1）$。恶意选民可能。。。

旁道攻击的目标是通过测量物理量（例如程序执行期间的功耗）来恢复加密实现中的关键材料。简单威力攻击是指使用单个或几个样本从跟踪中推断秘密信息，而不是需要多个跟踪的差异攻击。软件加密实现现在都包含一个与数据相关的执行路径，但通常不考虑功率的变化。。。

数论变换（NTT）是一种强大的数学工具，在发展后量子加密（PQC）和同态加密（HE）方面变得越来越重要。当用快速傅里叶变换型算法实现时，它能够使用卷积定理以准线性复杂度$O（n\log{n}）$而不是$O（n ^2）$高效计算多项式乘法，这使它成为现代密码学中的一个关键组件。FFT型NTT算法或快速NTT。。。

我们回顾了用于构造对称密钥原语的交替模范式，重点是构造高效协议，以使用安全多方计算（MPC）对其进行评估。Boneh等人（TCC 2018）的交替模范式可以构造各种对称密钥原语，其共同特征是输入被不同模上的两个线性映射相乘，首先在$\mathbb上{F} _2$，然后超过$\mathbb{F} _3个$.这个。。。

在本文中，我们讨论了神经网络（NN）在评估几个随机数生成器（RNG）的质量和安全性，重点关注经典伪随机数生成器的脆弱性，如线性同余生成器（LCG）和RC4算法，并将我们的分析扩展到非常规数据源，如基于垂直腔面的量子随机数发生器-发射激光器（VCSEL）。在。。。

在对称密码学中，有限域F2n上的向量布尔函数导出强S-盒。为此，S-box应该满足一系列测试，以抵抗现有攻击，例如差分攻击、线性攻击、回旋镖攻击和变体攻击。使用了几个表来测量S盒的电阻，例如差异分布表（DDT）和回飞棒连接表（BCT）。继最近的回旋镖袭击之后，在回旋镖开关效应方面重新审视了这一点。。。

替换盒（S-box）通常被用作对称密钥密码中唯一的非线性元件，这对S-box电路在经典和量子应用场景中的密码实现性能都会产生重大影响。本工作以泡利-X门、CNOT门和Toffoli门（即NCT门集）为底层逻辑门，研究了基于SAT求解器的S盒的量子电路实现。首先，我们提出了编码方法。。。

在这篇简短的笔记中，我们回顾了Sadeghi等人在2018年ToSC上提出的针对基于几个相关的不可能差分路径的攻击的技术。我们表明，初始加密查询是不正确的，并导致作者在密钥恢复阶段错误评估筛选值。我们确定了继Sadeghi等人的结果之后的4篇论文（来自Eurocrypt、DCC、ToSC和ePrint），其中三篇论文传播了该问题。因此，我们对……进行了仔细分析。。。

在这一工作进展中，我们提出了一系列协议，以有效地证明无上下文语法（CFG）中关于字符串的语句。我们用于证明CFG中字符串正确解析的证明的主协议灵活地适应了零知识证明系统的不同实例化以及累加方案。虽然模块密码原语的改进可以继续用于改进我们的协议，甚至更简单的证明系统，它们不支持。。。

在分析用户数据的同时保护个人隐私仍然是一个巨大的挑战。可信执行环境（TEE）是一种可能的解决方案，因为它们可以保护进程和虚拟机（VM）免受恶意主机的攻击。然而，TEE可能会将访问模式泄漏给代码和正在处理的数据。此外，当数据存储在TEE数据库中时，回答查询所需的数据量是另一个不需要的包含敏感信息的侧通道。两种类型。。。

利用有效/无效故障传播的故障攻击比差分故障攻击提供了更丰富的攻击面，因为对手依赖于一位信息最终泄露秘密密码材料。最近，针对基于格的密钥封装机制提出了许多基于传播的故障攻击；其中许多国家没有已知的对策。在这项工作中，我们提出了一种正交对策。。。

2021年，斯特纳提出了一个基于超奇异等基因的承诺方案。为了使这个方案具有约束力，我们依赖于可信方生成未知自同态环的起始超奇异椭圆曲线。事实上，自同态圈的知识允许我们计算给定小素数的幂次的自同态。然后可以将这种自同态分解为两个，以获得具有相同承诺的两个不同消息。这就是为什么一个人需要。。。

