我们引入了一个新的、具体有效的、透明的多项式承诺方案，该方案具有对数验证时间和通信开销，可以在任何组上运行。现有的基于组的多项式承诺方案必须使用效率较低的组，例如未知阶的类组或基于配对的组，以实现透明度（没有可信设置），这使得它们在实践中采用成本高昂。 我们提供了第一个可以在任何群上运行的基于群的多项式承诺方案。。。。

基于属性的加密（ABE）是公钥加密的泛化，它支持对加密数据的细粒度访问控制。在（密文策略）ABE中，中央可信机构向用户发布属性$x$的解密密钥。反过来，密文与解密策略$\mathcal{P}$相关联。只要$\mathcal{P}（x）=1$，解密就会成功并恢复加密的消息。最近，Hohenberger、Lu、Waters和Wu（Eurocrypt 2023）引入了……的概念。。。

内积参数（IPA）是一种用于构造零知识证明（ZKP）系统的密码原语，这是一种著名的隐私增强技术。我们提出了一种新型高效IPA，称为$\mathsf{Cougar}$$\mathsf{Cougar}$具有立方根验证器和离散对数（DL）假设下的对数通信功能。在Asiacrypt2022上，Kim等人在DL假设下提出了两个平方根验证器IPA。我们的主要目标是克服……的局限性。。。

可链接环签名是匿名应用（如电子投票、电子现金和机密交易）的重要密码原语。为了消除可信设置中的后门和开销，离散对数或配对设置中的透明设置在实践中受到了相当大的关注。最近的进展提高了可链接环签名的证明大小和验证效率，并通过透明设置实现了对数界限。Omniring（CCS’19）。。。

增量可验证计算（IVC）允许证明程序向验证程序证明序列计算的正确执行。最近的工作侧重于提高IVC方案的通用性和效率，IVC可分为累积IVC和基于折叠的IVC，而基于折叠的方案效率更高（因为它们将证明生成延迟到最后一步）。不幸的是，这两种方法都只满足启发式安全性，因为它们将Random Oracle（RO）建模为。。。

多项式提交方案允许证明程序提交到次数为$L$的多项式$f\in\mathcal{R}[X]$，然后证明提交的函数在指定点$X$得到了正确的求值；换句话说，对于公共$x，$f（x）=u$，u\in\mathcal{R}$。多项式承诺的大多数应用，例如简洁的非交互式知识论证（SNARK），要求（i）承诺和评估证明都简洁（即度为$L$的多对数）-具有。。。

我们引入了YPIR，这是一种单服务器私有信息检索（PIR）协议，无需任何离线通信即可实现高吞吐量（高达机器内存带宽的75%）。对于从32-GB数据库检索1位（或1字节）记录，YPIR的核心服务器吞吐量达到10.9 GB/s，需要2.5 MB的总通信。在相同的设置中，最先进的SimplePIR协议实现了12.6 GB/s的核心服务器吞吐量，需要1.5 MB的总通信，但。。。

叛徒追踪系统允许识别在广播环境中构建恶意解码器的用户。在传统的叛徒追踪系统中，密钥权威机构负责生成全局公共参数并向用户发布密钥。如果emph{密钥授权本身}损坏，所有安全性都会丢失。这就提出了一个问题：我们能否在没有可信权威的情况下构建一个叛徒追踪计划？在这项工作中，我们提出了一种新的。。。

虚二次域的类组（简称类组）作为未知顺序的透明组在密码学中复兴。它们是RSA组的无信任替代品的主要候选，因为类组不需要（分布式）可信设置来对未知顺序的加密安全组进行采样。最近，类组在可验证秘密共享、安全多方计算、透明多项式承诺、，。。。

公开可验证秘密共享（PVSS）允许经销商发布加密的秘密共享，以便持有相应解密密钥的各方稍后可以对其进行重构。交易和重构都是非交互的，任何验证者都可以检查其有效性。PVSS在随机信标、分布式密钥生成（DKG）和YOSO MPC（Gentry et al.CRYPTO’21）中找到了应用，当被赋予适当的可公开验证的重新共享时，如YOLO YOSO（Cascudo et al。。。。

门限签名是支持多方签名生成的数字签名，使得许多参与方最初共享一个签名密钥，并且超过门限数量的参与方聚集在一起生成签名。在本文中，我们提出了一种非交互式分散阈值签名（NIDTS）方案，该方案支持基于BLS签名的非交互式透明密钥设置。我们的NIDTS方案具有以下属性。1） 关键设置过程完全。。。

