刘天一、张振飞、张云聪、胡文清、张叶
在本文中,我们探索了一种新的零知识虚拟机(zkVM)框架,该框架利用简洁、非交互式的零知识证明,对任何代码进行可验证计算。我们的方法将程序执行证明分为两个阶段。在第一阶段,该过程将程序执行分解为段,识别并分组相同的部分。然后通过允许不同数量重复的数据并行电路来证明这些段。在随后的阶段中,验证者检查这些段证明,根据段的重复数和原始程序重建程序的控制和数据流。第二阶段可以通过统一的递归证明进一步证明。我们提出了这一概念的两种具体设计,其中分段和并行发生在两个级别:操作码和基本块。这两种设计都试图最小化影响电路大小的控制流,并支持动态拷贝数,确保计算成本与实际执行的代码直接相关(即,您只需支付与使用相同的费用)。特别是在我们的第二个设计中,通过在第二阶段提出一种创新的数据流重建技术,即使与原始程序执行相比,我们也可以大幅减少堆栈操作。请注意,这两种设计是互补的,而不是相互排斥的。在同一zkVM中集成这两种方法可以释放更大的潜力,以适应不同的程序模式。我们提出了一种非对称GKR方案来实现我们的设计,将非均匀证明器和均匀验证器配对,以生成动态长度数据并行电路的证明。使用GKR校准仪也大大减少了承诺的规模:GKR允许我们仅提交电路的输入和输出,而在基于普隆基斯的解决方案中,校准仪需要向所有证人提交。
本杰明·萨林·赫瓦斯(Benjamin Salling Hvass)、迭戈·F·阿兰哈(Diego F.Aranha)和巴斯·斯派特(Bas Spitters)
现代密码学的安全性取决于多种因素,从可靠的假设到抵抗副信道密码分析的正确实现。基于曲线的加密在这方面没有什么不同,在过去几十年里,在选择参数和设计安全实现策略方面都取得了实质性进展。在这种情况下,研究文献中有时忽视了场反演实现的安全性,因为(i) 基于费马小定理(FLT)的方法能够满足实际中使用的许多参数的性能要求;(ii)它通常只在密码计算的末尾被调用,对性能影响很小;(iii)安全实施一般参数而不造成重大性能损失是一项挑战。然而,字段反转可以处理敏感信息,并且必须像任何其他加密操作一样使用副通道对策进行保护,正如最近的攻击所示。在这项工作中,我们专注于实现加密兴趣素数的场反转,并具有针对定时攻击的安全性,而不管基于FLT的反转是否可以有效地实现。我们扩展了Fiat-Crypto框架,该框架综合了可证明正确的构造实现,以实现Bernstein-Yang反演算法,作为实现这一目标的一步。这允许为任何素数合成素数场反演的正确实现。我们对基于曲线加密的一系列素数的实现进行了基准测试,它们在大多数情况下都优于传统的基于FLT的方法,对于最大参数,观察到的加速比高达2。我们的工作已经在MirageOS单内核操作系统、$\mathtt{zig}$编程语言和ECCKiila框架的生产中使用。
BPDTE:基于摊销有效私有比较的批量私有决策树评估
梁惠强、陆海宁、王耿
作为服务的机器学习要求客户端信任服务器并提供自己的私有信息来使用此服务。通常,客户可能会担心服务器在没有有效监督的情况下收集他们的私人数据,服务器还旨在确保对用户数据进行适当管理,以促进其服务的进步。在这项工作中,我们专注于私有决策树评估(PDTE),它可以缓解与使用决策树的分类任务相关的隐私问题。评估后,除了一些超参数外,客户端只接收服务器的分类结果,而服务器什么也不知道。首先,我们提出了三种基于分级同态加密的摊销高效私有比较算法:TECMP、RDCMP和CDCMP。它们是非交互式、高精度(高达26624位)、多对多和输出表达型的,在32位下实现了小于1ms的摊余成本,这比最新技术快了一个数量级。其次,我们使用此私有比较提出了三个批处理PDTE方案:TECMP-PDTE、RDCMP-PDTE和CDCMP-PDTE。由于批量操作,我们使用了一种清晰的行关系(CRR)算法,该算法模糊了不同行数据的位置和分类结果。最后,在每个16位下超过1000个节点的决策树中,TECMP-PDTE和RDCMP-PDTE的摊余运行时间都比最新技术快56$倍,而具有CRR的TECMP-PTTE仍能实现14$倍的加速。即使是在一行和一棵包含不到100个64位节点的树中,TECMP-PDTE仍保持着与当前工作相当的性能。
唐雪岩、石凌志、王勋、凯尔·查邦特、唐世祥、孙世晓
