维克托·舒普
异步公共子集(ACS)问题是分布式计算中的一个基本问题。最近,Das等人(2024年)开发了一种新的ACS协议,该协议具有一些理想的特性:(i)它提供了最佳的弹性,在总共$n$个协议方中,最多可以容忍$t<n/3$个腐败的协议方,(ii)它不依赖于可信的设置,(iii)它仅使用“轻量级”加密,它可以仅使用哈希函数实例化,并且(iv)它具有预期的舍入复杂度$O(1)$和预期的通信复杂度$0(\kappa n^3)$,其中$\kappa$是哈希函数的输出长度。本文的目的是从现代理论密码学的角度对该协议进行详细、完整的阐述和分析,充实了定义和证明的一些细节,基于哈希函数的具体安全假设(即不依赖随机预言)提供完整的安全分析,并在通用可组合框架中开发所有基础理论。
本杰明·萨林·赫瓦斯(Benjamin Salling Hvass)、迭戈·F·阿兰哈(Diego F.Aranha)和巴斯·斯派特(Bas Spitters)
现代密码学的安全性取决于多种因素,从可靠的假设到抵抗副信道密码分析的正确实现。基于曲线的加密在这方面没有什么不同,在过去几十年里,在选择参数和设计安全实现策略方面都取得了实质性进展。在这种情况下,研究文献中有时忽视了场反演实现的安全性,因为(i) 基于费马小定理(FLT)的方法能够满足实际中使用的许多参数的性能要求;(ii)它通常只在密码计算的末尾被调用,对性能影响很小;(iii)安全实施一般参数而不造成重大性能损失是一项挑战。然而,字段反转可以处理敏感信息,并且必须像任何其他加密操作一样使用副通道对策进行保护,正如最近的攻击所示。在这项工作中,我们将重点放在对密码感兴趣的素数实现字段反转,以防定时攻击,而不管基于FLT的反转能否有效实现。我们扩展了Fiat Crypto框架,该框架综合了可证明正确的构造实现,以实现Bernstein Yang反演算法,作为实现这一目标的一步。这允许为任何素数合成素数场反演的正确实现。我们对基于曲线加密的一系列素数的实现进行了基准测试,它们在大多数情况下都优于传统的基于FLT的方法,对于最大参数,观察到的加速比高达2。我们的工作已经在MirageOS单内核操作系统、$\mathtt{zig}$编程语言和ECCKiila框架的生产中使用。
里卡多·隆戈和奇亚拉·斯巴达福拉
在每个选民可以在$M$可能的选择中表达$P$偏好的选举中,Amun协议允许安全地投票,以对抗过激的对手,保留隐私、公平性、端到端可验证性和正确性。在选举之前,每个选民都会收到一张包含有效和诱饵标记的选票:只有有效的标记才有助于最终计票,但它们与诱饵仍无法区分。由于选民是唯一知道哪些标记有效的人(但无法向胁迫者证明),因此不负责任的攻击被挫败。在随机预言模型中,我们在标准决策Diffie-Hellman假设下证明了构造的安全性。
Yuval Ishai和Yifan Song
$f:\{0,1\}^n到\{0,1\}^m$的泄漏恢复电路是一个随机布尔电路$C$,它将输入$x$的随机编码映射到$y=f(x)$的编码,这样,将任何泄漏函数$L\in\cal L$应用到$C$的导线上,基本上都不会显示$x$。容漏电路可以更好地保证,即使$x$和$y$没有受到任何编码的保护,也可以通过将一些$L'\in\cal L$单独应用于$x$或$y$来模拟$L$的输出。因此,对于$\cal L$的泄漏,$C$与$f$的理想硬件实现一样安全。为低复杂性类$\cal L$构建了抗泄漏电路,包括(长度-$t$output)$\mathcal{AC}0$函数、奇偶校验和通信复杂性有限的函数。相比之下,容错电路仅在探测泄漏的简单情况下才为人所知,其中$L$以$C$输出$t$线的值。我们对全局泄漏函数的自然类L$的泄漏容限电路进行了系统研究,获得了以下主要结果。$\textbf{深度1泄漏的泄漏容限电路。}$对于$f$,每个电路$C_f$都可以有效地编译为$f$的$\cal L$容限电路$C$,其中$\call L$包括输出任意数量的线的$t$奇偶性或$t$析取(或者是连接)或其否定值的所有泄漏函数$L$。在平价的情况下,我们的模拟器在$2^{O(t)}$time中运行。我们提供了部分证据,证明这可能是固有的。$\textbf{应用于有状态泄漏恢复电路。}$我们给出了从(无状态)泄漏容忍电路到有状态泄漏修复电路的一般转换。利用这种变换,我们得到了第一个能容忍连续奇偶/析取/合取泄漏的有状态$t$泄漏弹性电路的构造,其中电路尺寸随$t$次二次增长。有趣的是,在这里我们可以得到$\mathtt{poly}(t)$time模拟,即使是在平价的情况下。
隔离-TreeKEM:MLS的连续组密钥协议,在非活动用户面前安全
塞林·雪瓦利埃、吉雷克·勒布伦和安格·马蒂内利
最近标准化的安全组消息传递协议“消息传递层安全性”(MLS)旨在确保大型组内的异步通信,具有几乎最佳的通信成本,并且安全级别与点对点安全消息传递协议(如“信号”)相同。特别是,MLS的核心子协议,即称为TreeKEM的连续组密钥协议(CGKA),必须生成一个通用组密钥,该密钥必须尊重“折衷后安全性”和“前向保密性”的基本安全属性,从而随着时间的推移减轻用户腐败的影响。大多数关于CGKA的研究都集中在如何改进这两个安全属性上。然而,折衷后安全性和前向保密性要求分别由所有折衷用户和组内所有用户积极参与。长期处于脱机状态的非活动用户不再更新其加密密钥,因此对整个组来说都是一个漏洞。MLS标准中已经确定了此问题,但除了在断开连接一段时间后驱逐这些非活动用户之外,没有找到其他解决方案。我们在这里提出了一个基于TreeKEM的CGKA协议与MLS标准兼容,该标准对非活动用户实施“隔离”机制,以减轻这些用户在非活动期间以及从组中删除之前所引发的风险。该机制确实代表非活动用户更新加密密钥,并通过秘密共享方案保护这些密钥。如果一些非活动用户最终重新连接,他们的隔离就会停止,并且能够恢复脱机期间交换的所有消息。因此,我们的“隔离-TreeKEM”协议增加了原始TreeKEM的安全性,通信开销非常有限,有时甚至是负面的。
我脑海中的MQ:非结构化多元二次型问题的后量子签名
Ryad Benadjila、Thibauld Feneuil和Matthieu Rivane
本文提出了一种基于求解多元二次方程组(MQ问题)困难的数字签名方案MQ on my Mind(MQOM)。MQOM已提交给NIST请求,以获得额外的量子后签名方案。MQOM依赖于头部MPC(MPCitH)范式来为MQ构建零知识知识证明(ZK PoK),然后通过Fiat Shamir启发式算法将其转化为签名方案。基本MQ问题是非结构化的,因为定义实例的二次方程组是随机统一绘制的。这是多元密码学中最困难、研究最多的问题之一,因此构成了构建候选后量子密码系统的保守选择。为了有效应用MPCitH范式,我们设计了一个特定的MPC协议来验证MQ实例的解决方案。与其他基于非结构化MQ实例的多元签名方案相比,MQOM实现了最短签名(6.3-7.8 KB),同时保留了非常短的公钥(几十个字节)。其他多元签名方案基于结构化MQ问题(不太保守),这些问题要么具有较大的公钥(例如UOV),要么使用最近提出的这些MQ问题的变体(例如MAYO)。
$\mathsf{FRAST}$:基于随机S盒的TFHE友好密码
Mingyu Cho、Woohyuk Chung、Jincheol Ha、Jooyoung Lee、Eun-Gyeol Oh和Mincheol Son
转码框架也称为混合同态加密,是一种实用的方法,它将同态加密~(HE)方案与客户端-服务器模型中的对称密码相结合,以减少客户端的计算和通信过载。当服务器同态评估此框架中的对称密码时,需要为考虑到HE方案的特定属性的“HE友好”密码提供新的设计原理。在本文中,我们提出了一种新的TFHE友好密码,称为$\mathsf{FRAST}$,它使用基于随机S盒的TFHE-友好循环函数来最小化循环数。通过一种新的优化技术,即双盲旋转,可以在TFHE中有效地计算$\mathsf{FRAST}$的圆函数。结合我们的新WoP-PBS方法,双盲旋转允许在$\mathsf{FRAST}$的循环函数中计算多个S-box调用,而只需一个S-box呼叫。这样,在转换框架的脱机阶段,$\mathsf{FRAST}$在TFHE密钥流评估方面的吞吐量比$\mathf{Kreyvium}$(resp.$\math2f{Elisabeth}$)高2.768$(resp.$10.57$)倍,代价是稍微大一些的通信过载。
基于FPGA的TFHE加速器的NVMe安全计算平台
大叶义弘、三木俊彦、克劳德·格雷维尔和宫原康太郎
在本文中,我们介绍了一种新的安全计算方法,通过实现一个平台,该平台利用基于NVMe的系统,并在主机端使用基于FPGA的Torus FHE加速器、SSD和中间件。我们的平台是同类平台中第一个使用基于FPGA的加速器为TFHE提供完整的安全计算能力的平台。我们定义了安全计算指令来使用TFHE评估14位到14位的函数,我们的中间件允许密文、密钥和安全计算程序的通信,同时通过带有元数据的NVMe命令调用安全计算程序。我们的CMux门实现具有一个优化的NTT/INTT电路,该电路通过预缩放和预转换常数多项式(如引导和专用功能钥匙开关钥匙)来消除NTT之前和INTT之后的操作。我们的性能评估表明,在门引导执行时间方面,我们的安全计算平台比基于CPU和基于GPU的平台分别高出15到120倍和2.5到3倍。此外,与基于CPU的平台相比,我们的平台在门自举执行时间期间使用的电能消耗减少了7到12倍,与基于GPU的平台相比减少了1.15到1.2倍。
改进了非相关环境中Ascon AEAD的条件立方体攻击——使用Break-Fix策略
胡凯
7轮Ascon-128和Ascon-128a AEAD上最著名的区分器使用60维立方体,其中在初始化期间,Ascon状态的第三行和第四行中的nonce位设置为相等(Rohit等人,ToSC 2021/1)。不知道如何使用此区分器来发起密钥恢复攻击。在本文中,我们使用一种称为\textit{break-fix}的针对条件立方体攻击的新策略来研究这个问题。其思想是引入稍微修改的立方体,将7轮输出位的度数增加到59以上(断点相位),然后找到将度数恢复到59的关键条件(固定相位)。利用这一思想,提出了对7轮Ascon-128、Ascon-128a和Ascon-80pq的密钥恢复攻击。这些攻击比现有攻击具有更好的时间/内存复杂性,在某些情况下还改进了弱键攻击。
大卫·波因契瓦尔
通用验证是电子投票方案必须具备的。确保所有球员在整个过程中的诚实行为以及资格至关重要。然而,它不应危及个人投票的隐私,这是另一项主要要求。虽然第一个属性可以防止投票过程中的攻击,但投票的隐私应该永远保持,这就是所谓的永久隐私。普遍可验证性的一个经典方法是将一些证明与加密的选票一起添加,这需要公布后者,而资格需要选票和选民之间的联系:它绝对排除了长期隐私。另一种选择是使用完美的承诺,在此基础上发布证明,而密文则被保密以计算数字。在本文中,我们展示了如何利用最近的线性同态签名来进行所有的证明,从而实现高效的通用可验证性过程,同时具有较强的可接受性和永久保密性。结果和证明公布后,隐私确实是无条件的,而证明的可靠性在代数组模型和随机预言模型中是成立的。
Rune Fiedler和Christian Janson
许多人使用诸如Signal之类的消息应用程序来行使他们的私人通信权。为了应对量子计算的出现,Signal采用了一种称为PQXDH的新初始握手协议,用于量子后保密,同时保持了经典的真实性和可否认性保证。与之前的X3DH相比,PQXDH包括KEM封装和临时密钥上的签名。在这项工作中,我们表明,由于临时密钥上的签名,PQXDH不满足与X3DH相同的可否认性保证。我们的分析依赖于KEM的明文意识,而Signal的PQXDH实现没有提供这一点。对于X3DH,由于协议的不对称性,双方(发起方和响应方)获得了不同的否认保证。为了分析PQXDH,我们引入了一个新的密钥交换拒绝模型,该模型允许进行更精细的分析。我们的否认模型吸收了先前工作的思想,并促进了否认概念的新组合,例如在“大哥”模型中针对恶意对手的否认,即区分者知道所有密钥。我们的模型可能会引起独立的兴趣。
一个矢量控制所有矢量:从UOV方案中的一个矢量恢复密钥
皮埃尔·佩贝雷奥
非平衡油和醋是1999年引入的一种多元签名方案。NIST PQC标准化过程中签名方案的大多数多元候选方案要么基于UOV,要么与UOV密切相关。UOV活板门是一个秘密子空间,即“石油子空间”。我们展示了如何从任意特征的油子空间中的单个向量的知识中恢复等效密钥。通过在随后的计算中添加一些双线性方程,加快了和解攻击的速度,并且能够在找到两个向量后得出结论。我们在这里表明,这些双线性方程包含足够的信息来消除二次方程,并用线性代数检索用于UOV实际参数化的秘密子空间,对于UOV的现代安装,最多需要15秒。这证明了UOV方案的安全性在于在油空间中精确地找到一个向量的复杂性。此外,我们通过应用我们的主要结果的推论,从任何伪造攻击中推断出密钥恢复攻击。我们将展示如何将此结果扩展到与UOV相关的方案,如MAYO和VOX。
布鲁诺·斯特纳
我们提出了一种新的方法来寻找大而光滑的双胞胎。和为素数的双胞胎对某些基于同系的密码系统(如SQIsign)的参数设置很感兴趣。找到这对双胞胎的方法是在$\mathbb{Q}[x]$中找到两个多项式,这两个多项式分裂成一个小度因子的乘积,相差$1$。然后在一个特定的平滑整数上计算它们。Costello、Meyer和Naehrig在EUROCRYPT’21首次使用完全分裂为线性因子的多项式进行了探索,这些线性因子是使用丢番图数论发现的。这项工作中使用的多项式除少数二次因子外,主要分为线性因子。这些线性因子中的一些是重复的,因此整体平滑概率更好或可与先前多项式的平滑概率相比较。我们使用这些多项式来搜索和为素数的大型光滑双胞胎。特别是,我们发现的$384$和$512$位双胞胎的平滑边界比EUROCRYPT'21中发现的要小得多。
解决低秩点特殊轨道的张量同构问题:Asiacrypt 2023承诺方案的密码分析和修复
瓦莱丽·吉尔克里斯特(Valerie Gilchrist)、劳伦·马尔科(Laurane Marco)、克里斯托夫·佩蒂特(Christophe Petit)和唐刚(Gang Tang)
张量同构问题(TIP)已被证明等价于矩阵码等价问题,使其成为构建后量子密码原语的一个有趣的候选者。这些难题已经在协议开发中得到了应用。其中一个是MEDS,目前正在NIST的第一轮呼吁中,以获得额外的量子后数字签名。在这项工作中,我们考虑了一类特殊张量的TIP。这个问题的决策版本的硬度是D’Alconzo、Flamini和Gangemi(Asiacrypt 2023)提出的承诺方案的基础。我们提出了用于特殊轨道TIP的决策和计算版本的多项式时间算法,这意味着承诺方案是不安全的。这些算法的关键观察点是,这些特殊张量包含一些低秩点,并且它们的稳定器组不是平凡的。考虑到TIP安全方面的这些新发展,我们给出了一个基于通用TIP的新承诺方案,该方案是非交互、后量子和统计约束的,不做任何新假设。这种承诺计划目前在文献中尚不存在。