在他们的论文中，Wei等人提出了一种用于VANET中条件隐私保护身份验证的轻量级协议。该协议旨在实现超低传输延迟和高效的系统密钥（SSK）更新。他们的协议使用带有消息恢复的签名方案来验证消息。该方案提供了针对自适应选择消息攻击的安全性。然而，我们的分析揭示了该方案中的一个关键漏洞。它容易受到重播攻击，。。。

零知识证明（ZKP）技术标志着密码学领域的革命性进步，能够在不透露任何具体细节的情况下验证某些信息所有权。该技术具有矛盾但强大的特点，为广泛的应用提供了坚实的基础，尤其是在增强区块链技术和其他加密系统的隐私和安全方面。随着ZKP技术日益成为。。。

在[1]中，提出了两种基于生物特征的不可传递属性证书（biometric ABC）的通用构造，它们在效率和信任假设之间提供了不同的权衡。在本文中，我们重点讨论了第二个方案BioABC-ZK，该方案试图消除阅读器R上的强（和不切实际）信任假设，并表明BioABC-ZK对于共谋的R和验证程序V具有安全缺陷。此外，BioABC-ZK缺乏GDPR合规性，这需要安全。。。

数据市场公司的收入逐年稳步增长。私有功能评估（PFE）是解决相应安全问题的一种有价值的工具。【Horvath等人，2019年】介绍了受控私人职能评估任务及其放松版本。在本文中，我们提出并研究了几种不同的方法，这些方法具有抗静态腐败对手的计算和信息理论安全性。后一个安全级别。。。

我们提出了Reckle树，这是一种基于简洁的递归论证和MerKLE树的新的向量承诺。重排树的显著特点是支持可更新的简洁批量证明——在区块链环境中，需要在移动的区块流中计算和有效维护证明，从而支持新的应用程序。我们的技术方法是通过基于散列的方法将批处理散列的计算嵌入递归Merkle验证中。。。

众所周知，随机数生成器（RNG）很难构建和测试，尤其是在加密设置中。虽然人们不能仅通过测试输出的统计特性来确定RNG的质量，但运行数值测试既是一种强大的验证工具，也是唯一普遍适用的方法。在这项工作中，我们提出并提供了一个基于现有统计测试套件的综合统计测试环境（STE）。STE。。。

高级加密标准（AES）是最常用和分析过的加密算法之一。在这项工作中，我们提出了一些针对AES的突出攻击的新组合，实现了攻击中数据需求的新记录，对于6轮和7轮AES-192/256，仅使用$2^4$和$2^{16}$选择明文（CP）。我们的其中一种攻击是一种混合了中间相遇（MiTM）攻击和在6轮AES-192/256上发动的方形攻击，同时。。。

SHA2已被广泛应用于各种传统公钥密码系统、后量子密码、个人身份识别和网络通信协议等。因此，确保SHA2的强大安全性至关重要。针对SHA1和SHACAL-2，已有几种基于随机单词错误的差异错误攻击。然而，将这种基于单词的随机故障攻击扩展到SHA2显然更加困难，因为。。。

为了抵制在现代生活的各个方面强加给我们的无处不在的监视制度，我们需要颠覆监视系统的技术工具。不幸的是，虽然加密工具经常演示我们如何构建保护用户隐私的系统，但参与监视的公司实体采用这些工具的动机有限，因为它们经常与利润激励相冲突。本文展示了在日常生活的一个特定方面——。。。

我们提出了一种基于广义Diffie-Hellman密钥交换的新密钥交换协议。在后者中，我们不使用群作用，而是考虑半群作用。在我们的建议中，半群是$\mathbb{S}^3$中带连通和运算的定向节点集。作为半群作用，我们通过连通和选择半群对自身的作用。为了使协议工作，我们需要使用节点不变量，这允许我们创建共享密钥。。。

我们提出了一种用于安全计算差异私有稀疏直方图的结构，该结构聚合了来自大量客户端的输入。每个客户端在特定索引处为聚合提供一个值。我们关注的是可能的索引集超多项式大的情况。因此，得到的直方图将是稀疏的，即大多数条目的值都为零。我们的构建依赖于两个非共谋服务器，并提供针对恶意。。。