零知识范围证明在区块链系统上的机密交易（CT）中发挥着关键作用。它们用于证明承诺交易付款的非负性，而不披露确切的价值。具有透明设置的对数大小的范围证明，例如，子弹证明，其目的是证明承诺值位于范围$[0，2^N-1]$，其中$N$是范围的位长度，在通信关键区块链系统中越来越受欢迎，因为它们。。。

多项式承诺方案是许多密码协议中的基本构建块，例如可验证秘密共享、零知识简洁非交互参数等。最有效的多项式承诺方案依赖于可信设置，这在信任最小化应用程序（例如加密货币）中是不可取的。然而，与透明多项式承诺方案相比，其效率较低（多对数开放证明和/或验证时间）。。。

校验数据（PCD）是一种强大的加密原语，它允许相互不信任的各方以有效的可验证方式执行分布式计算。PCD的已知构造是通过递归地组合SNARK或相关原语获得的。在随机预言模型中构造了具有透明设置等理想属性的SNARK。然而，使用这种SNARK来构造PCD需要启发式地实例化oracle并将其用于。。。

存储时间证明（PoSt）是一个加密原语使服务器能够演示非交互连续效用-以公开可验证的方式外包数据的能力。这个概念是首先由Filecoin引入，以保护其基于区块链的分散-规模化的存储市场，使用昂贵的SNARK压缩校样。最近的工作[2]采用陷门延迟函数的概念来解决没有SNARK的紧凑PoSt问题。然而，这种方法需要。。。

我们提出了一种新的内积自变量（IPA），称为TENET，它具有次对数证明大小和次线性验证器，无需可信设置。IPA是各种高级证明系统的核心原语，包括范围证明、电路可满足性和多项式承诺，特别是在很难应用可信设置的情况下。在ASIACRYPT 2022上，Kim、Lee和Seo表明，可以利用配对来超越以前基于离散对数的IPA的复杂性屏障，而无需。。。

时间锁定谜题（TLP）是一种有趣的密码问题，它很容易生成，但需要一定的时间才能解决，即使允许任意并行加速。TLP具有广泛的应用，包括公平性、舍入高效计算等。为了减少求解大量TLP所需的工作量，先前的工作提出了分批处理技术以降低求解成本。然而，这些建议要么需要：（1）可信的设置，要么（2）拼图大小。。。

拜占庭广播是分布式计算的基本问题之一。从安全多方计算到区块链共识机制的许多实际应用都需要越来越弱的信任假设，以及越来越多用户的可扩展性，这就排除了具有线性轮数或可信设置要求的现有解决方案。在本文中，我们提出了第一个次线性循环的无信任拜占庭广播协议。不同于。。。

一个*功能承诺*方案使用户能够简明地提交到指定系列的函数，然后简明地、可验证地显示函数在所需输入处的值。有用的特殊情况包括向量承诺和多项式承诺，它们在密码学中都有应用。迄今为止，仅针对本质上是“线性”的功能构建了功能承诺（在可证伪的假设下），最近的一个例外是有效的。。。

我们提出了Flashproof，这是一种新型高效的特殊诚实验证器零知识参数，在离散对数（DL）设置中具有透明设置。首先，我们提出了实现$O（N^{\frac{2}{3}}）$通信成本的气有效范围参数，并涉及$O（N^{\frac{2{3}）$group指数用于验证，以及稍微次线性的群指数用于证明范围$[0，2^N-1]$，其中$N$是范围的位长度。对于。。。

零知识集成员身份证明（zkSMP）可以有效地证明集合中某个值在零知识中相对于该值的成员身份，即集合大小是次线性的。它们被用于构造匿名加密货币，如ZCash，它使用零知识Merkle证明来表明事务的输入属于事务输出（TXO）集。使用一个Merkle树，在一个友好的循环之间实例化一对Pedersen哈希函数。。。

在这项工作中，我们改进了集合成员的实用零知识的最新水平，这是一些隐私感知应用程序（如匿名支付、凭据和白名单）的核心构建块。此原语允许用户显示大集合中元素的知识，而不会泄漏特定元素。部署的障碍之一是效率。具体有效的解决方案存在，例如，在Zcash Sapling部署的解决方案，但它们通常在。。。