$\mathbb上更高效的零知识协议{Z}(Z)_{2^k}$通过Galois环
林富春、邢朝平、徐艳红、姚一舟
最近一系列关于零知识(ZK)协议的工作采用了基于向量不经意线性函数评估(VOLE)的离线阶段,为具有快速证明和小验证程序内存的可扩展ZK协议提供了一种新的范例。最近,Baum等人(Crypto'23)提出了头部VOLE技术,使此类协议能够公开验证。实现了许多实用有效的协议,用于证明任何Galois域上的电路可满足性,而环$\mathbb上的协议{Z}(Z)_{2^k}$明显落后,只有一个名为Appenzeller to Brie(CCS'21)的概念验证先驱工作和第一个名为Moz$\mathbb的提案{Z}(Z)_{2^k}$arella(Crypto'22)。戒指$\mathbb{Z}(Z)_{2^{32}}$或$\mathbb{Z}(Z)_{2^{64}}$虽然非常重要(它捕获实际编程中的计算和CPU字等计算机体系结构),但也存在一些非平凡的困难,例如,与Galois字段$\mathbb不同{F}(F)_{2^{k}}$,$\mathbb中单位的分数{Z}(Z)_{2^{k}}$是$1/2$。在这项工作中,我们首先在$\mathbb的高度Galois环扩展上构造ZK协议{Z}(Z)_{2^{k}}$(接近$1$的单位的分数),然后将其转换为$\mathbb{Z}(Z)_{2^k}$有效使用摊销技术。我们的结果大大改变了~$\mathbb上ZK协议的前景{Z}(Z)_{2^k}$。(1) 我们提出了一个与之竞争的ZK协议,它比最先进的Moz$\mathbb有很多优势{Z}(Z)_{2^k}$槟榔。我们消除了通信复杂性对安全参数的不良依赖性,并在电路尺寸上实现了通信复杂性严格线性。此外,我们的协议具有更好的具体效率。对于$\mathbb以上的电路,40,80$位的稳健性{Z}(Z)_{2^{32}}$和$\mathbb{Z}(Z)_{2^{64}}$,我们提供$1.15\次$--$2.9\次$的通信改进。(2) 受最近提出的交互式消息认证代码技术(Weng等人,CCS’22)的启发,我们在$\mathbb上构造了一个恒轮ZK协议{Z}(Z)_{2^k}$具有次线性(在电路尺寸中)通信复杂性,这以前仅在字段上实现。(3) 我们通过分析Galois环上潜在LPN假设的硬度,证明了伪随机相关生成器方法可以适用于在Galois环上有效地实现VOLE。(4) 我们采用了VOLE-in-the-head技术,使其以$\mathbb的价格运行{Z}(Z)_{2^k}$,在$\mathbb上生成{\em可公开验证}非交互ZK协议{Z}(Z)_{2^k}$保留了基于VOLE的ZK协议的大多数效率指标。
Ky Nguyen、Duong Hieu Phan和David Pointcheval
近年来,功能加密(FE)在多用户环境中取得了重大发展,尤其是多客户端功能加密(MCFE)。当与访问控制(如基于属性的加密(ABE))相结合时,这一挑战变得更加重要,而FE和MCFE框架实际上并未涵盖这一点。另一方面,对于复杂原语,许多工作都研究了对手的可接受性,以确保安全模型包含所有真实的攻击威胁。在本文中,将公共输入添加到FE/MCFE中,我们涵盖了许多以前的原语,尤其是基于属性的函数类。此外,我们的框架对内部产品功能具有最强的可接受性,因此它非常通用,因为它加密多个子向量,允许重复和破坏,最终还包括公钥FE和经典ABE,将MCFE的私有设置与FE和ABE的公共设置桥接起来。最后,我们提出了一种具有公共输入的MCFE,该MCFE具有一类函数,该类函数结合了LSSS策略的内积(在私有输入上)和基于属性的访问控制(在公共输入上)。我们实现了第一个用于内部产品的AB-MCFE,具有强可接受性和自适应安全性。这也导致了内部产品的MIFE、带有LSSS密钥策略的公钥单输入内部产品FE和用于LSSS的KPABE,具有自适应安全性,而来自CRYPTO’23的Agrawal等人以前的AB-MCFE构造考虑了平均加权和的稍大功能,但仅具有选择性安全性。
Shweta Agrawal、Melissa Rossi、Anshu Yadav和Shota Yamada
在后量子体制中,根据标准硬度假设构造高级密码原语(如模糊处理或广播加密)是一个重要的研究领域,尽管付出了巨大努力,但其成功率有限。因此,在这一制度中找到新的、简单的、可以用来填补这一空白的假设是极为重要的。Wee(Eurocrypt’22)最近采取了一项重要的步骤,他从格中确定了两个新的假设,即回避${\sf LWE}$和张量${\sf-LWE}$s,并使用它们为具有最佳参数的${\sfP}$构造广播加密和基于密文策略属性的加密。独立地,Tsabary提出了一个类似的假设,并用它来构造证人加密(Crypto’22)。继Wee的工作之后,Vaikuntanathan、Wee和Wichs独立提供了证人加密的构造(Asiacrypt’22)。在这项工作中,我们通过为函数类${\sf NC_1}$提供基于多输入属性的加密(${\sf-MIABE}$)的第一个构造来推进这一研究方向,该函数类为避开${\sfLWE}$的任何常量arity。我们的构造可以通过使用回避和适当加强张量${\sfLWE}$来扩展,以支持函数类${\sf-P}$。更详细地说,我们的构造支持任何常量$k$的$k$加密器,其中每个加密器使用主密钥${\sf-msk}$对其输入$(\mathbf)进行编码{x} _ i,m_i)$,密钥生成器为{\sf NC}_1$中的函数$f\计算密钥${\sf sk}_f$,解密程序可以恢复$(m_1,\ldots,m_k)$当且仅当$f(\mathbf{x} _1个,\ldot,\mathbf{x} k(_k))=1$. Agrawal、Yadav和Yamada(Crypto'22)对${\sf NC}_1$的${\sf-MIABE}$的唯一已知构造支持arity$2$,并且除了${\sfLWE}$之外,还依赖于通用组模型中的配对(或非标准知识假设)。此外,由于对配对的依赖,如何使用此方法超越arity$2$完全不清楚。使用Agrawal、Yadav和Yamada(Crypto'22)的编译器,我们的${\sf MIABE}$可以升级为相同arity和函数类的多输入谓词加密。因此,我们从量子后安全的简单假设中获得了广义类(如${\sf NC}_1$或${\sf P}$)的常数arity谓词和基于属性的加密的第一个构造。在此过程中,我们证明了张量${\sf-LWE}$假设在一个以前不知道的重要特殊情况下可以简化为标准的${\sf LWE}$。这为假设的合理性增加了信心,可能会引起更广泛的兴趣。
赵子玉、丁金泰、杨伯阴
本文的重点是解决格问题筛选算法中的内存访问问题。我们对优化后的BGJ筛进行了深入分析(Becker-Gama-Joux 2015),我们的研究结果表明,与渐近最快的BDGL筛相比,其固有结构的存储效率显著提高(Becker Ducas-Gama-Laarhoven 2016)。具体来说,它只需要$2^{0.2075n+o(n)}$流式(非随机)主内存访问即可执行$n$维筛选。我们还提供了证据表明,这种改进的BGJ筛的时间复杂度可能为$2^{0.292n+o(n)}$,或者至少与之非常接近。实际上,它在实际可实现的所有维度上都优于BDGL筛。我们希望,这项研究将有助于解决目前关于大规模基于筛分的晶格攻击中RAM访问开销测量的争论。我们的实现也支持上述概念。事实上,我们在优化的筛选框架内提供了一种基于CPU的优化BGJ筛选高效的时间和内存实现。这种实现可以节省大约40%的RAM使用,并且至少节省$2^{4.5}与之前的4-GPU实现(Ducas-Stevens-Woerden 2021)相比,在门计数方面效率提高了$倍。值得注意的是,我们使用112核心服务器和大约0.87TB的RAM,在30天内成功解决了183维SVP达姆施塔特挑战。以前大多数基于筛选的SVP计算都依赖于HK3筛(Herold Kirshanova 2017),因此,当应用于大规模问题时,该实现可以进一步深入了解这些渐近更快的筛选算法的行为。此外,我们基于该实现对高级副总裁的精确成本估算表明,一些NIST PQC候选人,如Falcon-512,不太可能达到NIST的安全要求。
亚历山大·阿多姆尼卡
本说明提供了ARMv7-M处理器上Keccak性能的更新。从XKCP实现开始,我们应用了特定于体系结构的优化,对于最大的置换实例,这些优化产生了高达21%的性能增益。
Hyunji Kim、Kyungbae Jang、Hyunjun Kim、Anubhab Baksi、Sumanta Chakraborty和Hwajeong Seo
量子计算机可以有效地为经典计算机建模并解决几个具有挑战性的问题,这引起了人们对密码学潜在安全性降低的担忧。NIST已经通过估算此类量子攻击所需的量子资源,在后量子密码的发展中考虑了潜在的量子攻击。本文提出了用于NV筛算法的量子电路,以解决最短向量问题(SVP),该问题是基于格的密码学的安全基础,实现了平方根的量子加速。虽然已经在理论层面上对量子算法在基于格的问题中的应用进行了广泛的研究,但尚未提出具体的量子电路实现。值得注意的是,这项工作表明,在NV筛算法的优化量子实现中,秩70和维数70的格子中SVP所需的量子复杂度为$2^{43}$(总门数和总深度的乘积)。此复杂性大大低于NIST量子后安全标准,其中级别1为$2^{157}$,对应于Grover对AES-128的密钥搜索的复杂性。
Sara Wrótniak、Hemi Leibowitz、Ewa Syta和Amir Herzberg
PKI方案为应用密码协议提供了关键的基础。然而,现实的PKI方案没有严格的安全规范,因此,没有任何PKI方案被证明是安全的。使用PKI的密码系统通过采用过于简化的PKI模型进行分析,通常只需假设安全分配的公钥。鉴于对PKI的广泛依赖,PKI系统的多次故障,以及拟议和部署系统的复杂性,这是一个问题,涉及复杂的需求和模型。我们为PKI方案提出了基于游戏的安全规范,并分析了重要且广泛部署的PKI:PKIX和两种不同的证书透明(CT)。所有PKI都基于X.509v3标准及其CRL撤销机制。我们的分析发现了一些细微的漏洞,并提供了基于简化的证据,表明PKI确保了特定模型(假设)下的特定需求。据我们所知,这是第一个基于约简的真实PKI方案安全性证明,例如支持证书链。
Plinko:通过可逆PRF进行高效更新的单服务器PIR
Alexander Hoover、Sarvar Patel、Giuseppe Persiano和Kevin Yeo
我们研究单服务器私有信息检索(PIR),其中客户端希望从服务器保存的数据库中私有检索第$x$-个条目,而不显示索引$x$。在我们的工作中,我们将重点放在带有客户端预处理的PIR上,客户端可以在脱机阶段计算提示。然后在查询过程中利用这些提示来获得次线性在线时间。我们介绍了Plinko,它是第一个具有客户端预处理的单服务器PIR,能够在客户端存储和所有参数的总(客户端和服务器)查询时间之间取得最佳平衡。我们的方案对任何客户机存储大小$r$使用$t=\tilde{O}(n/r)$查询时间。这将匹配所有参数化的已知下限$r\cdot t=\Omega(n)$到对数因子,而以前的工作只能在$r=\tilde{O}(\sqrt{n})$时匹配下限。此外,Plinko也是第一个可更新的PIR方案,其中条目可以在最坏情况下的$\tilde{O}(1)$time中更新。作为我们的主要技术工具,我们定义了可逆伪随机函数(iPRF)的概念,它将标准PRF推广为配备有效的反演算法。我们提出了一种由单向函数构造iPRF的方法,其中正向求值在$\tilde{O}(1)$时间内运行,反演在逆集(输出)大小内以时间线性方式运行。此外,我们的iPRF构造是第一个对任意域和范围大小(包括小域和范围)保持高效和安全的构造。在单服务器PIR的上下文中,我们表明iPRFs可以用于构造第一个提示集表示,其中可以在$\ tilde{O}(1)$time中查找包含条目$x$的提示。
朱利安·戴夫维、波利娅·法拉普尔、阿兰·帕塞莱、达米安·斯特莱和凯塔·夏加瓦
柳巴舍夫基的签名基于Fiat-Shamir和Aborts范式。它通过重复执行,直到循环迭代没有触发中止,从而将一个具有不可忽略的中止概率的交互式标识协议转换为签名。通过评估哈希函数(在分析中建模为随机预言机)来取代验证器的挑战,从而消除了交互。对随机预言机的访问是经典的(ROM)。量子(QROM),如果有人对针对经典的安全感兴趣。量子,对手。文献中的大多数分析都考虑了一个中止次数有限的设置(即,如果在规定的循环迭代次数内没有输出签名,则签名会失败),而实际的实例化(例如Dilithium)会一直运行到输出签名为止(即,循环迭代次数无限)。在这项工作中,我们强调,在有界和无界情况下,将随机预言与循环迭代相结合会产生许多技术来分析结果方案的正确性、运行时间和安全性。作为第一个贡献,我们揭示了所有现有分析中的错误。然后,我们在有界情况的QROM中提供了两个详细的分析,改编自Kiltz、Lyubashevsky和Shaffner[EUROCRYPT'18]以及Grilo、Hövelmanns、Hülsing和Majenz[ASIACRYPT'21]。在这个过程中,我们证明了底层的$\Sigma$-协议实现了比通常考虑的带有中止的$\Sigma$-protocols更强的零知识属性,从而实现了正确的分析。另一个贡献是对无界中止的情况进行了详细分析,后者引入了一些额外的微妙之处。
量子不经意LWE采样与基于标准模型格的SNARK的不安全性
托马斯·德布雷斯·阿扎德、波利娅·法拉普尔和达米安·斯特雷