零知识证明(ZKP)技术标志着密码学领域的革命性进步,能够在不透露任何具体细节的情况下验证某些信息所有权。该技术具有矛盾但强大的特点,为广泛的应用提供了坚实的基础,尤其是在增强区块链技术和其他加密系统的隐私和安全方面。随着ZKP技术日益成为区块链基础设施的一部分,其对安全性和完整性的重要性变得更加显著。然而,ZKP实现的复杂性和该技术的快速迭代引入了各种漏洞,挑战了其旨在提供的隐私和安全性。本研究侧重于ZKP的完整性、稳健性和零知识属性,对现有漏洞进行细致分类,并深入探讨了多类漏洞,包括完整性问题、稳健度问题、信息泄漏和非标准化加密实现。此外,我们还提出了一套防御策略,其中包括严格的安全审计过程和强大的分布式网络安全生态系统。该审计策略采用分而治之的方法,将项目划分为不同的级别,从应用层到平台自然基础设施层,使用威胁建模、逐行审计和内部交叉审查等方法,旨在全面识别ZKP电路中的漏洞,揭示ZKP应用程序中的设计缺陷,并准确识别ZKP原语集成过程中的错误。
郭富春、苏西洛、陈晓峰、姜鹏、赖建昌、赵震
密码原语和协议(方案)的设计、提出和分析是密码学的主要研究领域之一。为了推进这一研究领域,充分了解他们的研究动机至关重要。本文系统地介绍了设计和提出公钥密码新方案的研究动机。我们发现,所有的研究动机都旨在为人类带来效益,包括效率、安全性和功能性,尽管其中一些动机可能并不明显,或者只是有条件地持有。我们将研究动机的益处分为3种方式、6种类型和17个领域。例如,我们在这些领域中介绍了40种探索益处的研究策略,每种策略都表示为“从较少的adj(在第一种方案中)到较多的adj(在第二种方案中)”,其中“adj”在这里指的是代表积极结果的形容词。这篇SOK论文旨在对公钥密码技术进步背后的驱动力提供有价值的见解,促进该领域未来的研究工作。
丹尼尔·伯恩斯坦
许多基于格的密码系统提案通过遵循新希望提案中引入的方法来评估安全级别。该配方在给定晶格维数n、模量q和标准偏差s的情况下,输出“原始块大小”β和安全级别随β线性增长。这个β是最小的,以至于某些κ满足((n+κ)s^2+1)^{1/2}<(d/β)^{1/2}δ^{2β−d−1}q^{κ/d},其中d=n+κ的+1和δ=(β(πβ)^{1/β}/(2πexp 1))^{1/2(β−1)}。本文确定了β是如何随n增长的,具有足够的精度,以显示常数因子调整q和s的影响。特别地,本文证明了如果lg q增长为q_0 lg n+q_1+o(1),lg s增长为s_0 lg n+s_1+o(l),其中0<=s_0<=1/2<q_0−s_0,则β/n增长为z_0+(z_1+o)/lgn,其中z_0=2Q_0/(q_0–s_0+1/2)^2和z_1具有本文给出的公式。本文提供了一个传统格式的证明和一个由HOL防光助手验证的证明。
SECDSA:经典“唯一控制”下的移动签名和身份验证
埃里克·韦尔
2014年欧洲eIDAS法规规定了强大的电子认证和具有法律约束力的电子签名。两者都需要用户“单独控制”。过去,智能卡的使用基于用户和依赖方之间的直接交互。在这里,唯一的控制是通过向用户提供通过PIN进行签名/身份验证所使用的加密密钥的实际拥有权和控制权。1999年电子签名指令中的一些解释要求这种**经典**单独控制。eIDAS法规废除了该指令,并明确放宽了其在安全性和可用性之间的唯一控制要求。这允许将用户交互外包给中介方(身份验证提供者、签名服务)。这也允许移动应用程序作为智能卡的用户友好替代品。然而,当前的移动平台仅配备了有限的加密硬件,不支持控制密钥的安全知识因子(PIN)。eIDAS的放松引发了对独家控制的担忧;中介方不应扮演中间人和冒充用户的角色。本文提出了一种简单的密码设计,用于在提供经典唯一控制的标准移动平台上进行签名和身份验证。我们认为,我们的设计可以满足最高的eIDAS要求,有效地在2016年欧盟委员会的决定中引入了新的签名类别。我们还概述了欧洲委员会最近提议的基于SECDSA的欧洲数字身份钱包的实施,作为eIDAS法规更新的一部分。
Akira Takahashi和Greg Zaverucha