我们引入了一种新的高效、透明的设置、多项式承诺方案，该方案运行在具有对数验证器和通信开销的有效组上。现有的基于组的多项式承诺方案必须运行在代价高昂的组上，例如具有未知顺序的类组或基于配对的组，以实现透明性（无可信设置），这使得它们在实践中速度较慢，而基于非组的方案，例如基于Reed-Soloman的方案，与基于组的方案相比，有其自身的优缺点。。。

零知识证明是隐私保护技术（如“机密交易”（CT））的密码基石，旨在隐藏加密货币交易中的货币金额。由于其渐近对数证明大小和透明设置，大多数最先进的CT协议使用Bulletproof（BP）零知识证明系统进行集成员证明，如范围证明。然而，即使考虑到最近的效率改进，英国石油公司也会。。。

简洁的非交互式知识论元（SNARK）是一种高效的密码学证明。SNARK的应用通常涉及证明包含SNARK验证器的计算，这是一种称为递归合成的技术。不幸的是，具有透明（公共-密码）设置等理想功能的SNARK仅在随机预言机模型（ROM）中已知。在应用程序中，必须启发式地实例化此oracle并以非黑盒方式使用。在此。。。

对键值映射（或经过身份验证的字典）的承诺是加密应用程序（包括加密货币和分布式文件系统）中的一个重要构建块。在这项工作中，我们研究了具有两个附加属性的键值映射的短承诺：双重隐藏（键和值都应该隐藏）和同态（我们应该能够将两个承诺组合起来，以获得它们的键值开口的“和”）。此外，我们需要这些承诺。。。

定时承诺[Boneh和Naor，CRYPTO 2000]是标准承诺的定时模拟，在这种情况下，承诺可以在预先指定的时间过后以非交互方式打开。定时承诺有着广泛的应用，例如密封投标拍卖、公平合同签署、公平多方计算和加密货币支付。不幸的是，所有实际的构造都依赖于（私有）可信的设置，并且不能很好地扩展。。。

我们介绍了一种构造范围证明的新方法。我们的方法是模块化的，在标准假设下，与最先进的方法相比，使用更少的通信和（大大）更少的计算，而不依赖于可信的设置，从而实现高度竞争的范围证明。我们的范围证明可以作为多种协议的替代品，如分布式账本、匿名交易系统等，从而显著减少通信和。。。

在一项开创性的工作中，Micali（FOCS 1994）给出了随机预言模型（ROM）中第一个简洁的非交互参数（SNARG）。该结构结合了PCP和密码承诺，并具有几个吸引人的特点：它似乎是后量子的；它可以通过轻量级加密技术进行启发式实例化；它有一个透明的（public-coin）参数设置。然而，它也有一个显著的缺点：参数太大。在这项工作中，我们提供了一种新的结构。。。

随机预言模型（ROM）中简洁的非交互参数（SNARG）有几个吸引人的特点：它们是似是而非的后量子；它们可以通过轻量级加密技术进行启发式实例化；它们有一个透明的（public-coin）参数设置。ROM中SNARG的规范构造要归功于Micali（FOCS 1994），他展示了如何使用随机预言机将具有足够小稳健性错误的任何概率可检查证明（PCP）编译成一个。。。

在许多重要应用程序中，共享对高质量随机数的访问是必不可少的。然而，现有的分布式随机信标结构仍然存在一些局限性，例如安全保障不完善、设置或网络假设过强或成本过高。在本文中，我们提出了SPURT，这是一种高效的分布式随机信标协议，它不需要任何可信或昂贵的设置，并且可以抵御恶意对手的攻击，恶意对手控制着。。。

Lai等人（CCS 2019）已经证明了Bulletproof的算术电路零知识协议（Bootle等人，EUROCRYPT 2016和Bünz等人，s&P 2018）是如何推广到直接适用于双线性群算术电路的，也就是说，无需将这些电路转换为算术电路。简言之，双线性群运算电路是一种标准的运算电路，它增加了捕获群幂或对的特殊门。这样的电路非常。。。

我们针对计算有界的信道构造了唯一可译码码。我们的构建只需要一个公开的（透明的）设置。这些信道的所有先前工作要么需要设置密钥和状态，要么无法实现唯一解码，要么获得更差的速率（对于给定的码字损坏界限）。另一方面，我们的构造依赖于一个具有安全属性的强加密散列函数，我们只在随机预言机模型中实例化该函数。

我们介绍了用于R1CS的新的透明零知识简洁非交互知识参数（zkSNARKs）Xiphos和Kopis。它们不需要可信的设置，并且它们的安全性依赖于标准的SXDH问题。它们使用Fiat-Shamir变换在随机预言模型中实现非交互。与以前的透明zkSNARK不同，它支持快速证明、简短证明或快速验证，我们的工作是第一个同时实现所有三个属性的。。。