错误学习($\mathsf{LWE}$)问题要求从形式$(\mathbf{A},\mathbf{b}=\mathbf1{A}\mathbf2{s}+\mathbf2{e})\in(\mathbb{Z}/q\mathbb{Z{)^{m\timesn}\times(\mat血红蛋白{Z}/g\mathbb{Z})f{e}$具有小幅度条目。在这项工作中,我们不关注求解$\mathsf{LWE}$,而是关注采样实例的任务。由于这些在其范围内极为稀疏,因此似乎唯一可行的方法是首先创建$\mathbf{s}$和$\mathbf{e}$,然后设置$\mathbf{b}=\mathbf{A}\mathbf{s}+\mathbf{e}$。特别是,这样的实例采样器知道解决方案。这就提出了一个问题,即是否可能在不知道底层$\mathbf{s}$的情况下,对$(\mathbf{A},\mathbf1}\mathbf2}+\mathbf2{e})$进行遗忘采样。在一系列工作中,使用了一种不同的假设,即不经意的$\mathsf{LWE}$抽样是困难的,来分析简洁非交互式知识论证(SNARK)候选结构的安全性。由于该假设与$\mathsf{LWE}$有关,因此推测这些SNARK在存在量子对手的情况下是安全的。我们的主要结果是一个量子多项式时间算法在假设$\mathsf{LWE}$很难的情况下,对分布良好的$\mathf{LWE}$实例进行采样,但可以证明不知道解决方案。此外,该方法适用于广泛的$\mathsf{LWE}$参数化,包括上述SNARK中使用的参数化。这使得安全分析中使用的假设无效,尽管它不会对建筑物本身产生攻击。
Prabhanjan Ananth、Zihan Hu和Zikuan Huang
量子信息可用于实现经典方法无法实现的新型密码原语。Ananth、Poremba、Vaikuntanathan(TCC 2023)最近的一项工作重点是为Gentry、Peikert、Vaikontanathan引入的双Regev加密方案配备使用量子信息的密钥撤销功能(STOC 2008)。他们进一步表明,密钥可识别的对偶-Regev方案意味着存在完全同态加密和伪随机函数,两者都具有密钥撤销功能。不幸的是,他们只能基于新的猜想证明他们的方案的安全性,而将密钥可撤销的对偶加密的安全性建立在经过充分研究的假设基础上的问题仍然悬而未决。在这项工作中,我们解决了这个悬而未决的问题。假设具有误差的多项式学习困难度(超过亚指数模),我们证明了密钥可识别的双重里格夫加密是安全的。因此,我们首次取得了以下成果:1.密钥可识别公钥加密和密钥可识别完全同态加密,满足经典的撤销安全性,基于带错误学习的多项式硬度。之前的工作要么没有实现经典的撤销,要么是基于亚指数学习困难的错误。2.密钥可识别伪随机函数,满足对有误差学习多项式硬度的经典撤销。先前的工作依赖于未经证实的推测。
Antonin Leroux和Maxime Roméas
可更新加密(UE)允许在外包存储设置中旋转加密密钥,同时最小化使用的带宽。服务器可以使用客户端提供的令牌将密文更新为新密钥。UE方案应提供强大的保密性保证,以防对手破坏密钥和令牌。本文研究了在组操作框架中构建UE的问题。我们引入了可映射有效组操作(MEGA)的新概念,并证明了通过推广Boyd等人在Crypto 2020的SHINE构造,可以从MEGA中构建CCA安全UE。不幸的是,我们不知道如何在后量子环境中实例化这个新结构。这样做将解决构建CCA安全的量子后UE方案的公开问题。基于异构的群作用是研究最多的量子后群作用。不幸的是,生成的组操作不可映射。我们表明,通过引入一种新的代数结构,即有效三轨道群作用(ETOGA),我们仍然可以从等基因构建UE。我们证明了UE可以从ETOGA构建,并展示了如何从基于isogeny的组操作中实例化这个抽象结构。这种新结构解决了与密文无关的后量子UE中的两个悬而未决的问题。首先,这是第一个支持无限数量更新的后量子UE方案。其次,我们的基于等基因的UE方案是第一个不基于晶格的量子后UE方案。这个新方案的安全性在标准等基因群作用的弱伪随机性的扩展版本下保持不变。
里沙布·戈亚尔
非交互式批处理参数(BARG)允许证明程序计算单个证明$\pi$,以证明$k$\mathbf{NP}$语句$x_1、\ldots、x_{k}$的“批”的有效性。BARG的两个主要特点是简洁和稳健。简洁性表明证明大小$|\pi|$不随$k$增长;虽然稳健性声明多时间作弊证明程序不能为任何无效的语句批创建接受证据。在这项工作中,我们提出了批处理参数可变性的新概念,称为可变性批处理参数。我们的目标是重新考虑如何看待和使用BARG。传统上,BARG证明字符串$\pi$是$k$$\mathbf{NP}$wister$\omega_1、\ldots、\omega_{k}$的不可变编码。在可变BARG系统中,每个证明字符串$\pi$都是原始见证人的可变编码。因此,可变BARG捕获并支持通过批处理证明$\pi$进行计算。我们还研究了可变BARG的新隐私概念,确保可变证明隐藏了所有非平凡信息。这种可变BARG自然非常适合许多隐私敏感应用程序。我们的主要贡献可以概括为:引入可变BARG的一般概念,在BARG上识别新的非平凡可行变异类,根据标准密码假设为这些类设计满足变异隐私的可变BARGs的新构造,以及开发可变BARG在高级签名(如同态签名、可编辑签名和聚合签名)中的应用。我们的结果提高了许多此类签名系统在功能、效率、安全性或多功能性(在密码假设方面)方面的最新水平。
钢琴家:通过完全分布式零知识证明实现可缩放zk汇总
刘天一、谢天成、张佳恒、宋曙光、张玉鹏
在过去十年中,区块链经历了各种金融和技术创新,加密货币的市值超过1万亿美元。然而,可扩展性是阻碍区块链在许多应用程序中部署的关键问题之一。为了提高事务的吞吐量,提出了使用零知识证明的密码原语(ZKP)的zkRollups和zkEVM技术,许多公司正在第二层解决方案中采用这些技术。然而,在这些技术中,ZKP的证明生成是瓶颈,公司必须部署具有TB内存的强大机器来批处理ZKP中的大量事务。在这项工作中,我们通过提出新的全分布式ZKP方案来提高这些技术的可伸缩性。我们的方案可以提高使用多台机器的ZKP的效率和可扩展性,而机器之间的通信是最小的。通过我们的方案,ZKP生成可以在类似于采矿池的模型中分发给多个参与者。我们的协议基于Plonk,这是一个具有通用可信设置的高效零知识证明系统。第一个协议用于数据并行电路。对于使用$M$机器计算每个$T$大小的$M$子电路,校验时间为$O(T\log T+M\log M)$,而单个机器上原始Plonk的校验时间为$O(MT\log(MT))$。我们的协议每台机器只需要$O(1)$通信,验证大小和验证器时间都是$O(1$,与原始Plonk相同。此外,我们还表明,只要稍作修改,我们的第二个协议可以支持具有任意连接的一般电路,同时保持相同的证明、验证和通信复杂性。该技术是通用的,对于ZKP的其他应用可能具有独立的兴趣。我们实现了Pianist(Plonk vIA uNlimited dISTribution),这是一个使用我们的协议的完全分布式ZKP系统。钢琴家可以在64台机器上用313秒生成8192笔交易的证明。这将Plonk方案的可扩展性提高了64$\乘以$。无论机器数量和电路大小如何,每台机器的通信量都只有2.1 KB。验证大小为2.2KB,验证器时间为3.5ms。我们进一步表明,Pianist对通用电路也有类似的改进。在带有$2^{25}$gates的随机生成电路中,使用32台机器生成证明只需5s,比单台机器上的Plonk快24.2$倍。
詹姆斯·巴图塞克和贾斯汀·雷泽斯
秘密共享允许用户将秘密拆分为多个共享,以便只有在收集到授权的共享集时才能恢复秘密。尽管秘密共享通常不需要任何计算难度假设,但其安全性要求对手不能收集授权的共享集。在对手可以从多次数据泄露中获益的较长时间内,这可能成为一个不切实际的假设。我们开始对带有认证删除的秘密共享进行系统研究,以实现安全性,即使是对抗最终收集授权共享集的对手。在带有认证删除的秘密共享中,(经典)秘密$s$被分割成量子共享,可以通过经销商可验证的方式销毁这些量子共享。我们提出了安全的两个自然定义。无恶意安全大致要求,如果多个非通信对手删除了足够多的共享,那么他们的组合视图中包含的有关$s$的信息可以忽略不计,即使整个受损方集构成了一个授权集。自适应安全需要$s$的隐私,以防敌方持续自适应地破坏新共享并删除以前被破坏的共享,只要被破坏的总共享数减去已删除的共享数后仍然未经授权。接下来,我们证明了这些安全定义是可以实现的:我们展示了如何构造(i)对于任何单调的访问结构,具有无符号认证删除的秘密共享方案,以及(ii)具有自适应认证删除的门限秘密共享方案。我们的第一个构造使用Bartusek和Khurana(CRYPTO 2023)的二取二秘密共享方案,并将认证删除作为构建块,而我们的第二个构造是从头开始的,需要一些新的技术思想。例如,我们显著推广了阿加瓦尔、巴图塞克、库拉纳和库马尔(EUROCRYPT 2023)的“XOR提取器”,以便从某些量子熵源中获得更好的无籽提取,并展示了多项式插值如何在我们的阈值共享和认证删除环境中兼作高速随机抽取器。
Isheeta Nargis和Anwar Hasan
我们设计了一种新的MPC协议,用于抵抗具有1/2威慑力的无擦除隐蔽自适应对手。新的MPC协议在渐近通信成本、PKE操作次数和求幂操作次数上与用于抵抗隐蔽静态对手的算术电路的最有效MPC协议相同。这意味着,新的MPC协议几乎可以免费将安全性从隐蔽的静态安全提高到隐蔽的自适应对手。对于多方数量n远大于乘法门数量M的MPC问题,新的MPC协议比最有效的MPC协议渐进地提高了通信复杂度,用于安全地对抗无擦除主动自适应对手的算术电路。
Aram Jivanyan和Karen Terjanian
我们正在为区块链,称为利益和活动证明(PoSA),它可以通过集成来增强传统的权益证明方法独特的活动证明系统。PoSA提供了引人注目的通过奖励促进权力下放的经济模式基于其持有资本和业务的验证器他们为链条贡献的价值。该协议已经已经实现为一个完全免费的区块链平台名为Bahamut(www.Bahamut.io)的网站已经拥有数十万活跃用户。
代理已足够:TLS协议中代理的安全性和AEAD上下文的不可伪造性
未分类
罗忠堂、贾燕雪、沈耀斌、凯特
TLS oracles允许TLS客户端向外部(oracle)节点提供选择性数据来源,从而确保oracle节点的数据确实来自预定义的TLS服务器。通常,客户端/用户以零知识的方式提供其凭据并显示数据,以向预言者演示某些信息,同时确保其余数据的隐私。从概念上讲,这是TLS服务器、TLS客户端(证明程序)和oracle(验证程序)节点之间的标准三方安全计算;然而,TLS预言的关键实际要求是确保数据来源过程对TLS服务器保持透明。最近的TLS oracle协议(如DECO)实施了服务器-客户端验证器的通信模式,并在TLS期间利用了一种新颖的三方握手过程,以确保数据完整性,防止客户端可能的篡改。然而,这种方法会对客户端/验证程序和验证器造成严重的性能损失,并提出了一个问题,即是否可以通过在服务器和客户端之间放置验证器(作为代理)来提高性能,以便验证器始终可以使用正确的TLS转录本。这项工作为这个oracle代理问题提供了积极和消极的答案:我们首先形式化了oracle代理概念,它允许验证者直接代理客户端-服务器TLS通信,而无需进行三方握手或以任何方式干扰连接。然后我们说明,对于常见的基于TLS的高级协议(如HTTPS),验证程序代理的数据完整性是通过HTTP协议语义中内置的变量填充来确保的。另一方面,如果基于TLS的协议没有变量填充,我们将证明无法保证数据完整性。在这种情况下,我们将研究TLS响应是预先确定的,并且在连接期间不能被篡改的情况。我们提出了上下文不可伪造性的概念,并且显示允许克服不可能。我们进一步表明,ChaCha20-Poly1305满足概念,而AES-GCM不符合标准模型。
Shi Bai、Hansraj Jangir、Hao Lin、Tran Ngo、Weiqiang Wen和Jinwei Zheng
模块NTRU问题,由Cheon,Kim介绍,Kim,Son(IACR ePrint 2019/1468)和Chuengsatiansup,Prest,Stehlé,Xagawa钱包(ASIACCS’20)概括了通用NTRU假设-选项。其主要优势之一在于能够提供更大的灵活性-参数的ity,例如基础环维度。在这项工作中,我们提出了几种基于格的加密方案,它们是IND-CPA(或OW-CPA)在基于模块-NTRU的标准模型中安全以及模块-LWE问题。利用Fujisaki-Okamoto变压器-mation,可以获得IND-CCA安全密钥封装方案。我们的第一个加密方案基于Module-NTRU假设,它使用下面环上的秘密矩阵的行列式用于解密。我们的第二个方案类似于模块-LWE加密方案,但仅使用矩阵作为公钥,基于模NTRU问题的向量变量。最后,我们综合分析已知攻击并提出具体参数-用于实例化的ters。特别是,我们的密文大小约为614NIST 1级(5级)安全和小型(1228)字节解密失败,使其与最新的方案(如张、冯和严提出的建议(亚洲青年队'23)。我们还提供NIST 3级的几个竞争参数,该级别具有ci-921字节的信息文本大小。此外,我们的方案不要求具体用于明文编码和解码的代码。
Hoang-Dung Nguyen、Jorge Guajardo和Thang Hoang
私有信息检索(PIR)允许客户端以隐私保护的方式查询托管在不受信任服务器上的公共数据库中的条目。传统的PIR模型由于整个数据库的隐私处理,计算和/或带宽成本较高。最近,有人建议在线-离线PIR(OO-PIR)来提高PIR的实用性,其中预先计算与查询无关的材料,以加速在线访问。虽然最先进的OO-PIR方案(例如,S&P’24、CRYPTO’23)成功地将在线处理开销降低到次线性,但它们仍然给客户端带来了可持续的带宽和存储负担,尤其是在操作大型数据库时。在本文中,我们提出了Pirex,一种新的OO-PIR方案,在保持次线性服务器处理效率的同时,具有卓越的客户端性能。具体来说,Pirex为客户提供了次线性处理、最小入站带宽和低存储要求。我们的Pirex设计相当简单但高效,其中大多数操作自然是低成本和精简的(例如XOR、PRF、模块运算)。我们已经全面实施了Pirex,并使用商品硬件评估了其真实性能。我们的实验结果表明,Pirex比现有的OO-PIR方案至少优越两个数量级。具体来说,对于1 TB的数据库,Pirex只需要0.8s就可以查询256 KB的条目,而最先进的数据库需要30-220秒。
曹甘源
除了保密性和完整性的要求外,健壮性已成为认证加密的一个重要标准。我们引入了一个新的概念,称为IND-CCLA,从解密泄漏的角度来形式化认证加密的鲁棒性。这个概念是对AEAD方案中定义的常见概念的扩充,它考虑了由于解密失败(包括候选明文和错误消息)而导致的潜在泄漏的不可区分性,特别是在存在多个失败条件的情况下。利用这个概念,我们研究了单个错误解密函数与解密过程中实际泄漏之间的差异。我们引入错误唯一性的概念,以要求仅公开一个错误,无论是显式解密还是隐式泄漏,即使存在多个失败条件。这样做的目的是减轻通过泄漏泄露多个错误导致的安全问题。我们进一步将这个概念扩展到IND-sf-CCLA,以形式化涉及无序密文的状态安全。通过我们的概念,我们对Encode-then-Encipher范式的健壮性提供了具体的证明,以证明其能够接受多种故障条件。此外,我们还简要介绍了从我们的概念到可模拟概念的转换,这有助于进一步研究有关解密泄漏的可组合安全性。