可验证加密(VE)是一种协议,可以确保加密的明文满足某些属性或关系。它是密码学中的一个重要组成部分,具有许多有用的应用,如密钥托管、群签名、乐观公平交换等。然而,以前的大多数VE方案都局限于使用特定的公钥加密方案或关系进行实例化。在这项工作中,我们提出了一种新的框架,该框架使用基于头部MPC范式的零知识证明系统来实现VE协议(Ishai等人,STOC 2007)。我们的通用编译器可以将一大类零知识证明转化为任何具有不可否认属性的安全公钥加密方案的安全VE协议,这一概念本质上保证了在用作承诺方案时加密的绑定。我们的框架是通用的:因为MPC-in-the-head校准器证明的电路与复杂的加密函数解耦,所以校准器的工作重点是证明加密数据满足关系,而不是明文知识的证明。因此,我们的方法允许使用有关加密数据和加密函数的各种属性组合进行实例化。然后,我们考虑了具体的应用程序,通过首先给出一种新的方法和实现来验证对任意素数阶群中的离散对数进行加密的效率,以证明我们框架的效率。然后,我们给出了第一个实用的具有后量子安全性的AES密钥可验证加密方案,以及一个实现和基准。
曹甘源
除了保密性和完整性的要求外,健壮性已成为认证加密的一个重要标准。我们引入了一个新的概念,称为IND-rCCA,从解密泄漏的角度形式化认证加密的健壮性。这个概念是对AEAD方案中定义的常见概念的扩充,它考虑了由于解密失败而导致的潜在泄漏的不可区分性,特别是在存在多次失败检查的情况下。利用这个概念,我们研究了单个错误解密函数与解密过程中实际泄漏之间的差异。我们引入错误唯一性的概念,以要求只公开一个错误,无论是显式解密还是隐式泄漏,即使存在多次失败检查。这样做的目的是减轻通过泄漏泄露多个错误导致的安全问题。我们进一步将这个概念扩展到IND-sf-rCCA,以形式化涉及无序密文的状态安全。此外,我们重新审视了Encode-then-Encrypt-then-MAC(EEM)范式的健壮性,解决了由于多条错误消息的泄露而引起的问题。然后,我们提出了一种改进以提高其鲁棒性,从而确保误差的唯一性。
Dev M.Mehta、Mohammad Hashemi、David S.Koblah、Domenic Forte和Fatemeh Ganji
屏蔽已成为保护硬件设计免受副通道攻击的最有效方法之一。无论在现场可编程门阵列(FPGA)上正确实现屏蔽方案付出了多少努力,都会意外地发现泄漏。这是因为所有屏蔽设计的假设,即不同股份的泄漏相互独立,在实践中可能不再成立。在这方面,极端温度已被证明是导致泄漏的一个重要因素,即使在正确掩盖的设计中也是如此。之前已使用外部热发生器对此进行了验证(即气候室)。在本文中,我们检查了在不改变设计的情况下,是否可以使用电路组件本身来感应泄漏。具体来说,我们以FPGA中的屏蔽神经网络(NN)为目标,FPGA的主要构建块之一是块随机存取存储器(BRAM)。在这方面,由于神经网络的固有特性,我们新型的内部热发生器仅利用专门用于存储用户输入的存储器,尤其是在频繁将交替模式写入BRAM时。通过考虑最新和最成功的一阶安全屏蔽NN之一,即ModuloNET,评估观察一阶泄漏的可能性。ModuloNET是专门为FPGA设计的,其中BRAM用于存储输入和中间计算。我们的实验结果表明,当将交替输入应用于屏蔽神经网络时,通过提高温度可以观察到并利用不良的一阶泄漏。为了更好地理解极端热的影响,我们进一步使用外部热发生器对设计进行了类似的测试,可以得出类似的结论。
托马斯·罗彻和维克托·舒普
我们提出了一种新的可靠广播协议,该协议提高了长消息的通信复杂性。也就是说,为了通过异步网络将消息$m$可靠地广播到一组$n$方,其中少于$n/3$方可能已损坏,我们的协议实现了$1.5|m|n+O(\kappa n^2\log(n))$的通信复杂性,其中$\kappa$是抗冲突哈希函数的输出长度。此结果改进了以前已知的长消息$2|m|n+O(\kappan^2\log(n))$的界。
维克托·舒普
我们充实了最近提出的Simplex原子广播协议的一些细节,并对其进行了修改,以便领导者以更高效的通信方式分散块。由此产生的协议称为DissersedSimplex,它保持了原始Simplex协议的简单性和出色(实际上是最佳的)延迟特性。我们还提供了几个变体,包括支持“稳定领导者”的变体,包含最近开发的数据传播技术的变体,这些技术使我们能够更有效地分散块,以及“无签名”的变体。我们还建议了一些实际的优化,并提供了具体的性能评估,这些评估不仅考虑了网络延迟,还考虑了网络带宽限制和计算成本。基于这些估计,我们认为,尽管它很简单,但原则上,分散单工在实践中的性能应该与任何其他最先进的原子广播协议一样好或更好,至少在通用吞吐量和延迟方面。