本文介绍了Dory，一个透明的设置，用于证明两个源组元素的提交向量之间的内联乘积的正确性的公共-交互参数。对于长度为$n$的内积，证明如下$6\log n$目标组元素、每个源组的$1$元素和$3$标量。验证程序的工作主要由目标组中的$O（\log n）$多重幂运算所主导。安全性被简化为对称的外部Diffie-Hellman假设。。。

随着云计算变得越来越流行，研究集中在可验证计算（VC）问题的可用解决方案上，计算能力较弱的设备（验证程序）将程序执行外包给功能强大的服务器（验证程序（Provider）），并获得执行忠实的保证。证明人可以进一步证明秘密输入的知识，从而使验证人的程序满足某些断言，而不必透露使用了哪种输入。最先进的。。。

本文提出了一种新的算术电路多项式IOP。它们依赖单项式系数基来表示算术约束满足系统中产生的矩阵和向量，并构建新协议来建立正确的线性代数关系计算，如矩阵-向量积和Hadamard积。当使用密码编译器编译时，我们的协议产生了具有简洁验证的具体证明系统，该编译器的作用是。。。

我们提出了一种新的无可信设置的分层算术电路简洁的零知识自变量方案。对于具有$n$输入和$C$门的$D$深度电路，校验时间为$O（C+n\log n）$，校验大小为$0（D\log C+\log ^2 n）$。如果电路是结构化的，验证时间也很简洁，$O（D\log C+\log ^2 n）$。我们的方案只使用轻量级密码原语，例如抗碰撞哈希函数，并且似乎是量子后安全的。我们。。。

我们构造了一个新的有限域上一元和多元多项式的多项式承诺方案，以多项式系数的个数为单位，给出了对数大小的估计证明和验证时间。底层技术是一个丢番图知识论证（DARK），利用多项式和未知阶组的整数表示。强RSA和自适应根假设表明了安全性。此外，该方案不需要。。。

我们提出了一种新的方法来有效地实现简洁的非交互式知识参数（SNARK）的递归组合。在这项工作之前，唯一已知的方法依赖于基于配对的SNARK，该SNARK实例化于配对友好的椭圆曲线的循环，这是一个昂贵的代数对象。我们的方法不依赖于任何特殊的代数对象，而且还获得了新的理想属性：它是“后量子”，它是“透明的”（设置是公共硬币）。我们。。。

我们引入了一种新的高效透明的多项式承诺方案的构造方法。多项式承诺方案允许一方（验证器）使用一个字符串提交预定义次数$d$的多项式，稍后另一方（验证器）可以使用该字符串来确认在特定点对提交多项式的声明评估。效率意味着协议期间验证程序和验证器之间交互的通信成本与发送验证程序相比非常小。。。

本文介绍了Spartan，一个新的零知识简洁非交互知识自变量族（zkSNARKs），用于秩-1约束可满足性（R1CS），这是一种推广算术电路可满足性的NP完备语言。Spartan的一个显著特点是，它为NP提供了第一个没有可信设置的zkSNARK（即透明zkSNarK），其中验证证明会产生次线性成本，而不需要NP语句结构的一致性。。。。

比特币和以太坊等现代加密货币通过将可信中心替换为分布式且仅附加的账本（称为区块链）。然而，由于区块链的公共性，移除这个可信中心会带来巨大的隐私成本。许多现有的加密货币无法提供交易匿名性和机密性，这意味着发送方、接收方和转账金额的地址都可以公开访问。由于隐私问题。。。

我们设计、实现并评估了一个zkSNARK for Rank-1 Constraint Satisfaction（R1CS），这是一种正在进行标准化的广泛部署的NP-complete语言。我们的构造使用了透明设置，似乎是后量子安全的，并且使用了轻量级加密。证明n个约束可满足性的证明的大小为$O（\log^2n）$；它可以用$O（n\log n）$字段操作生成，并用$0（n）$进行验证。在128位的安全性下，证明甚至小于130kB。。。

摘要：本文提出了一种基于威胁分析的自适应安全广播机制（ASBM）。它用新的集体智能概念全面定义了广播系统的安全智能。从安全智能、通信复杂性和计算智能的角度分析了算法机制。ASBM的安全情报定义为身份验证、授权、正确识别、隐私。。。