Choi Wonseok、Jooyoung Lee和Yeongmin Lee
本文研究了Chen等人在ASIACRYPT’21中分类的MAC结构的安全性。准确地说,$F^{text{EDM}}{B_2}$(或在CRYPTO中由Coglati和Seurin命名的$\mathsf{EWCDM}$)、$F^}\text{EDM{}{B_3}$、$F_{text{SoP}}{B2}$、$F^{text{SoP{}}{B3}$(均由Chen等人命名)在非相关设置中被证明是完全安全的,最多可达$2^n$MAC查询,改进了$\frac{3n}{4}的上一个界$-bit安全性。特别是,$F^{\text{SoP}}_{B_2}$和$F^}\text{SoP}}{B_3}$随着具有重复nonce的查询数量的增加(当底层通用哈希函数满足称为耐多异或碰撞的特定属性时),性能会有很好的下降。为此,我们开发了一个新的工具,即基于两个独立置换的扩展镜像理论,该置换范围很广,包括不等式。此外,我们给出了从标准模型中的单用户安全边界到理想密码模型中的多用户安全边界的一般半黑盒约简,得到了比朴素混合参数更好的边界。这种简化适用于我们在本文中考虑的所有MAC构造,甚至可以更广泛地应用。我们还使用$O(2^{3n/4})$MAC查询和$O(1)$验证查询,而不使用重复的nonce,对$F^{\text{EDM}}_{B_4}$和$F^}\text{EDM}}{B_5}$进行匹配攻击。
安德烈·沙约和托马斯·德布里斯·阿扎德
理解给定最小距离的代码的最大大小是计算机科学和离散数学中的一个主要问题。找到这类代码的渐近界最有成效的方法是使用Delsarte的关联方案理论。通过这种方法,Delsarte构造了一个线性程序,使得其最大值是给定最小距离的代码最大大小的上界。可以通过找到相应的对偶线性规划的解来限定该值。Delsarte的理论非常普遍,远远超越了二进制代码。在这项工作中,我们在关联方案的框架中提供了泛界,它推广了Hamming界和Elias-Bassalygo界,可以应用于由距离函数构造的任何关联方案。这些边界是通过构造Delsarte对偶线性规划的新解获得的。我们实例化这些结果,并恢复$q$ary码和恒宽二进制码的已知边界,但这些边界不是来自线性程序方法。我们的另一个贡献是,对于任何$Q$-多项式方案,恢复Delsarte对偶线性程序的MRRW型解,这些解的灵感来自Friedman和Tillich的Laplacian方法,而不是使用Christoffel-Darboux公式。我们特别展示了如何在这个框架中解释第二个线性规划界。
沃德·贝伦
2017年,Petzoldt、Szepieniec和Mohamed提出了一个基于多元密码的盲签名方案。这项工程已由其他几项工程扩建。这篇短文表明,它们的构造容易受到有效的多项式时间攻击。问题是,作者隐含地假设,对于随机多元二次映射$\mathcal{R}:\mathbb{F} (_q)^m\rightarrow\mathbb{F} (_q)^m$和抗冲突散列函数$H:\{0,1\}^*\rightarrow\mathbb{F} (_q)^m$,函数$\mathsf{Com}(m;\mathbf{r}):=H(m)-\mathcal{r}(\mathbf2})$是一个绑定承诺,但事实并非如此。有一种“民间传说”算法,可以用于在给定任何一对消息的情况下,有效地生成对双方开放的承诺。我们希望通过指出多元二次映射不具有约束性,将来可以避免类似的问题。
ROM中具有无条件UC-Security的zkSNARK
亚历山德罗·基耶萨和贾科莫·芬奇
通用可组合性(UC)框架是加密安全的“黄金标准”。UC-secure协议对强大的自适应对手实现了强大的安全保障,并在用作大型协议的一部分时保留了这些保障。零知识简洁的非交互知识参数(zkSNARK)是一种流行的加密原语,通常用于部署在动态环境中的大型协议中,因此UC安全性是一个非常理想的目标(如果不是必要的话)。本文证明了随机预言模型(ROM)中存在无条件实现UC安全的zkSNARK。在这里,“无条件”意味着安全性可以抵御那些对随机预言机进行有限数量查询,但在其他方面计算量是无限的对手。以前研究zkSNARK的UC安全性的工作获得了依赖于计算假设的变换,在许多情况下,失去了zkSNARK的大部分简洁性。此外,这些变换使生成的zkSNAR更加昂贵和复杂。相反,我们证明了ROM中广泛使用的zkSNARK是UC安全的,没有修改。我们证明了Micali构造,即zkSNARK的规范构造,是UC安全的。此外,我们证明了在实践中部署的许多zksnark所基于的BCS构造是UC安全的。我们的结果证实了这样一种直觉,即这些自然的zkSNARK不需要被增强以实现UC安全性,并使人们相信它们在更大的现实世界系统中的使用是安全的。
斯利姆·贝塔伊布、亚历山德罗·布德罗尼、马可·帕伦比和德西奥·路易斯·加佐尼·菲略
排列的排名函数将长度为$n$的每个排列映射为$0$到$n!之间的唯一整数-1$. 对于密码应用程序中感兴趣的大小排列,评估这样的函数需要多精度算法。这项工作引入了一种准最优排序技术,它允许我们在不需要多精度算术库的情况下对置换进行有效排序。我们的实验表明,与标准词典最优排列排序相比,我们的方法具有计算优势。作为我们结果的应用,我们展示了该技术如何提高PERK数字签名方案的签名大小和效率。
阿米特·阿加瓦尔(Amit Agarwal)、斯坦尼斯拉夫·佩奇尼(Stanislav Peceny)、玛丽亚娜·雷科娃(Mariana Raykova)、菲利普·肖普曼(Phillip Schoppmann)和卡恩·塞思(Karn Seth)
我们提出了一种新的结构,使双方能够安全地在私人秘密共享数据上训练逻辑回归模型。我们的目标是最大限度地减少在线通信和轮询复杂性,同时仍然允许有效的离线阶段。作为我们建设的一部分,我们开发了许多具有独立利益的构件。其中包括一种新的sigmoid函数近似技术,该技术可产生具有更好通信的安全协议,用于安全功率评估和定点值的安全样条计算的协议,以及一种优化在线通信的新比较协议。我们还提出了一种新的两部分协议,用于通过算术共享为分布式点函数(DPF)生成密钥,其中以前的构造仅对布尔输出执行此操作。我们在端到端系统中实现协议,并对其效率进行基准测试。我们可以安全地评估一批10 ^3美元的sigmoid,其中大约0.5美元的在线通信,4美元的在线轮次,以及大约1.6美元的WAN在线时间。与众所周知的MP-SPDZ协议相比,在线通信减少了大约30倍,在线轮次减少了大约31倍,在线时间减少了大约5.5倍。我们的系统可以训练一个超过$6$epoch的逻辑回归模型,以及一个包含$70000$samples和$15$features的数据库,其中在线通信$208.09$MB,在线时间$9.68$minutes。我们将我们的逻辑回归训练与MP-SPDZ在一个包含$1000$样本和$10$特征的合成数据集上进行了比较,结果表明,在WAN上,在线通信和在线时间分别提高了$130倍和$4.75倍。在所有情况下,我们都收敛到与明文几乎相同的模型。我们开源了我们的系统,并进行了广泛的测试。
阿南特·夏尔马(Anant Sharma)、努普尔·德什潘德(Nupur Deshpande)、桑奇塔·戈什(Sanchita Ghosh)、斯列塔马·达斯(Sreetama Das)和什巴达斯·罗伊(Shibdas Roy)
旅行推销员问题是在城市网络中找出最短路线的问题,销售人员需要旅行到所有城市,而不需要多次访问同一个城市。这个问题被称为$NP$-难问题,对于$N$个城市来说,其强制复杂性为$O(N^N)$或$O(N2N})$。这个问题相当于找出给定图中最短的哈密顿循环,如果其中至少存在一个哈密顿循环。这个问题的量子算法通常只使用Grover搜索提供二次加速,从而具有$O(N^{N/2})$或$O(N^N)$的复杂度。我们提出了一种解决该问题的有界误差量子多项式(BQP)算法,具有指数加速。我们算法的总体复杂度为$O(N^3\log(N)\kappa/\epsilon+1/\epsilon^3)$,其中错误$\epsillon$是$O(1/{rm poly}(N))$,$\kappa$是编码所有哈密顿圈的矩阵的非大条件数。
提高高保证密码学的性能:在正式验证的线性点零知识中并行执行和优化内存访问
Samuel Dittmer、Karim Elderfrawy、Stéphane Graham-Lengrand、Steve Lu、Rafail Ostrovsky和Vitor Pereira
尽管加密协议的高保证、验证实现的开发取得了显著进展,但此类实现通常会面临巨大的性能开销,特别是由于正式验证和可执行代码的自动提取带来的惩罚。在本文中,我们通过提出一种形式化的处理方法来解决计算机辅助密码学面临的一些核心性能挑战,该方法基于涵盖并行性和内存访问的多个通用优化来加速此类验证实现。我们以Line-Point-Zero-Knowledge(LPZK)协议为例,说明了解决此类性能瓶颈的技术。我们的出发点是一个新的LPZK验证实现,我们使用EasyCrypt对其进行形式化和综合;我们的第一个实现是为了减少证明工作量,并且不考虑提取的可执行代码的性能。然后,我们将展示如何通过三种不同的方式优化此类(自动)提取的代码,以获得3000x的加速比,从而匹配LPZK的手动实现的性能。我们首先修改算法规范,然后采用可证明安全的并行执行模型,最后优化内存访问结构,从而获得这样的性能提升。所有优化首先在EasyCrypt中进行正式验证,然后从形式化的每个步骤自动合成可执行代码。对于每一次优化,我们都会分析由此产生的性能增益,并解决计算机辅助安全证明所面临的挑战,以及通过这种优化自动合成可执行代码所面临的挑战。
Isheeta Nargis和Anwar Hasan
在隐蔽对手模型中,腐败方可以以任何可能的方式表现为主动对手,但任何试图作弊的一方都会以最小的固定概率被诚实方抓住。这种概率被称为隐蔽对手模型的威慑因子。在安全方面,隐蔽对手强于被动对手,弱于主动对手。它比被动对手模型更现实。针对隐蔽对手的协议比针对主动对手的协议效率更高。隐秘对手模型仅针对静态破坏进行定义。自适应对手模型比静态对手更真实。在本文中,我们通过推广隐蔽对手模型的定义,定义了一种新的对手模型,即隐蔽自适应对手模型,以适应更现实的自适应腐败。我们证明了新的隐蔽自适应对手模型与现有的对手模型(如被动自适应对手模型、主动自适应对手模型)之间的安全关系对手模型和隐蔽静态对手模型。我们证明了新对手模型的序列合成定理,这对于实现新对手模型协议的模块化设计是必要的。
Hans Schmiedel、Runchao Han、Qiang Tang、Ron Steinfeld和Jiangshan Yu
有针对性的拒绝服务(DoS)攻击一直是一个实际问题用于无许可区块链。潜在解决方案,如随机采样,被区块链所采用。然而,相关的安全保障只是在之前的工作中进行了非正式讨论是因为现有的对手模型不是完全捕获此攻击或放弃某些设计选择(如在睡眠模型或异步网络模型中),或者太强而无法切合实际(就像在移动拜占庭对手模式中一样)。本文提供了理论基础和所需特性用于抵抗目标DoS攻击的共识协议。特别是,我们定义移动崩溃自适应拜占庭(MCAB)模型来捕获此类攻击。此外,我们在MCAB模型下,识别并形式化共识协议的两个属性,并分析它们的权衡。作为案例研究,我们证明了Ouroboros Praos和Algorand在我们的MCAB模型中是安全的,提供了第一个正式的证据来支持它们对目标DoS攻击的安全保障,而这些之前只是非正式讨论过的。我们还演示了我们的属性的一个应用程序,以保护简化的BFT协议(链式Hotstuff)免受目标DoS攻击。
陈玉龙、巴特·梅宁克和巴特·普雷尼尔
针对物联网等环境,提出了越来越多的轻量级分组密码。降低实现成本的一个重要贡献是块长度n为64或96位,而不是128位。因此,加密模式和消息身份验证码(MAC)算法需要超出2^{n/2}生日界限的安全性。本文对MAC算法进行了广泛的研究,这些算法为不尊重和不滥用对手提供了超越生日限制的PRF安全。我们研究了使用两个分组密码调用、一个通用散列函数调用和任意数量的异或操作的构造。我们从基于两个分组密码调用的通用识别所有可能的安全n到n位伪随机函数(PRF)的单独问题开始。分析表明,现有结构EDM、SoP和EDMD是此类结构中唯一实现超越生日限制安全性的结构。随后,我们对MAC算法进行了详尽的处理,其中消息的通用哈希函数计算结果可以在PRF计算的任何点输入。我们得出的结论是,总共有九个方案实现了超越生日限制的安全性,还有十分之一的结构无法使用当前已知的证明技术进行验证。对于前九种MAC算法,三种构造在非相关设置下实现了最佳的n位安全性,但如果重用非相关设置,则完全不安全。其余六种结构在非尊重设置中具有3n/4位安全性,在非尊重的情况下,这六种结构中只有四种结构仍然能够实现超越生日限制的安全性。
安娜丽莎·巴巴拉、亚历山德罗·基耶萨和关子怡
随机预言模型(ROM)中的相对化简洁参数是ROM中的简洁参数,可以证明/验证涉及对随机预言的查询的计算的正确性。我们证明ROM中不存在相对化的简洁参数。即使简洁的论证是相互作用的,即使稳健性是计算性的(而不是统计性的),也不可能发生。这种不可能性奠定了一种正式的基础,即人们普遍认为简洁的论点需要非相对化的技巧。此外,我们的结果与其他预言模型形成了鲜明对比,最近的一系列工作已经为其构建了相对化简洁的非交互参数(SNARG)。事实上,相对化SNARG是一种强大的原语,例如,可以用于基于可伪造的密码假设来获得IVC(增量验证计算)和PCD(证明数据)的构造。我们的结果排除了ROM中IVC和PCD的这种方法。
让攻击者编程理想模型:适应性妥协的模块化和可组合性
约瑟夫·杰格
我们表明,Jaeger和Tyagi(Crypto'20)的自适应折衷安全定义不能应用于多种自然用途。这些包括从单用户安全性证明多用户安全性,级联PRF的安全性,以及共享相同理想原语的方案的安全性。我们提供了定义的新变体,并表明它们通过组合解决了这些问题。将这些定义扩展到非对称设置,我们在完全自适应折衷设置中建立了模块化KEM/DEM和Fujisaki-Okamoto公钥加密方法的安全性。这使得实例化比以前的构造更高效、更标准。
陈一雷、李佳图