Poulami Das、Andreas Erwig、Michael Meyer和Patrick Struck
加密货币网络主要依赖数字签名方案,该方案用作交易的身份验证机制。不幸的是,今天大多数主要的加密货币,包括比特币和以太坊,都使用易受量子对手攻击的签名方案,即可以访问量子计算机的对手可以伪造签名,从而花费诚实用户的硬币。在加密货币网络中,签名方案通常不是单独执行的,而是在所谓的加密钱包中执行。为了实现对抗量子对手的安全性,签名方案和密码钱包必须能够抵御量子攻击。在这项工作中,我们推进了后量子安全签名和钱包方案的研究。也就是说,我们提供了确定性阈值钱包的第一个形式化模型,并且展示了基于任何具有可重随机密钥的后量子安全阈值签名方案的通用后量子安全构造。然后,我们从基于isogeny的签名方案CSI-FiSh中实例化我们的构造,并且我们表明我们的实例化比以前的工作有了显著改进。
艾丁·阿巴迪
在私有集交集协议(PSI)中,非空结果总是会揭示有关各方的私有输入集的一些信息。此外,在《防扩散安全倡议》的各种变体中,并非所有各方都必然收到或对结果感兴趣。然而,到目前为止,文献已经假设,那些没有收到结果或对结果不感兴趣的各方仍然免费向PSI贡献他们的私人输入集,尽管这样做会损失他们的隐私。在这项工作中,我们首次提出了一个多方PSI,称为“Anesidora”,用于奖励为协议贡献其私人输入集的各方。海葵是有效的;它主要依赖于对称密钥基元,其计算和通信复杂性与参与方数量和集基数呈线性关系。即使大多数政党被积极勾结的对手所腐化,它仍然是安全的。
穆斯塔法·哈伊拉腊
可调HCTR是Dutta和Nandi在Indocrypt 2018中提出的一种可调加密。当不经常使用每个调整值时,它提供了超越生日限制的安全性。更重要的是,它的安全界限随着最大输入长度线性下降。在本说明中,我们通过显示一个具有优势$O(l^2/2^n)$的单个查询区分符来证明这不是真的,其中$l$是该查询的长度。区分符并没有打破超生日界限的说法,但比所声称的界限具有更高的优势。
本杰明·本奇纳、亚历山德罗·布德罗尼、杰苏斯·哈维尔·奇多明格斯和穆库尔·库尔卡尼
近年来,格同构问题(LIP)被用作构造抗量子密码原语的基本假设,例如Ducas和van Woerden的零知识证明和数字签名方案(Eurocrypt 2022),以及HAWK数字签名方案。虽然先前在群体行动密码学方面的工作,例如Brassard和Yung(Crypto 1990)的工作,以及最近Alamati、De Feo、Montgomery和Patranabis(Asiacrypt 2020)的工作重点是研究群体行动框架中的离散对数问题和基于等代的问题,近年来,基于确定代数对象之间等价性的困难,该框架被用于研究计算问题的密码属性。示例包括LESS(Africacrypt 2020)中使用的置换和线性码等价问题,以及张量同构问题(TCC 2019)。本研究深入探讨了LIP的二次型版本,并通过群体行动的视角对其进行了检验。在这项工作中,我们(1)给出了形式化定义并研究了该群动作(LIGA)的密码学性质,(2)证明了LIGA既没有弱不可预测性,也没有弱伪随机性,(3)在某些假设下,在时间复杂度和所需样本数之间建立理论平衡,以打破大维度的弱不可预测性。我们还进行了支持我们分析的实验。此外,我们利用我们的发现在二次型上构造新的难题。
达斯汀·雷和卡罗琳·埃尔·贾兹米