银行每天向选定的客户发布一份可用证券/资产列表（斧头列表），以帮助他们以较低的融资利率有效定位多头（买入）或空头（卖出）交易。这降低了银行的成本，因为该清单汇总了银行所有长期和短期交易客户的每项资产的内部公司库存。然而，这有点问题：（1）银行的库存被披露；（2） 参与汇总清单的客户交易，特别是那些被视为。。。

函数秘密共享（FSS）（Boyle et al.，Eurocrypt 2015）是一种加密原语，可以对给定函数族$\mathcal{F}$中的函数进行加性秘密共享。FSS支持广泛的加密应用，包括私有信息检索（PIR）、匿名消息传递系统、私有集交叉等。形式上，给定阿贝尔群的正整数$r\geq2$和$t<r$，以及函数$F:[n]\to\mathbb{G}$的类$\mathcal{F}$。。。

$n$-out-of-$n$分布式签名是一种特殊类型的阈值$t$-out-$n$签名。它们是由一组$n$签名者以协作方式创建的，每个签名者都持有密钥的一部分。近年来，由于不同的应用，例如降低加密货币中密钥泄露的风险，这类签名得到了广泛的研究。在量子对手面前维护安全，Damgárd等人（J Cryptol 35（2），2022）。。。

在本研究中，我们研究了新开发的低能耗轻量级分组密码（LELBC），该密码专门用于智能农业中的资源受限物联网（IoT）设备。设计者通过混合整数线性规划（MILP）对LELBC进行了初步的差分密码分析。本文利用MILP进一步研究了LELBC在单密钥和相关密钥框架中的差分特性，确定了一个九轮差分特性。。。

随着机器学习（ML）的不断进步，网络安全解决方案和安全原语越来越容易受到成功的攻击。强大的物理不可克隆功能（PUF）是一种潜在的解决方案，可为此类攻击提供高抵抗力。在本文中，我们提出了一个广义攻击模型，该模型联合利用多个芯片来最小化克隆错误。我们的分析表明，不同芯片上的熵率是衡量新技术的相关指标。。。

在加密和区块链技术快速发展的领域中，加密方案的效率和安全性显著影响性能。本文介绍了一个全面的框架，用于在最流行的密码学Rust库之一fastcrypto中进行连续基准测试。我们的分析之所以独特，是因为我们认识到，自动基准测试不仅是一种性能监控和优化工具，而且可以用于密码分析和创新。。。

边信道分析已经成为密码加速器现代硬件安全评估的基石。最近，这些技术也被应用于人工智能和机器学习等领域，以调查可能的威胁。安全评估依赖于标准测试设置，包括商业和开源评估委员会，如SASEBO/SAKURA和ChipWhisperer。然而，随着设计足迹的缩小和相同平台上任务的重叠，质量。。。

零知识范围证明（ZKRP）允许证明程序使验证器确信秘密值位于给定的区间。ZKRP有许多应用：从匿名凭证和拍卖，到加密货币的机密交易。同时，文献中存在大量的ZKRP结构，每种结构都有自己的权衡。在这项工作中，我们系统化了有关ZKRP的知识。我们根据底层建筑对现有建筑进行分类。。。

Bernstein和Pornin最近的两项建议强调了在DSA及其基于椭圆曲线的变体中使用确定性签名。确定性签名以确定性的方式从要签名的消息和密钥中导出所需的临时密钥值，而不是使用随机数生成器。其目的是防止严重的安全问题，例如从低质量随机数中直接恢复密钥。最近的事态发展引起了人们的怀疑。。。

近似全同态加密（FHE）方案，如CKKS方案（Asiacrypt’17），由于其在机器学习应用中的效率和实用性，在实践中很受欢迎。不幸的是，Li和Micciancio（Eurocrypt，'21）表明，虽然实现了标准语义（或$\mathsf{IND}\mbox{-}\mathsf{CPA}$安全性），但CKKS方案在一个称为$\mathf{IND.}\mbox{-}\ mathsf}CPA}^D$的变体安全概念下被破坏。随后，李、米契亚西奥、舒尔茨和索雷尔。。。