最近的一系列研究引入了一种系统方法,通过使用元问题来探索显式构造问题的复杂性,即范围回避问题(abbrev.$\textsf{Avoid}$)和远程点问题(absrev.$\textsf{RPP}$)。这些元问题的上下界提供了一个统一的视角,以了解先前独立研究的特定显式构造问题的复杂性。一个有趣的问题是,$\textsf{Avoid}$和$\textsf{RPP}$对于简单电路(如低深度电路)是否很难实现。在本文中,我们证明了在合理的密码假设下,即使输入电路像等深电路一样简单,距离回避问题和远程点问题也不能用非确定性搜索算法有效地解决。这扩展了Ilango、Li和Williams(STOC’23)针对对$\textsf{NP}$使用见证加密的确定性算法所建立的硬结果,其中$\textsf{Avoid}$的输入是通用布尔电路。我们的主要技术贡献是,受$\textsf{NP}$中特定承诺语言的公钥加密启发,构建了一种新的见证加密结构,这种结构不太可能是$\textsf{NP}$-完成的。我们引入了一种通用方法,将具有特定属性的公钥加密方案转换为与初始公钥加密方案相关的承诺语言的见证加密方案。基于这种转换和标准的基于格或基于编码的PKE方案的变体,我们在合理的假设下,获得了$\textsf{NP}\setminus\textsf中某些承诺语言的可证明安全的见证加密方案{coNP}_{/\textsf{poly}}$。此外,我们还表明,根据Rudich的超比特(RANDOM’97)的精神,在广义安全概念下,我们构造的见证加密对于不确定的对手来说似乎是安全的,这对于证明$\textsf{Avoid}$和$\textsf{RPP}$对于不确定算法的硬度至关重要。
Boris Chan Yip Hon、Billel Zaghdoudi、Maria Potop-Butucaru、Sébastien Tixeuil和Serge Fdida
我们为叙事游戏提出了Challenger一种基于对等区块链的中间件架构,并讨论了其对欺骗攻击的弹性。我们的体系结构以完全分散的方式协调九个服务,其中节点不知道系统的整个组成及其大小。所有这些组件组合在一起,以获得对作弊者的(强大)弹性。本文的主要贡献是首次提供了一个与特定区块链无关的叙事游戏架构,该架构汇集了几个不同的研究领域,即分布式账本、对等网络、多层在线游戏和抵御攻击的能力。
LightMAC和LightMAC_Plus的多用户安全性
Nilanjan Datta、Shreya Dey、Avijit Dutta和Devdutto Kanungo
在FSE’16中,Luykx等人提出了$\textsf{LightMAC}$,该方法可证明实现了与查询长度无关的PRF安全边界。准确地说,当使用两个独立键控的$n$-位块密码实例化时,构造实现安全性的顺序大致为$O(q^2/2^n)$,$q$是对手进行的查询总数。随后,在ASIACRYPT’17中,Naito提出了$\textsf{LightMAC}$构造的超越生日变体,称为$\textsf{LightMAC_Plus}$,该变体建立在三个独立键控$n$-位块密码之上,实现了$2n/3$-位PRF安全性。这两种构造的安全性分析都是在单用户环境中进行的,我们假设对手可以访问构造的单个实例。在本文中,我们首次研究了多用户设置上下文中$\textsf{LightMAC}$和$\textsf{LightMAC Plus}$构造的安全性,其中我们假设对手可以访问该构造的多个实例。特别是,我们已经表明,在理想密码模型中,$\textsf{LightMAC}$保持大约$2^{n/2}$构造查询和$2^k$理想密码查询的安全性,而在理想密码模式中,$\textsf{LiightMAC_Plus}$保持约$2^}$构造搜索和$2${2k/3}$理想密码搜索的安全性,其中$n$表示块大小,$k$表示块密码的密钥大小。
何哲远、李子豪、杨森、姚乔、张晓松、罗霞浦、陈婷
大型语言模型(LLM)已经成为网络安全各个领域的强大工具。尤其是,最近的研究越来越多地探索应用于区块链安全(BS)背景下的LLM。然而,对于LLM对区块链安全的全部应用范围、影响和潜在约束,在全面理解方面仍然存在差距。为了填补这一空白,我们进行了一项文献综述,重点是将LLM应用于区块链安全(LLM4BS)的研究。我们的研究旨在全面分析和理解现有研究,并阐明LLM如何有助于增强区块链系统的安全性。通过对现有文献的彻底研究,我们深入研究了LLM在区块链安全各个方面的集成。我们探索了LLM支持区块链安全的机制,包括它们在智能合约审计、交易异常检测、漏洞修复、智能合约程序分析以及作为加密货币社区参与者中的应用。此外,考虑到可扩展性、隐私问题和道德问题等因素,我们评估了与利用LLM增强区块链安全相关的挑战和限制。我们的全面审查揭示了LLM4BS任务的机会和潜在风险,为研究人员、从业者和决策者提供了宝贵的见解。
齐鹏、朱金浩、海伦·摩尔林、郑文婷和托马斯·施奈德
变压器的出现给传统机器学习任务带来了重大进步。然而,它们的广泛部署引发了人们对推理过程中敏感信息潜在泄漏的担忧。由于广泛的模型尺寸和资源密集型矩阵-矩阵乘法,使用安全多方计算(MPC)的现有方法在应用于变压器时面临局限。在本文中,我们提出了BOLT,这是一个用于变压器模型的隐私保护推理框架,支持有效的矩阵乘法和非线性计算。结合我们新颖的机器学习优化,BOLT将通信成本降低了10.91倍。我们对不同数据集的评估表明,与最先进的系统相比,BOLT保持了与浮点模型相当的精度,并在各种网络设置下实现了4.8-9.5倍的推理速度。
在一个中间相遇的框架下实现大规模超级垄断复苏——改进对Trivium和Kreyvium的立方体攻击
何家辉、胡凯、郝磊、王美琴
立方体攻击通过恢复输出比特中与明文/IV子集(称为立方体)相关的称为超多边形的系数来提取密钥比特的信息。虽然分割特性提供了一种有效的方法来检测超级聚乙烯的结构,但如果轮数足够高,超级聚乙烯的回收成本仍可能高得令人望而却步。特别是,核心Monomial Prediction(CMP)是在ASIACRYPT 2022上提出的,作为Monomial Prediction(MP)的缩小版本,它为了效率而牺牲了准确性,但最终停留在848发\三价。本文通过阐明核心单项式轨迹的代数意义,为CMP提供了新的见解。我们证明,通过提取所有核心单项式轨迹(一种仅基于CMP的方法)来恢复超多边形就足够了,从而证明CMP可以像MP一样获得完美的精度。我们进一步揭示了CMP本质上仍然是MP,但在目标函数上具有可变替换。受先前文献中广泛使用的分治策略的启发,我们设计了一个中间会议(MITM)框架,其中可以嵌入基于CMP的方法来实现加速。为了说明这些新技术的威力,我们将MITM框架应用于trivium、grain和kreyvium。因此,不仅可以减少先前的超级聚合回收计算成本(例如,192轮超级聚合回收速度快5倍),而且我们还成功回收了最多851轮超级聚合和最多899轮超级聚合。这分别超过了之前的最佳成绩3轮和4轮。使用EUROCRYPT 2021提出的节省内存的M“obius变换,我们可以对目标密码执行密钥恢复攻击,即使超级多边形可能包含超过$2^{40}$单项式。这将导致对目标密码的最佳立方体攻击。
ASOZ:一个在公共区块链上具有隐私保护和审计功能的去中心化支付系统
刘天健、张大伟、王伟、陈昌
近年来,分散支付系统逐渐受到更多关注。通过删除用于会计分类账的可信中介,这些支付系统从根本上授权用户控制其资产。随着隐私问题的加剧,一些加密货币被提议用于保护用户的隐私。然而,这些加密货币也无意中助长了洗钱、欺诈交易等非法活动,因此有必要设计审计方案。为了解决这个问题,人们提出了许多隐私保护和审计方案。然而,目前还没有有效解决用户身份和事务值的隐私保护和审计问题的方案。在本文中,我们提出了一个名为ASOZ的分散支付系统的设计。我们使用基于Merkle树的密码累加器进行记帐,并结合使用Twisted ElGamal、非交互式零知识(NIZK)、Bulletproof和zk-SNARK进行隐私保护和审计。我们的方案在全球混合中实现了全事务审计,而引入的额外成本保持在可接受的范围内,特别是证明生成时间增加了8%,验证时间增加了23%。我们的方案能够处理指定合约市场等大规模交易场景,并在硬币混合器方案中提供最强的隐私保护功能。
$\mathsf{OPA}$:单客户端交互的一快照私有聚合及其在联合学习中的应用
Harish Karthikeyan和Antigoni Polychroniadou
我们的工作旨在最大限度地减少安全计算中的交互,这是因为通信回合的高成本和挑战,特别是在有许多客户端的情况下。在这项工作中,我们重新讨论了单服务器设置中的安全聚合问题,在这种情况下,单个评估服务器可以安全地聚合客户端的各个输入。我们的主要贡献是One-shot Private Aggregation($\mathsf{OPA}$),在每个聚合评估中,客户端只发言一次(甚至选择不发言)。由于每个客户端在每次聚合中只进行一次通信,这简化了对退出和客户端动态参与的管理,与每个聚合的多轮最新协议形成了对比。我们以多种方式启动了对$\mathsf{OPA}$的研究。首先,我们将模型形式化,并给出一个安全定义。其次,我们基于类组、DCR和LWR假设构造$\mathsf{OPA}$协议。第三,我们用两个应用程序演示了$\mathsf{OPA}$:私有流聚合和保持隐私的联邦学习。具体来说,$\mathsf{OPA}$可以用作关键构建块,以启用隐私保护的联合学习和批判性学习,其中客户端只需发言一次。这与之前由Bonawitz等人发起的多轮协议大相径庭。(CCS,2017)。此外,与用于一般安全计算的YOSO(You Only Speak Once)模型不同,$\mathsf{OPA}$消除了复杂的委员会选择协议,以实现自适应安全性。除了渐进改进之外,$\mathsf{OPA}$是实用的,优于最先进的解决方案。我们利用$\mathsf{OPA}$开发一个名为$\mathf{SOPA}$的流变体,作为隐私保护联邦学习的构建块。我们利用$\mathsf{SOPA}$为两个数据集构造逻辑回归分类器。新的分布式密钥同态PRF是我们构造$\mathsf{OPA}$的核心。该关键组件解决了Boneh等人(CRYPTO,2013)在之前的工作中依赖DDH和LWR的工作中观察到的缺点,将其作为对我们工作的独立贡献。此外,我们还基于类组或DCR或LWR假设提出了新的分布式密钥同态PRF。
Maioran-McFarland型函数的高效硬件实现
Anupam Chattopadhyay、Subhamoy Maitra、Bimal Mandal、Manmatha Roy和Deng Tang
Maiorana——McFarland型构造基本上是将线性函数的真值表连接到较少数量的变量上,以在较大输入上获得高度非线性的真值。此类函数及其不同变体具有重要的密码学和编码理论应用。使用解码器直接硬件实现此类功能(Khairallah等人,WAIFI 2018;Tang等人,SIAM离散数学杂志,2019)需要输入数量的指数资源。在本文中,我们详细研究了这种构造,并为此类的一个选定子集提供了实现策略,该子集在输入数量上具有多项式多门。我们证明,这种实现在很大程度上涵盖了加密原语的需求。在这个方向上,我们重新审视了一些现有的结构,并提供了具体的实现深度和硬件实现的门计数。在这方面,还分析了理论性质的相关组合结果。最后,我们提出了一类新的平衡布尔函数的新结构,该函数具有很低的绝对指标和很高的非线性,可以在输入数量上的多项式电路中实现。我们强调,这些构造在抵抗差分错误攻击(DFA)中的签名生成以及在为全同态加密(FHE)范式设计密码时对大量变量实现函数方面具有直接的应用。
Tim Beyne和Michiel Verbauwhede
提出了一种分析可除性的系统方法。在积分密码分析中,可除性属性在总和为零的比特(可除性为2)和饱和比特(可除以性为$2^n$输入的$2^{n-1}$)之间进行插值。从理论角度出发,我们构造了一种新的密码分析技术,即线性密码分析的非阿基米德乘法模拟。它将积分密码分析提升到特征零,即如果所有量都被降为模2,那么其中一个恢复了积分密码分析的代数理论。这项新技术导致了一种轨迹理论。我们开发了一种基于离线求解器的工具,该工具可以自动分析这些轨迹,并使用它来显示PRESENT和SIMON上的许多积分区分器比预期的更强。
尼哈·贾瓦卡尔、卡纳夫·古普塔、阿卡普拉瓦·巴苏、尼珊·钱德兰、迪维亚·古普塔和拉胡尔·夏尔马
安全的两方计算(2PC)允许双方在不向对方透露其输入的情况下计算其私人输入的任何函数。在2PC的离线/在线模型中,在预处理(离线)阶段生成独立于所有计算输入的相关随机性,一旦各方的输入可用,则在在线阶段使用该随机性。大多数2PC工作的重点是优化在线时间,因为此开销位于关键路径上。一种最新的以低在线成本获得高效2PC协议的范式是基于函数秘密共享(FSS)的密码技术。我们构建了一个端到端系统ORCA,用GPU加速基于FSS的2PC协议的计算。接下来,我们观察到此类加速协议的主要性能瓶颈在于存储(由于大量相关随机性),我们为ML中的几个关键功能设计了新的基于FSS的2PC协议,将存储量减少了5倍。与在相同计算模型(PIRANHA,Usenix Security 2022)中使用GPU加速的先前最先进的安全训练相比,我们表明ORCA具有4%的高精度,98倍的低通信量,在CIFAR-10上的速度是26倍。此外,在使用定点的同时保持训练的准确性需要随机截断,而以前所有关于安全定点训练的工作(包括PIRANHA)都使用了不安全的协议。我们为随机截断提供了第一个安全协议,并在此基础上提供了首个具有端到端安全性的训练评估。对于安全的ImageNet推理,ORCA为VGG-16和ResNet-50实现了亚秒延迟,比最先进的延迟高8−103倍。
Dung Bui公司
Baum等人最近引入的VOLE-in-The-Head范式(Crypto 2023)是一种编译器,它使用SoftspokenOT(Crypto2022)将任何基于VOLE的指定验证器零知识协议转换为可公开验证的零知识协议。结合Fiat-Shamir变换,提出了一种新的数字签名方案FAEST(FAEST.info),其性能优于所有MPC-in-the-Head签名。我们从VOLE-in-the-Head框架中的多变量二次(MQ)问题中提出了一个新的候选量子后签名方案,与以前的工作相比,该方案大大减小了签名大小。对于128位的安全级别,我们的签名大小从3.5KB到6KB不等。与最先进的基于MQ的签名方案和现有的VOLE-in-the-Head签名相比,我们的方案实现了最小的签名大小(是基于MQ的方案的1.5到2倍),同时保持了计算效率的竞争力。
基于LWE问题及其变量和量子预言的启发式理想混淆方案
庄山、张乐友、吴青
本文介绍了一种基于学习问题的启发式理想模糊处理方案,该方案不同于Jain、Lin和Luo[JLLW23]提出的方案。本文中的方法遵循类似于Brakerski、Dottling、Garg和Malavolta[BDGM22、BDGM20]构建iO的方法。我们通过利用LWR的变体来构建LHE,并使用Evasive LWR来构建多线性映射,从而构造一个新的理想模糊化。与Jain等人的方法相比,本文提供了更详细的方法。最初,我们使用素数定理和不动点定理重新证明了LWR的硬度,表明当安全参数$q>2时,$\lfloor As\rfloor_p$和$\lffloor u\rfloor _p$之间的统计距离不超过$\exp\left(-\frac{n\log_2n\ln-p}{\sqrt{5}}\right)$^{n} 第页$. 此外,我们给出了Evasive LWR和复合同态伪随机函数的定义,并在此基础上构造了多线性映射,从而建立了本文提出的理想模糊方案。
分层ROLLO-I分析:一种基于BII-LRPC码的KEM
Seongtaek Chee、Kyung Chul Jeong、Tanja Lange、Nari Lee、Alex Pellegrini和Hansol Ryu
我们分析了分层ROLLO-I,一种基于代码的密码系统发表在IEEE通讯快报上并提交给韩国后量子密码学竞赛。分层的四个版本ROLLO-I已被提名参加比赛。我们展示了第一个两个版本都不提供针对秩解码的声称安全性攻击并减少原始ROLLO-I的小实例该计划是NIST竞赛的候选人,并被淘汰这是由于秩解码攻击造成的。作为第二项贡献,我们提供两种高效的消息恢复攻击,影响每个安全级别前三个版本的分层ROLLO-I和安全级别128第四个版本的192个。
安东尼奥·法奥尼奥、达里奥·菲奥雷和路易吉·拉索
模拟可提取性是zkSNARK的一个强大的安全概念,它保证生成有效证据的攻击者必须知道相应的见证人,即使攻击者事先可以访问其他用户生成的证据。值得注意的是,模拟可提取性意味着证明是不可延展的,并且对于zkSNARK在分布式系统中的应用至关重要。在这项工作中,我们研究了通过基于编译多项式交互式预言证明(PIOP)的流行设计方法构造可模拟提取通用zkSNARK的充分必要条件。我们的主要结果是第一个安全性证明,流行的通用zkSNARK,如部署在现实世界中的PLONK和Marlin,是可模拟提取的。我们的结果填补了之前工作(Faonio等人,TCC'23和Kohlweiss等人,TCC’23)留下的空白,这些工作只能证明这些方案的“教科书”版本的模拟可提取性,并且没有捕获到它们的优化变体,所有流行的优化技巧都已到位,最终在软件库中实现和部署。
Lennart Braun、Ivan Damgárd和Claudio Orlandi
我们基于所谓的CL~框架中的类组构造了密码系统的第一个主动安全阈值版本(Castagnos和Laguillaumie,2015)。我们展示了如何使用我们的阈值方案实现通用通用可组合(UC)安全多方计算(MPC),只需透明设置,即不涉及秘密陷阱。在实现目标的过程中,我们设计了新的零知识(ZK)协议,该协议具有恒定的通信复杂性,用于证明加密值之间的乘法关系。这允许我们使用ZK证明来实现具有主动安全性的MPC,并且只需要恒定的因子开销。最后,我们调整了我们的协议以适应所谓的“仅限您发言”(YOSO)设置,这是一种在区块链上执行MPC的非常有前途的最新方法。这是可能的,因为与以前的方法相比,我们的密钥生成协议更简单,所需的交互更少:特别是,我们的新密钥生成协议允许对手对公钥产生偏见,但我们表明这对生成的密码系统的安全性没有影响。
F.Betül Durak、Laurane Marco、Abdullah Talayhan和Serge Vaudenay
不可转移性(NT)是一种安全概念,可确保凭据仅由其预期所有者使用。尽管它很重要,但还没有在匿名令牌(AT)的上下文中进行正式处理,AT是轻量级匿名凭据。在这项工作中,我们考虑一个“购买”访问令牌的客户,这些令牌被禁止转让,尽管是匿名赎回的。我们通过不可传递性的概念广泛研究了AT中隐私(通过匿名获得)和安全性之间的权衡。我们正式化了新的安全概念,设计了一套具有各种NT风格的协议,证明了它们的安全性,并实现了协议来评估它们的效率。最后,我们研究了现有的提供NT的匿名凭据,并表明如果不考虑安全性和复杂性,它们就不能自动用作AT。
玛尤里·斯里达尔(Mayuri Sridhar)、汉森·肖(Hanshen Xiao)和斯里尼瓦斯·德瓦达斯(Srinivas Devadas)
可证明的隐私通常需要进行复杂的分析,并且通常会导致无法接受的准确性损失。虽然已经提出了许多经验验证或近似方法,如成员推断攻击(MIA)和差异隐私审计(DPA),但这些方法并没有提供严格的隐私保障。在本文中,我们应用最近提出的可能近似正确(PAC)隐私为一系列实用的黑盒算法:K-Means、支持向量机(SVM)、主成分分析(PCA)和随机森林(Random Forests)提供正式的、机械化的、基于模拟的证明。为了提供这些证明,我们提出了一种新的仿真算法,该算法可以有效地确定任何给定隐私级别所需的各向异性噪声扰动。我们证明了该算法的正确性,并证明了各向异性噪声比各向同性噪声具有实质性的优点。稳定的算法更容易私有化,我们展示了在这些算法中引入正则化所导致的隐私放大;在获得有意义的隐私保证的同时,准确性损失很小。我们还提出了新技术,以规范化算法输出,并将棘手的几何稳定性验证转化为有效的确定性稳定性验证。包括了彻底的实验,我们验证了我们的可证明对抗性推理对于最先进的经验攻击的硬度。
超越Fibonacci的Regev因子分解:优化预因子
塞翁·拉加万
在本文中,我们通过空间和/或大小的常数因子改进了Ragavan和Vaikuntanathan[RV24]提出的Regev量子因子分解算法[Reg23]的空间效率变体。这使我们能够通过[Reg23]和[RV24]桥接电路之间混凝土效率的显著差距;[Reg23]使用的门更少,而[RV24]使用的量子位更少。主要观察结果是,[RV24]提出的节省空间的量子模幂技术可以进行修改,以处理比斐波那契数更一般的整数序列。我们根据线性递归关系将其参数化,并通过此公式构建三个不同的量子因子分解电路:-一种使用大约12.4n$qubits和大约45.7n^{1/2}$n$bit整数乘法的电路。-一种使用$(9+\epsilon)n$qubits和$n$-bit整数的$O_\epsilen(n^{1/2})$乘法的电路,对于任何$\epsi隆>0$。-一种电路,对任何$\epsilon>0$使用$n$-位整数的$(24+\epsi隆)n^{1/2}$乘法和$O_\epsillon(n)$qubits。相比之下,[Reg23]的原始电路使用至少$\approx3n^{3/2}$qubits和$\applox6n^{1/2}$n位整数的乘法,而[RV24]的空效变量使用$\approprox10.32n$qubites和$\Approx129.6n^{1/2}$n$-位整数的$乘法(尽管对其基于斐波那契的电路进行了非常简单的修改,使用了大约11.32n$qubits,而只有大约86.4n^{1/2}$个$n$-bit整数乘法)。本说明中提出的改进对$n$的足够大的值生效;它们是否也能为实际问题规模带来好处,还有待观察。
Web Autn的Quantum-Safe帐户恢复
Douglas Stebila和Spencer Wilson
WebAuthn是一种无密码身份验证协议,它允许用户使用公钥加密对在线服务进行身份验证。用户通过使用存储在手机或USB安全令牌等设备上的私钥签署质询来证明其身份。这种方法避免了基于密码的身份验证的许多常见安全问题。然而,WebAuthn对占有证明的依赖导致了可用性问题:失去对身份验证设备访问权限的用户要么失去对其帐户的访问权限,要么需要依靠较弱的身份验证机制。为了解决这个问题,Yubico提出了一个协议,该协议允许用户链接两个令牌,以便其中一个(主认证器)可以代表另一个(备用认证器)生成公钥。使用此解决方案,用户使用单个令牌进行身份验证,仅在帐户恢复需要时依赖其备份令牌。然而,Yubico的协议的安全性依赖于离散对数问题的难度,因此很容易受到拥有足够强大量子计算机的攻击者的攻击。我们提出了一个WebAuthn恢复协议,该协议可以用量子安全原语进行实例化。我们还批评了先前对Yubico协议的分析中使用的安全模型,并提出了一个新的框架,用于评估基于组的协议和量子安全协议的安全性。这使我们发现了Yubico建议中的一个弱点,该弱点在之前的工作中未被发现,但在我们的模型中被揭示了。在我们的安全分析中,我们需要协议底层的加密原语来满足一些新的安全属性,如我们形式化的KEM不可链接性。我们证明了著名的量子安全算法,包括CRYSTALS-Kyber,满足分析量子安全协议所需的属性。
伦纳特·布劳恩(Lennart Braun)、吉利姆·卡斯塔尼奥斯(Guilhem Castagnos)、伊万·达姆格德(Ivan Damgárd)、法比安·拉奎尔劳米(Fabien Laguillaumie)、凯尔西·梅利萨里斯(Kelsey Melissaris)、克劳迪奥·
我们提出了基于类组的加性同态密码系统的分布式密钥生成和解密协议,改进了Braun、Damgárd和Orlandi在CRYPTO’23提出的类似系统。我们的密钥生成类似于常数轮,但与之前的工作相比,实现了更低的通信复杂度。这种改进的部分原因是放松了底层整数可验证秘密共享方案所需的重构特性。这消除了对未知订单组中潜在的昂贵知识证明的依赖。我们提出了一种在未知序群中批处理零知识证明的新方法,从而加强了这些改进。我们还提出了一种协议,该协议在单不一致玩家(SIP)模型中对自适应对手是安全的。我们的协议在通用可组合性(UC)框架中是安全的,并提供有保证的输出交付。我们通过展示与实现静态安全协议相关的运行时间和通信成本来证明我们的技术的相对效率,并与其他最先进的结构进行直接比较。
Prabhanjan Ananth、Vipul Goyal、Jiahui Liu和Qipeng Liu
不可克隆密码学利用量子力学原理来解决经典上不可能完成的密码任务。在秘密共享的背景下,我们引入了一种新的不可克隆原语,称为不可克隆秘密共享(USS)。在USS计划中,有$n$的股东,每个人持有一个以量子态表示的经典秘密的份额。一旦所有各方(或至少$t$方)拿出他们的股份,他们就可以找回秘密。重要的是,复制他们自己的共享并将副本发送给两个非通信方,使他们都能恢复机密应该是不可行的。我们的工作启动了对不可公开秘密共享领域的正式调查,揭示了其含义、结构和固有局限性。**连接:我们探讨了USS和其他量子密码原语之间的连接,例如不可克隆加密和位置验证,显示了在不同场景中实现USS的困难。**有限纠缠:在敌对股东不共享任何纠缠或有限纠缠的情况下,我们演示USS的信息理论构造。**大纠缠:如果我们允许敌对股东拥有无限的纠缠资源(和无限的计算),我们将证明不可公开的秘密共享是不可能的。另一方面,在对手只能进行有界多项式次数查询的量子随机预言模型中,我们证明了即使存在无界纠缠,构造也是安全的。此外,即使这些对手只拥有多项式数量的纠缠资源,我们也确定,任何具有可使用Cliffords和对数多个T门实现的重建函数的不可克隆的秘密共享方案也是不可实现的。
安东尼奥·桑索和尤塞夫·埃尔·霍斯尼
本文介绍了构造参数化族的过程定义在对友好椭圆曲线族(如Barreto–Lynn–Scott)的标量场(BLS)、Barreto–Naehrig(BN)和Kachisa–Schaefer–Scott(KSS),提供由曲线种子导出的公式。这些所谓的“嵌入曲线”是对证明涉及椭圆曲线的语句的SNARK应用程序的主要兴趣算术,即数字签名。本文奠定了数学基础,并讨论了这些嵌入的优点。此外,还提供了实际示例如果是BN和BLS系列,则包括以下方面的不可能性结果对KSS系列进行了说明。
阿里·马杜姆
量子计算技术的出现将危及许多当前的密码算法,尤其是广泛用于保护数字信息的公钥密码。我们所依赖的大多数算法在全球范围内用于许多不同通信、处理和存储系统的组件中。一旦可以访问实际的量子计算机,所有公钥算法和相关协议都将容易受到犯罪分子、竞争对手和其他对手的攻击。现在就开始计划更换使用公钥算法的硬件、软件和服务,以保护信息免受未来攻击,这一点至关重要。”[1]. 为此,我们开发了一种新的算法,有助于处理上述问题。我们的算法不是使用经典的编码/解码方法(密钥、质数等),而是基于函数的组合。因为函数集的基数是无限的,所以第三方(例如黑客)不可能解码发送方(Bob)发送给接收方(Alice)的机密信息。
Dragon:任意分组后以表示为代价的分权及其在亚cubic DKG和交互一致性中的应用
冯汉文、陆振梁、唐强
一些分布式协议,包括分布式密钥生成(DKG)和交互一致性(IC),依赖于$n$节点之间的拜占庭广播或拜占庭协议的$\mathcal{O}(n)$实例,导致${Theta}(n^3)$通信开销。在本文中,我们提供了一种实现这种广播的新方法,我们称之为DRAGON:在任意GrOupiNg之后以代表为代价的分权。在其核心,我们将节点任意分组为小的“碎片”,并与多个新的原语配对,我们称之为联盟发送方(经销商)广播(和秘密共享)。新工具使一个节点碎片能够联合广播(或安全地贡献秘密)给整个人群,只需要一个经销商({\em}就好像有一个代表一样)。使用我们的新Dragon方法,我们构建了前两个DKG协议,这两个协议都实现了最佳弹性,具有亚立方总通信和计算能力。第一个DKG在椭圆曲线组中生成密钥,导致$\widetilde{\mathcal{O}}(n^{2.5}\lambda)$total通信和计算。第二个DKG在通过统计安全参数的一个因子略微增加通信和计算的同时,生成密钥作为字段元素,这使得它与各种现成的基于DLog的阈值密码系统直接兼容。我们还构建了第一个具有亚立方通信的确定性IC。在此过程中,我们还将基于模拟的安全性形式化,并证明它适用于公开可验证的秘密共享(PVSS),从而使模块化分析成为可能,这可能会引起独立的兴趣。
谢敏、朱培晨、赵彦琦、姜卓琳、方俊斌、余勇、王璇
Delegatable Anonymous Credentials(DAC)是一个增强的匿名凭据(AC)系统,它允许凭据所有者匿名使用凭据,并将其匿名委派给其他用户。在这项工作中,我们引入了一个新概念,称为具有可链撤销的基于Delegatable属性的匿名凭证(DAAC-CR),它通过允许1)细粒度属性委派,2)发卡机构在细粒度级别限制委派用户的委派能力,扩展了DAC的功能,包括委托深度和可委托属性集,以及3)可链接撤销,这意味着如果委托链中的凭证被撤销,则从中派生的所有后续凭证也将无效。我们基于一个新的原语提供了一个实用的DAAC-CR实例,我们将其识别为向量承诺等价类上的结构保护签名(SPSEQ-VC)。这个原语可能有独立的兴趣,我们详细介绍了一个有效的构造。与依赖非交互式零知识证明(NIZK)的传统DAC系统相比,DAAC-CR实例中的凭证大小是恒定的,与委托链的长度和属性的数量无关。我们在通用组模型中形式化地证明了方案的安全性,并通过性能基准证明了其实用性。