加强微处理器对副通道攻击的防御是确保其安全性的一个关键方面。此过程中的一个关键步骤是识别和缓解“泄漏”硬件模块，这些模块在执行加密算法期间无意中泄漏信息。在本文中，我们探讨了不同的泄漏检测方法，即边信道脆弱性因子（SVF）和测试向量泄漏评估（TVLA）如何有助于微处理器的加固。我们进行。。。

我们引入了区块链公平数据交换（FDE）协议，使存储服务器能够自动将数据文件传输到客户端：当且仅当服务器收到约定的付款时，客户端才会收到文件。我们提出了一个新的密码方案定义，称之为提交密钥下的可验证加密（VECK），并给出了该方案的两个实例。我们的协议依赖于区块链来加强交换的原子性，并使用VECK来确保。。。

DECT标准密码（DSC）是一种专用流密码，用于数字增强无绳通信（DECT）中的加密，DECT是短程无绳通信的标准，在全球范围内广泛应用于住宅和企业环境。本文探讨和分析了DSC流密码在以往工作中未发现的新弱点。基于这些弱点，提出了新的实用密钥恢复攻击和区分攻击方法。。。

拜占庭协议（BA）使$n$进程能够就共同有效的$L_o$-位值达成共识，即使存在多达$t<n$个可能任意偏离其规定协议的错误进程。尽管意义重大，但在诚实多数制（$n=2t+1$）下，对于最坏情况和自适应情况，BA关键变化的最佳通信复杂度尚未确定，自适应情况占实际故障数的$f\leq t$。。。。

虽然20世纪80年代的经典结果表明，单向函数（OWF）意味着伪随机生成器（PRG）的存在，而伪随机生成器又意味着假随机函数（PRF），但其构造（最显著的是从OWF到PRG的构造）是复杂而低效的。因此，研究人员根据各种不同的混凝土硬度假设，开发了PRF的替代性直接构造。在这项工作中，我们继续这一工作思路，并演示了第一个直接。。。

在这项工作中，我们提出了用于半诚实安全三方计算（3-PC）和带有一个损坏的恶意四方计算（4-PC）的环上新协议。与相同环境中的最新协议相比，我们的协议需要更少的低延迟和高带宽链路来实现高吞吐量。我们的协议还通过每个门所需的基本指令减少50%来降低计算复杂性。此外，我们的协议实现了。。。

自1978年Rivest、Shamir和Adleman发明公开密钥密码系统RSA以来，RSA已经成为密码学中一种广泛流行和有用的方案。它的安全性与分解两个大素数乘积的大整数的难度有关。由于各种原因，已经提出了RSA的几种变体，其中一些具有不同的算法，如椭圆曲线和奇异三次曲线。2018年，Murru和Saettone基于……提出了另一种RSA变体。。。

研究“隐私价格随时间变化”的最基本问题之一是所谓的私人对抗问题，由Dwork等人（2010年）和Chan等人（2011年）介绍。在这个问题中，我们的目标是跟踪一段时间内发生的事件数量，同时隐藏每个事件的存在。更具体地说，在[t]$中的每个时间步骤$t\中，我们都会（以在线方式）了解到$\Delta_t\geq 0$新事件已经发生，并且必须以估计值$n_t\approx\sum_{j=1}^t进行响应。。。

考虑在$n$方之间进行安全多方计算（MPC）的任务，该任务具有完美的安全性和有保证的输出交付，支持$t<n/3$主动破坏。假设要计算的算术电路$C$定义在有限环$\mathbb{Z}/q\mathbb2{Z}$上，对于任意$q\in\mathbb{Z}$。众所周知，这种环上的MPC类型是可能的，其通信规模为$O（n|C|）$，假设$q$规模为$\Omega（n）$。然而，对于等长环。。。

抗冲突散列是现代密码学中的基本元素，它确保了没有有效的方法来查找产生相同散列值的不同输入。此属性支持各种加密应用程序的安全性，因此了解其复杂性至关重要。这个问题的复杂性在经典设置中得到了很好的理解，需要$\Theta（N^{1/2}）$查询来查找冲突。然而，量子计算的出现带来了新的。。。