刘珊香、刘凌、聪玲
本文应用矢量量化的观点,对Banerjee、Peikert和Rosen最初提出的四舍五入学习(LWR)问题进行了推广。在LWR中,噪声是通过将每个坐标舍入到分数的最近倍数而产生的,这个过程本质上与标量量化有关。通过考虑一种称为量化学习(LWQ)的新变体,我们探索了具有优越量化特性的大维快速可解码格,旨在提高传统标量量化的压缩性能。我们将极晶格确定为示例结构,有效地将LWQ转换为类似于错误学习(LWE)的问题,其中量化噪声的分布在统计上接近离散高斯。此外,我们还开发了一种新的用于安全源编码的“量子加密”方案。值得注意的是,对于有界有理信号源,该方案可以获得接近最优的速率-电阻比,并且可以以准线性时间复杂度有效地实现。极光量化器的Python代码可在https://github.com/shx-lyu/PolarQuantizer。
伊斯特万·安德拉斯·塞雷斯、佩特尔·伯克西和佩特尔·库塔斯
虚二次域的类组(简称类组)作为未知顺序的透明组在密码学中复兴。它们是RSA组的无信任替代品的主要候选,因为类组不需要(分布式)可信设置来对未知顺序的加密安全组进行采样。最近,类组在可验证的秘密共享、安全的多方计算、透明的多项式承诺中发现了许多应用,也许最重要的是,在基于时间的密码学中,即可验证的延迟函数、(同态)时间锁谜题、定时承诺等。然而,在实际的加密部署中,要使类组广泛应用,存在各种障碍。我们开始对散列到类组中进行严格的研究。具体来说,我们希望对类组中均匀分布的组元素进行采样,这样就没有人知道它相对于任何公共参数的离散对数。我们指出了许多公开可用的类库中存在的几个有缺陷的算法。我们通过显示对加密协议的具体攻击,即可验证的延迟函数,进一步说明了这些散列函数的不安全性,如果它们与其中一个破坏的散列到类组函数一起部署的话。我们提出了两类加密安全散列函数。我们实施这些结构并评估其性能。我们以开源库的形式发布我们的实现。
王磊章(Leizhang Wang)
对格归约算法的归约努力的分析对于估计基于格的密码方案的硬度是重要的。最近,通过使用G6K中使用的默认晶格约简算法Pnj-BKZ,如TU Darmstadt LWE和SVP Challenges,许多晶格挑战记录被破解。然而,Pnj-BKZ算法的先前估计是模拟算法,而不是理论上限分析。在这项工作中,我们对Pnj-BKZ算法进行了首次动态分析。更准确地说,我们的分析结果表明,让$L$是跨越$(\mathbf)的晶格{a} _ i)_{i\leqd}$。最短向量$\mathbf{b} _1个通过运行$\Omega\left(\frac{2Jd^2}{\beta(\beta-J)}\left{a} _ i^{*}\right\|}{(\mathrm{det}L)^{1/d}}\右)$tours减少pnj-BKZ$(\beta,J)$,$\mathbf{b} _1个$满意\memo{$\left\|\mathbf{b} _1个\right\|\le{\gamma}_{\beta}^{\frac{d-1}{2(\beta-J)}+2}\cdot\left(\mathrm{det}L\右)^{\frac{1}{d}}$}。
萨米德·杜兹鲁(Samed Düzlü)、鲁恩·菲德勒(Rune Fiedler)和马克·菲施林(Marc Fischlin)
这项工作表明,与应用通用BUFF变换相比,FALCON如何更有效地实现Cremers等人(S&P’21)提出的超越不可伪造特性(BUFF)。具体来说,我们表明,应用Pornin和Stern的变换(ACNS'05),称为PS-3变换,已经足以使FALCON实现BUFF安全。对于FALCON,这仅仅意味着在签名生成和验证的散列步骤中包含公钥,而不是仅散列nonce和消息;其他签名计算步骤和签名输出保持不变。因此,与向最终签名附加哈希值的BUFF变换相比,PS-3变换可以实现更短的签名大小,而不会产生额外的计算。
具有最佳$O(n^2)$消息和$O(1)$预期时间的无特征码原子广播
小穗、王欣、段思思
拜占庭原子广播(ABC)是许可区块链和各种多方计算协议的核心。我们解决了ABC中一个长期存在的开放问题,提出了第一个信息论(IT)和无签名异步ABC协议,该协议实现了最佳的$O(n^2)$消息和$O(1)$预期时间。我们的ABC协议采用了一种新的设计,它依赖于一种被忽视的原始协议(称为多值拜占庭协议,MBA)的缩减,这也许令人惊讶。
Rollerblade:在分类账上进行复制分布式协议仿真
狄奥尼西斯·齐德罗斯(Dionysis Zindros)、阿波斯托洛斯·齐纳斯(Apostolos Tsinas)和大卫·谢霆锋(David Tse)
我们观察到,大多数固定方分布式协议都可以通过用账本(例如区块链系统)替换一方以及使用跨链中继在各方之间进行认证的信道通信来重写。这种转换很有用,因为区块链系统总是在线的,并且具有经过战斗测试的安全假设。我们提供了一个定义框架来捕捉这种类比。我们对转换进行了形式化建模,提出并证明了一个通用的元定理,该元定理允许将党派设置中的所有定理转换为模拟设置中的定理,同时保留党派诚实性和账本安全性之间的类比。我们证明的核心是基于简化的模拟论证。例如,我们的元定理可用于在其他区块链之上构建共识协议,创建一个可靠的汇总,该汇总假设只有大多数底层1是安全的。
李云琪、凯尔·索斯卡、甄黄、西尔万·贝勒马尔、米凯拉·昆廷·柯林斯、王伦、刘晓远、道恩·宋和安德鲁·米勒
在智能合约支持的区块链上增强隐私在最近的研究中得到了很多关注。零知识证明(ZKP)是最流行的方法之一,但它们无法提供完整的表达能力和细粒度的隐私。为了说明这一点,我们强调了一种未充分开发的矿工可提取价值(MEV)类型,称为剩余投标可提取价值。剩余投标突出了未完成的投标无意中暴露出交易员未满足的需求和预期交易策略的脆弱性,从而使其面临被利用的风险。基于ZKP的方法无法为RBEV做广告,因为如果没有一定程度的信息公开,它们就无法提供执行后的隐私。其他MEV缓解措施(如公平排序协议)也未能解决RBEV问题。我们介绍了Ratel,这是一个创新的框架,它连接了多方计算(MPC)原型框架(MP-SPDZ)和智能合约语言(Solidity),将MPC的隐私性和充分表达性与Solidity的链上可编程性相协调。这种协同作用使开发人员能够毫不费力地创建保护隐私的分散式应用程序(DApp)。我们通过两个杰出的分散式金融(DeFi)应用程序证明了Ratel的有效性:分散式交易和抵押品拍卖,有效缓解了潜在的RBEV问题。此外,Ratel配备了轻量级的崩溃重置机制,能够无缝恢复瞬态良性故障节点。为了防止恶意实体滥用崩溃重设机制并防范DoS攻击,我们结合了贝叶斯方法中的成本效用分析。我们对在Ratel框架下开发的应用程序的性能评估强调了它们在管理真实峰值工作负载方面的能力。
Kaoru Takemure、Yusuke Sakai、Bagus Santoso、Goichiro Hanaoka和Kazuo Ohta
在本文中,我们提出了第一个两轮多重签名方案,该方案不使用代数群模型(AGM),在具体安全性的标准化EC下可以保证128位安全。为了构造我们的方案,我们引入了一种新的技术来定制特定的同态承诺方案,以用于基于Katz-Wang DDH的签名方案。我们证明了一个至少有321位订单的EC足以使我们的方案具有标准的128位安全性。这意味着我们的方案很容易在实践中实施,因为我们可以使用NIST标准化的EC P-384实现128位安全。我们提出的方案在P-384下的签名大小为1152位,这是现有方案中不使用AGM的最小签名大小。我们在普通机器上的实验表明,对于签名和验证,在100个签名者的情况下,每一个签名和验证都可以在大约65毫秒内完成。这表明我们的方案在实践中有足够合理的运行时间。
Justine Paillet、Pierre-Augustin Berthet和Cédric Tavernier
FALCON是国家标准与技术研究所(NIST)新的后量子密码(PQC)原语标准化的候选。然而,为该算法定义有效的对抗副通道攻击(SCA)的对策仍然是一个挑战。FALCON是一种基于格的签名,它依赖有理数,这在密码学领域是不常见的。虽然最近的工作提出了一种掩盖加法和乘法的解决方案,但仍然存在一些障碍,最明显的是如何保护底线功能。在这项工作中,我们建议完成针对SCA强化FALCON的现有首次试验。我们使用非干扰概念对我们的方法进行数学证明,并在探测模型中进行形式安全证明。
BPDTE:基于摊销有效私有比较的批量私有决策树评估
梁惠强、陆海宁、王耿
作为服务的机器学习要求客户端信任服务器并提供自己的私有信息来使用此服务。通常,客户可能会担心服务器在没有有效监督的情况下收集他们的私人数据,服务器还旨在确保对用户数据进行适当管理,以促进其服务的进步。在这项工作中,我们重点关注私有决策树评估(PDTE),它可以缓解与使用决策树的分类任务相关的隐私问题。评估后,除了一些超参数外,客户端只接收服务器的分类结果,而服务器什么也不知道。首先,我们提出了三种基于分级同态加密的摊销高效私有比较算法:TECMP、RDCMP和CDCMP。它们是非交互式、高精度(高达26624位)、多对多和输出表达型的,在32位下实现了小于1ms的摊余成本,这比最新技术快了一个数量级。其次,我们使用此私有比较提出了三个批处理PDTE方案:TECMP-PDTE、RDCMP-PDTE和CDCMP-PDTE。由于批处理操作,我们使用了清晰行关系(CRR)算法,该算法混淆了不同行数据的位置和分类结果。最后,在每个16位下超过1000个节点的决策树中,TECMP-PDTE和RDCMP-PDTE的摊余运行时间都比最新技术快56$倍,而具有CRR的TECMP-PTTE仍能实现14$倍的加速。即使是在一行和一棵包含不到100个64位节点的树中,TECMP-PDTE仍保持着与当前工作相当的性能。
森美和山川隆
单向函数的存在是经典密码学中最基本的假设之一。另一方面,在量子世界中,有证据表明,即使不存在单向函数,也可以存在一些密码原语[Morimae和Yamakawa,CRYPTO 2022;Ananth,Qian和Yuen,CRYPTO2022]。因此,我们在量子密码术中有以下重要的开放问题:量子密码术最基本的元素是什么?在这个方向上,Brakerski、Canetti和Qian[arXiv:2209.04101]最近定义了一个称为EFI对的概念,EFI对是有效生成的状态对,这些状态对在统计上是可区分的,但在计算上是不可区分的,和一般多方计算。然而,他们的工作重点是决策型原语,而不包括搜索型原语(如量子货币和数字签名)。本文研究单向状态发生器(OWSG)的性质,OWSG是Morimae和Yamakawa提出的单向函数的量子模拟。我们首先回顾了OWSG的定义,并通过允许混合输出状态对其进行了推广。然后我们显示以下结果。(1) 我们定义了OWSG的弱版本,我们称之为弱OWSG,并表明它们与OWSG等价。它是经典弱单向函数放大定理的量子模拟。(2) 具有量子公钥的(有界时间安全)量子数字签名等价于OWSG。(3) 私钥量子货币方案(具有纯货币状态)意味着OWSG。(4) 量子伪一次性pad方案意味着OWSG和EFI对。对于EFI对,单副本安全性就足够了。(5) 我们引入了OWSG的一种无与伦比的变体,我们称之为秘密可验证和统计可转换OWSG,并证明它们与EFI对等价。
穆元、张岚、李向阳
模型参数和用户数据的安全性对于基于Transformer的服务(如ChatGPT)至关重要。虽然最近在安全的两方协议方面取得的进展成功地解决了Transformer模型中的安全问题,但由于涉及到禁止性的加密开销,采用它们实际上是不可行的。从我们开发两个基于Transformer的实际服务的实践经验中,我们发现了两方假设中固有的效率瓶颈。为了克服这一局限性,我们提出了一种新的三方威胁模型。在这个框架内,我们设计了一个基于半对称置换的保护方案,并提出了第一个没有任何推理精度损失的安全Transformer推理协议STIP。在实际系统中的代表性Transformer模型上的实验表明,STIP具有实用的安全性,在效率上比最先进的安全两方协议优越数百万倍。
尼古拉·米勒和埃米尔·莫拉迪
故障注入(FI)攻击是指故意将故障引入系统,使其以非预期的方式运行,受到广泛认可,并对硬件中实现的加密原语的安全性构成重大威胁,这使得容错成为一个日益重要的问题。然而,即使使用成熟且有文档记录的方法(如冗余计算),也要安全有效地保护加密硬件原语,这可能是一项耗时、易出错且需要专业知识的任务。在这项研究中,我们提出了一个全面和全自动的软件解决方案,用于自动生成容错电路(AGEFA)。我们的应用程序采用了一种通用且经过广泛研究的方法,将基于纠错码(ECC)的对抗措施安全集成到加密硬件电路中。我们的软件工具允许没有硬件安全专业知识的设计师在综合故障对手模型下开发具有预定义纠正功能的容错硬件电路。此外,我们的工具适用于屏蔽设计,而不违反屏蔽安全要求,特别是由工具AGEMA生成的设计。通过对各种分组密码的实验,我们评估了该方法的有效性,并证明了其产生容错电路的能力。此外,我们使用最先进的泄漏和故障评估工具,针对侧面通道分析(SCA)和FI评估AGEFA生成的示例的安全性。
Sejun Kim、Wen Wang、Duhyeong Kim、Adish Vartak、Michael Steiner和Rosario Cammarota
完全同态加密(FHE)是一种革命性技术,可以在不需要解密的情况下对加密数据进行计算,有望增强数据隐私。然而,由于大量的性能管理费用,其采用受到了限制。最近的进展包括针对特定领域的高并行硬件加速器的提议,旨在克服这些限制。本文介绍了PICA,这是一个综合编译器框架,旨在简化这些专用FHE加速器的编程,并与现有FHE库集成。PICA利用了一种新颖的多项式指令集体系结构(p-ISA),该体系结构抽象了多项式环及其算术运算,作为创建包含多项式环上高级运算的紧凑、高效代码的基本数据类型,称为内核,例如。,包含FHE原语,如算术和密文管理。我们详细介绍了使用p-ISA将高级FHE操作转换为伪代码的内核生成框架,以及将p-ISA功能和内核合并到已建立的FHE库中的后续跟踪框架。此外,我们引入了一个映射器来协调多个FHE内核,以在目标硬件加速器上实现最佳应用程序性能。我们的评估表明,与x64体系结构相比,PICA在创建紧凑高效代码方面的功效。特别是在管理复杂的FHE操作(如重新排列)时,我们发现即使考虑到较大的批大小(8192),指令计数也减少了25.24倍。