受最近Latticefold论文中的范围检查技巧的启发，我们构造了能够有效模拟非本机算法的基于椭圆曲线的IVC。我们解释了一般原理（可应用于原恒星和超新星），并详细描述了原恒星折叠的错场拟行星体。我们的结构同时支持多个非本机字段上的电路，并允许使用范围检查元素在它们之间进行接口。WARPfold。。。

本文扩展了微分满足的适用性-Crypto 2023提出的中间攻击，用于截断差分-此外，我们引入了三个新的想法来改进这种类型攻击：我们展示了如何添加比原始pa更长的结构-根据，我们介绍了如何改进关键恢复步骤概率，我们将这种类型的攻击与状态相结合-测试技术，这是在不可能的情况下引入的。。。

作为ISO/IEC标准，散列函数RIPEMD-160已用于生成SHA-256的比特币地址。然而，由于RIPEMD-160复杂的双分支结构，最佳碰撞攻击仅达到RIPEMD-60 80步中的36步，而最佳半自由启动（SFS）碰撞攻击仅达40步。为了改进EUROCRYPT 2023提出的36步碰撞攻击，我们探索了使用不同消息差异来增加。。。

SHA-2家族包括SHA-224、SHA-256、SHA-384、，SHA-512、SHA-512/224和SHA512/256是美国联邦标准酒吧-由NIST完成。尤其是，毫无疑问，SHA-256是在实际应用程序中使用的最重要的散列函数。由于与SHA-1相比，其设计复杂，几乎没有进步2015年亚洲青年队（ASIACRYPT）之后，SHA-2发生碰撞袭击。在这项工作中，我们重新迎接这一挑战，旨在显著提高碰撞攻击在SHA-2上。。。

在类似差异的攻击中，该过程通常涉及向前和向后扩展区分器，某些回合的概率为1，并恢复扩展部分中涉及的密钥。特别是在矩形攻击中，可以使用整体密钥恢复策略来产生针对给定区分符的最有效攻击。在本文中，我们将区分符和扩展部分视为一个完整的实体，并给出了一个一步求矩形的框架。。。

使用关联数据进行身份验证加密（AEAD）是应用密码学的一个趋势，因为它将机密性、完整性和身份验证结合到一个算法中，并且比单独使用块密码和散列函数效率更高。Ascon算法作为CAESAR竞赛和NIST LwC竞赛的获胜者，很快将成为AEAD标准，用于保护计算资源有限的物联网和微型设备。我们建议。。。

区块链交易费用机制的激励相容性已经与纯粹由共识层获得的净回报激励的被动区块生产商进行了研究。本文介绍了一个活跃区块生产者的模型，他们对区块有自己的私人估值（例如，表示从应用层获得的额外价值）。我们模型中的区块生产者剩余可以解释为更常见的口语。。。

在CRYPTO 2019上，Gohr证明了Speck32/64的差分神经分类器（DND）可以比经典密码分析的差分分布表（DDT）学习更多的特征。此外，结合上置信限（UCB）策略和贝叶斯密钥搜索算法，设计了一个非经典密钥恢复过程。因此，与最先进的结果相比，Speck32/64上11轮密钥恢复攻击的时间复杂性显著降低。。。

本文提出了一种新的轻量级协议POPSTAR，用于重打击者的私有计算，也称为私有阈值报告系统。在这样的协议中，用户提供输入度量值，报表服务器会了解哪些度量值比预先指定的阈值更大。POPSTAR遵循与STAR相同的架构（Davidson等人，CCS 2022），除了主服务器计算总重击数统计数据外，还依赖辅助随机服务器。。。。

我们建议密码族s^E^n，n=2,3，。。。。在明文空间（Z*{2^s}）^n，s>1的情况下，加密映射是G=G_1A_1G_2A_2类的组合，其中A_i是AGL_n（Z_2^s}）的仿射变换，保持了（Z*_2^s）}^n的多样性，欧拉自同构G_i，i=1,2的K[x_1，x_2，…，x_n]将x_i移动到单项式项ϻ（x_1）^{d（1）}（x_2）^{（2）}。。。（x_n）^{d（n）}，Z*{2^s}并作为双射变换作用于（Z*{2）^n。密码是。。。