扎赫拉·贾瓦尔和布鲁斯·卡普伦
我们扩展了McQuoid、Swope和Rosulek(TCC 2018)提出的Linicrypt框架,用于表征散列函数安全性,以支持理想密码模型中的构造。在这种情况下,我们根据Linicrypt程序的线性代数条件给出了碰撞和第二预成像耐受性的特征,并提出了一种确定程序是否满足该条件的有效算法。作为应用,我们考虑了Preneel、Govaerts和Vandewall(Crypto 1993)提出的块加密散列函数的情况,并表明Black等人(J.Crypto.2010)给出的PGV语义分析可以作为我们特征化的一个特例来捕获。此外,我们在Linicrypt框架中对通过Merkle-Damgárd变换构造的散列函数进行建模。最后,我们将此模型应用于分析对底层压缩函数的各种攻击如何会损害生成的散列功能的抗碰撞性。
段思思、张海滨、小穗、黄宝涵、穆长春、狄刚、王晓云
假定部分同步的最新拜占庭容错(BFT)协议,例如SBFT和HotStuff使用从$2f+1$(部分)签名获得的\textit{常规证书}。我们表明,可以使用仅从$f+1$签名获得的\textit{弱证书}来帮助}设计更健壮、更高效的BFT协议。我们设计并实现了两个BFT系统:Dashing(两个HotStuff-style BFT协议的家族)和Star(并行BFT框架)。我们首先介绍了Dashing1,它使用弱证书来实现效率和健壮性。Dashing1还具有网络适应性,可以利用网络连接差异来提高性能。我们表明,Dashing1在各种无故障和故障情况下都优于HotStuff。然后,我们通过使用来自$3f+1$签名的\textit{强证书},展示Dashing2启用\textit}单阶段}快速路径。然后,我们利用弱证书构建Star,这是一个高度可扩展的BFT框架,它从$n-f$副本中交付事务。Star在活性、通信、状态传输、可扩展性和/或故障下的健壮性方面优于现有协议。我们证明,在AmazonEC2上进行的实验中,Dashing的峰值吞吐量比HotStuff高47%至107%。与此同时,与所有已知的BFT协议不同,它们的性能随着$f$的增长而降低,Star的峰值吞吐量随着$f$s的增长而增加。当部署在五大洲91个副本的广域网中时,Star的吞吐量达到256 ktx/秒,是Narwhal的2.38倍。
大规模MPC:将私人虹膜代码唯一性检查扩展到数百万用户
雷姆科·布洛曼(Remco Bloemen)、丹尼尔·凯尔斯(Daniel Kales)、菲利普·西普(Philipp Sippl)和罗曼·沃尔奇(Roman Walch)
在这项工作中,我们解决了生物特征验证系统中的隐私问题,这些系统通常需要服务器端处理敏感数据(例如指纹和虹膜代码)。具体地说,我们设计了一个解决方案,它允许我们查询给定的Iris代码是否与给定数据库中包含的代码相似,同时使用安全多方计算(MPC)保护所有查询和数据集。针对诸如世界ID和红十字会援助分配等操作系统的实质性性能需求,我们提出了新的协议,与最近最先进的系统Janus(标准普尔24)相比,性能提高了三个数量级以上。我们的最终协议可以在单个CPU内核上实现每秒超过一百万次虹膜代码比较的吞吐量,同时保护查询和数据库虹膜代码的隐私。我们还研究了我们协议的一些构建块的GPU加速,与相应的多线程CPU实现相比,这导致了超过38x的进一步加速。
艾丁·阿巴迪
重复模块平方在各种基于时间的密码原语中起着至关重要的作用,例如时间锁谜题和可验证延迟函数。在ACM CCS 2021上,Thyagarajan等人引入了“OpenSquare”,这是一种分散的协议,允许客户端将重复模块平方的计算委托给第三方服务器,同时确保只有在这些服务器提供有效结果时,这些服务器才能得到补偿。在这项工作中,我们揭示了OpenSquare中的一个重大漏洞,它使服务器能够在不完成委托任务的情况下接收付款。为了解决这个问题,我们提出了一系列缓解措施。
洛伊克·德曼吉和梅丽莎·罗西
BIKE是一种后量子密钥封装机制(KEM),用于NIST第四轮标准化活动。它依赖于准循环码的综合征解码问题的难度以及公钥与随机元素的不可区分性,并在第四轮候选中提供最具竞争力的性能,这使得它与未来的实际用例相关。分析其副渠道阻力受到了社区的高度鼓励,一些工作已经概述了各种副渠道弱点,并提出了特别对策。然而,与已有大量文献记载的基于掩蔽格的算法研究路线相反,在Cong Chen等人2016年的一篇论文中,通过掩蔽对基于代码的算法进行一般保护的可能性只进行了少量研究。在标准化运动的现阶段,重要的是评估完全掩蔽BIKE方案的可能性以及由此产生的性能成本。在这项工作中,我们提供了基于代码的算法的第一个高阶屏蔽实现。我们必须解决许多问题,例如找到处理大型稀疏多项式的适当方法、屏蔽密钥生成算法或保留位切片的优点。在本文中,我们介绍了提供完全屏蔽的BIKE实现所需的所有小工具,讨论了我们的不同实现选择,并提出了Ishai Sahai and Wagner(Crypto 2003)模型中屏蔽的完整证明。更实际的是,我们还提供了一个具有广泛基准的密钥生成、封装和解封装算法的开放C代码屏蔽实现。虽然获得的性能比现有的基于掩蔽格的算法慢,但掩蔽顺序中的缩放仍然令人鼓舞,并且没有使用布尔到算术转换。我们希望这项工作能够成为未来分析和优化的起点。
多项式XL:多项式环上使用Macaulay矩阵的XL算法的变体
Hiroki Furue和Momonari Kudo
有限域上多元二次方程组(MQ问题)的求解是计算机科学理论中的一个重要问题。XL算法(简称XL)是解决系数域线性化MQ问题的主要方法。此外,与XL(h-XL)的混合方法是XL预先猜测一些变量的变体。在本文中,我们提出了h-XL的一种变体,我们称之为多项式XL(PXL)。在PXL中,整个$n$变量被分成$k$变量进行固定,剩下的$n-k$变量作为“主变量”,我们在$k$(子)变量的多项式环上生成关于$n-k$main变量的Macaulay矩阵。通过在猜测$k$变量之前消除多项式环上Macaulay矩阵的一些列,与h-XL相比,每个猜测值所需的操作量可以减少。我们对PXL的复杂性分析(在一些实际假设和启发式方法下)给出了一个新的理论界,并表明在$n=m$的随机系统上,PXL可能比理论上的其他算法更有效,这是一般多变量签名的情况。例如,在具有$n=m=80$的${2^8}$元素的有限域上的系统上,从具有最优$k$的XL和Wiedemann XL、Crossbreed和PXL的混合方法的理论界导出的操作数分别估计为$2^252}$、$2^234}$、$12^237}$和$2^220}$。
克里希南德·查特吉(Krishnendu Chatterjee)、阿米拉利·易卜拉欣·扎德(Amirali Ebrahim-Zadeh)、迈赫达德·卡拉比(Mehrdad Karrabi)、克尔兹托夫·彼得扎克(Krzysztof Pietrzak)、米歇尔·杨(Michelle
我们研究了最长链区块链(如比特币)中的自私挖掘攻击,但在这种情况下,工作证明被有效的证明系统(如股权证明或空间证明)所取代,并考虑计算最佳自私挖掘攻击的问题,该攻击可使对手的预期相对收益最大化,从而使链条质量最小化。为此,我们提出了一种新的自私挖掘攻击,旨在最大化该目标,并将攻击形式化为马尔可夫决策过程(MDP)。然后,我们提出了一个形式化的分析程序,该程序计算MDP中最佳预期相对收入的$\epsilon$-紧下限,以及实现此$\epsilon$-紧密下限的策略,其中$\epsion>0$可能是任何指定的精度。我们的分析是完全自动化的,并提供了正确性的正式保证。我们评估了我们的自私采矿攻击,并观察到与两个考虑的基线相比,它实现了更好的预期相对收益。在并行工作中,[Sarenche FC’24]基于高效的证明系统,对可预测的最长链中的自私挖掘进行了自动化分析。可预测意味着挑战的随机性在许多块中是固定的(例如在Ouroboros中),而我们考虑不可预测的(类比特币)链,其中的挑战来自前面的块。
Tao Lu、Haoyu Wang、Wenjie Qu、Zonghui Wang、Jinye He、Tianyang Tao、Wenzhi Chen和Jiaheng Zhang
近年来,云供应商已经开始通过提供训练有素的神经网络模型的接口,为数据分析提供付费服务。然而,面对懒惰或恶意的供应商,客户缺乏工具来验证云供应商提供的结果是否是来自特定模型的正确推断。名为零知识证明(ZKP)的加密原语解决了这个问题。它使结果可以验证,而不会泄漏有关模型的信息。不幸的是,现有的神经网络ZKP方案具有很高的计算开销,特别是对于神经网络中的非线性层。本文提出了一种高效且可扩展的ZKP神经网络框架。我们的工作改进了非线性层证明的性能。与以前依靠比特分解技术的工作相比,我们将复杂的非线性关系转换为范围和指数关系,这显著减少了证明非线性层所需的约束数量。此外,我们采用模块化设计,使我们的框架与更多的神经网络兼容。具体来说,我们提出了两个增强的范围和查找证明作为基本块。它们可以有效地证明区间关系和指数关系的满足性。然后,我们使用少量的范围和指数关系来约束原始非线性运算的正确计算。最后,我们构建了从原始操作到整个神经网络的ZKP框架,为扩展到各种神经网络提供了灵活性。我们实现了卷积和变换神经网络的ZKP。评估结果表明,与最先进的工作Mystique相比,我们的工作在分离非线性层上实现了超过168.6美元乘以$(高达477.2美元乘以$)的加速,在整个ResNet-101卷积神经网络上实现了41.4美元乘以$的加速。此外,我们的工作可以证明GPT-2,一个具有1.17亿美元参数的变压器神经网络,在287.1美元秒内,比ZKML实现35.7美元倍的加速,这是支持变压器神经网络的最先进的工作。
基于格的公钥加密与授权关键字搜索:构造、实现和应用
徐世元、曹一波、陈雪、郭瑜、杨岳儿、郭方达、姚小明
Boneh等人【EUROCRYPT’04】正式化的带有关键字搜索的公钥加密(PEKS),能够安全地搜索密文中的特定关键字。然而,在某些情况下,不同的用户层被授予不同的数据搜索权限,管理员需要限制密文的搜索能力,以独占选择用户。为了解决这个问题,Jiang等人[ACISP’16]设计了一种PEKS的变体,即带有授权关键字搜索的公钥加密(PEAKS),其中只有授权用户才能进行目标关键字搜索。然而,它很容易抵御量子计算攻击。因此,侧重于授权用户在实现量子安全的同时搜索关键字的研究意义深远。在这项工作中,我们提出了一种新的结构,即基于格的PEAKS(L-PEAKS),这是第一种允许授权用户搜索不同关键字集的机制,同时确保量子安全属性。具体来说,关键字是用公钥加密的,每个授权用户都需要从权威机构获得搜索权限。授权机构在一段时间内将授权令牌分发给用户,用户将为任何授权关键字生成一个活门。从技术上讲,我们利用几种格采样和基扩展算法来对抗来自量子对手的攻击。此外,我们利用基于身份的加密(IBE)来缓解公钥管理的瓶颈。此外,我们对我们的方案进行了参数分析、安全性降低和理论复杂性比较,并对商品机器的完整性进行了综合评估。我们的L-PEAKS满足IND-sID-CKA和T-EUF安全性,与其他现有原语相比,在空间和计算复杂性方面效率很高。
Rune Fiedler和Felix Günther
Signal最近部署了一个名为PQXDH的新握手协议,以防止未来量子计算机的“收获-低解密”攻击。为此,PQXDH将量子后KEM添加到先前X3DH握手的Diffie-Hellman组合中。在这项工作中,我们在基于游戏的安全模型中对Signal的PQXDH握手进行了简化安全性分析,该模型捕获了目标“最大暴露”安全性,允许对用户的长期、半静态和短暂密钥材料进行细粒度的妥协。我们增加了之前的此类模型,以不仅捕获添加的KEM组件,还捕获公钥的签名,之前的分析没有捕获公钥,但这为PQXDH中的后量子安全添加了额外的味道。然后,我们为PQXDH的会话密钥安全性建立了一个完全参数化的具体安全边界,特别是阐明了PQXDH安全性所需的KEM绑定属性,以及如何避免它。我们对KEM绑定的讨论补充了Bhargavan、Jacomme、Kiefer和Schmidt对PQXDH的基于工具的分析,该分析指出,如果KEM共享密钥不绑定公钥,则可能会发生重新封装攻击。我们表明,Kyber(用于PQXDH)及其当前NIST标准草案ML-KEM(预计一旦标准化,将取代Kyber)均满足我们引入并依赖于PQXDH分析的新约束概念,这可能具有独立意义。
王欣、王浩晨、张海滨、段思思
已知拜占庭容错(BFT)协议存在可扩展性问题。事实上,随着副本数量$n$的增加,它们的性能急剧下降。虽然有很长一段时间的工作试图实现可伸缩性目标,但这些工作只能扩展到大约100个副本。在本文中,我们从所谓的委员会抽样方法中开发了BFT协议,该方法选择一个小型委员会达成共识,并将结果传递给所有副本。然而,这种方法的重点是拜占庭协议(BA)问题(仅考虑副本),而不是BFT问题(在客户端-副本模型中);此外,该方法主要是理论上的兴趣,具体来说,它适用于不切实际的大$n$。基于委员会采样方法,我们在部分同步环境中构建了一个高效、可扩展且自适应安全的BFT协议Pando。特别是,我们设计了新的BFT构建块,以实现可伸缩性,包括通信效率和计算效率一致的广播和原子广播协议。Pando继承了基于委员会抽样协议的一些固有问题:Pando只能实现接近最优的恢复能力(即$f<(1/3-\epsilon)n$,其中$f$是错误副本的数量,$\epsilon$是一个小常数),Pando只有概率才能实现安全性和活性。有趣的是,要使$\epsilon$接近0(接近最佳弹性),$n$需要足够大,但不是不切实际的大,例如$n>500$,这正是我们需要的可扩展BFT。我们对Amazon EC2的评估表明,与现有协议相比,Pando可以在WAN环境中轻松扩展到1000个副本,实现62.57 ktx/sec的吞吐量。
森美、山田昭夫和山川隆
不可预测函数(UPF)在经典密码学中扮演着重要角色,包括消息认证码(MAC)和数字签名。本文介绍了一种UPF的量子模拟,我们称之为不可预知状态发生器(UPSG)。UPSG由伪随机类函数状态生成器(PRFs)隐含,伪随机类状态生成器是伪随机函数(PRF)的量子模拟,因此,即使不存在单向函数,UPSG也可能存在,类似于最近引入的其他原语,如伪随机状态发生器(PRSG)、单向状态生成器(OWSG)和EFI。在经典密码学中,UPF等同于PRF,但在量子情况下,等效性并不明确,UPSG可能比PRFs弱。尽管如此,我们证明了PRFS的所有已知应用也可以通过UPSG实现。它们包括IND-CPA安全密钥加密和带有不可识别标签的EUF-CMA安全MAC。我们的发现表明,对于许多应用来说,量子不可预测性而不是量子伪随机性就足够了。