AES分组密码是当今最重要和最受分析的对称算法。虽然已知AES的所有版本在单密钥设置中都是安全的，但在相关密钥场景中却不是这样。在本文中，我们试图回答这样一个问题：如果密钥调度不同，AES是否会抵抗更好的类似差异的相关密钥攻击。为此，我们通过扩展Khoo等人在ToSC 2017和Derbez。。。

切分是提高区块链技术可扩展性的关键技术。然而，现有协议通常假设敌对节点，而不考虑不同类型的攻击，这限制了运行时的事务吞吐量，因为可以缓解对活跃性的攻击。有人试图通过单独处理攻击来增加事务吞吐量；然而，它们有安全漏洞。本文介绍了小说《网状》。。。

一致随机单位，即从Haar测度中提取的单位，具有许多有用的性质，但不能有效地实现。这激发了对随机单位的长期研究，这种单位“看起来”足够随机，同时也可以有效地实现。出现了两种不同的错位概念：$t$-设计是信息理论上重现Haar度量的前$t$矩的随机单位，以及伪随机单位（PRU）。。。

本文着重于使用自动工具对ASCON家族进行密码分析。我们分析了两个不同的问题，目的是获得新的模型，与以前的工作相比，这些模型既简单又计算量较小（我们的所有模型只需要少量代码，并在常规桌面计算机上运行）。第一个问题是在简化的ASCON-Hash上搜索“中间相遇”攻击。从秦等人（EUROCRYPT 2023和ePrint 2023）的MILP建模开始，我们重新表述。。。

这项研究扩展了Abadi和Andersen对使用密钥在多智能体系统中保护信息的神经网络的探索。为了增强机密性，我们使用Alice、Bob和Eve神经网络进行端到端对抗训练。与之前仅限于64位消息的工作不同，我们的研究涵盖了从4位到1024位的消息大小、不同的批大小和训练步骤。一个创新的方面涉及训练模型Bob以接近最小错误值。。。

介绍了基于注册属性的签名（注册ABS）的概念。与经典的基于属性的签名（ABS）不同，注册的ABS允许任何用户生成自己的公钥/密钥对并在系统中注册。关键馆长对保持系统的流动至关重要，这是一个完全透明的实体，不会保留秘密。我们的结果可以总结如下。-本文首次定义了注册。。。

差分密码分析是对分组密码的一种古老而强大的攻击。尽管多年来引入了不同的技术来提高此攻击的复杂性，但密钥恢复阶段仍然是一个繁琐且容易出错的过程。在这项工作中，我们提出了一种新的算法及其相关工具，该算法允许在给定识别器的情况下输出有效的密钥猜测策略。我们的工具可以应用于线性层由位置换组成的SPN密码。。。

随机部分检查（RPC）是由Jakobsson、Juels和Rivest提出的，作为一种在许多应用场景中验证混合过程正确性的有效方法而备受关注。事实上，RPC是许多电子投票方案的构建块，包括普雷塔选民（PrétáVoter）、思维塔斯（Civitas）、Scantegrity II以及现实选举中使用的投票系统（例如在澳大利亚）。加密货币的匿名传输也使用混合。然而，结果是，。。。

Web3技术的出现保证了前所未有的用户控制和自治水平。然而，这种权力下放将安全负担转移到了用户身上，因此了解他们的安全行为和看法至关重要。为了解决这个问题，我们的研究引入了一个综合框架，该框架确定了Web3生态系统中用户交互的四个核心组件：区块链基础设施、基于Web3的分散应用程序（DApps）、在线社区和。。。

本文研究了在各种模型的经典和量子环境中解决密码问题的通用方法的局限性。-在经典的一般群模型（GGM）中，我们找到了离散对数（DL）问题的变量下界的简单替代证明：多实例DL和多个DL问题（及其混合）。我们还重新证明了未知的GGM下界，例如阶数查找、根提取和重复平方。-...

通常需要零知识电路来证明没有针对所讨论的约束系统进行优化的小工具。一项特别艰巨的任务是嵌入诸如布尔运算、字段运算或公钥加密等外来算法。我们构建了从零知识电路中卸载外国算法的技术，包括：（i） 不同组之间离散对数的相等性；（ii）不需要椭圆曲线的标量乘法。。。

在Eurocrypt 2023上，提出了对分组密码Speedy-7-12的差分攻击。此注释表明，此攻击所基于的主要差分特征的概率为零。