机器学习系统继续快速发展,在各个领域和学科中表现出显著的实用性。随着这些系统的规模和复杂性不断增长,一个旨在将机器学习即服务(MLaaS)推向市场的新兴行业正在兴起。将这些系统的操作和培训外包给强大的硬件具有许多优势,但当需要确保潜在的不受信任方所做工作的隐私和正确性时,就会出现挑战。应用零知识密码学学科和概率证明系统的最新进展,已经为任何计算生成完整性证明的方法,反过来,任何一方都可以在任何时间、任何地点对其进行有效验证。在这项工作中,我们提出了一种非交互式、合理的量化后安全、概率可验证的论证系统的应用,该系统用于有效验证隐私机制在训练过程中无可辩驳地应用于机器学习模型的保证。也就是说,我们证明了在单台机器上对60000个样本的数据集在55分钟内进行差分-私有(DP)线性回归的正确训练,在47秒内验证了整个计算。据我们所知,这个结果代表了文献中已知的在这种规模的数据集上可证明-DP的最快实例。最后,我们展示了如何并行运行此任务,从而进一步显著降低验证程序和验证器运行时的复杂性。我们认为,这一结果是迈向端到端私有MLaaS的关键垫脚石。
曹正军、刘丽华
我们展示了身份验证机制[Ad Hoc Networks,2023,103003]无法保持用户匿名性,这与所声称的不同。
马歇尔·鲍尔(Marshall Ball)、胡安·加雷(Juan Garay)、彼得·霍尔(Peter Hall)、阿格洛斯·凯亚斯(Aggelos Kiayias)和乔戈斯·帕纳乔塔科斯(Giorgos Panagiotakos)
我们在标准假设下研究了无许可共识(又称拜占庭协议)的可行性。已经提出了许多协议来实现无许可共识,最显著的是基于比特币协议;然而,到目前为止,还没有已知的协议可以在随机预言机模型之外进行可证明的实例化。在这项工作中,我们迈出了在标准模型中实现无许可共识的第一步。特别是,我们证明了细粒度复杂度中的最坏情况猜想,尤其是正交向量猜想(由强指数时间假设暗示),意味着随机信标模型中的无许可共识,在这种情况下,新的随机值会定期传递给各方。这带来了一个显著的双赢结果:要么相对于随机信标存在无许可共识,要么对于许多自然算法问题(包括SAT)存在非平凡的最坏情况算法加速。我们的协议实现了对控制诚实计算能力的逆多项式分数的对手的恢复能力,即对于某些常数$ε>0$,对手能力$A=T^{1-ε}$,其中$T$表示诚实计算能力。这个相对较低的阈值是细粒度复杂度推测中松弛的副产品。一个技术亮点是构建种子工作证明:一个工作证明,其中许多(相关的)挑战可以从一个短的公共种子中获得,但仍然不可能实现非平凡的摊销。
超越Fibonacci的Regev因子分解:优化预因子
塞翁·拉加万
在本注释中,我们通过空间和/或大小中的常数因子改进了Ragavan和Vaikuntanathan[RV24]提出的Regev量子因子分解算法[Reg23]的空间有效变体。这使我们能够通过[Reg23]和[RV24]桥接电路之间混凝土效率的显著差距;[Reg23]使用的门更少,而[RV24]使用的量子位更少。主要观察结果是,[RV24]提出的节省空间的量子模幂技术可以进行修改,以处理比斐波那契数更一般的整数序列。我们根据线性递归关系将其参数化,并通过此公式构建三个不同的量子因子分解电路:-一种电路,使用$n$位整数的$\approx 12.4n$量子位和$\approx 54.9n^{1/2}$乘法。-一种使用$(9+\epsilon)n$qubits和$n$-bit整数的$O_\epsilen(n^{1/2})$乘法的电路,对于任何$\epsi隆>0$。-一种电路,对任何$\epsilon>0$使用$n$-位整数的$(24+\epsi隆)n^{1/2}$乘法和$O_\epsillon(n)$qubits。相比之下,[Reg23]的原始电路使用至少$\approx3n^{3/2}$qubits和$\applox6n^{1/2}$对$n$-bit整数的乘法,而[RV24]的空效变量使用$\approprox10.32n$qubites和$\Approx138.3n^{1/2}$n$-位整数的$乘法(尽管对其基于斐波那契的电路进行了非常简单的修改,使用了大约11.32n$qubits,而只有大约103.7n^{1/2}$$位整数的乘法)。本说明中提出的改进对$n$的足够大的值生效;它们是否也能为实际问题规模提供好处,还有待观察。
对于3个或更多空间维度的计算机,内存不会增加网格筛选的成本
塞缪尔·杰克斯
基于晶格的晶体学(LWE、NTRU和FHE)的安全性取决于最短矢量问题(SVP)的难易程度。筛选算法给出了求解SVP的最低渐近运行时间,但依赖于指数记忆。内存访问在实际中的成本比RAM模型中的成本要高得多,因此我们考虑一个计算模型,其中处理器、内存和线宽之间的比例是恒定的。虽然这增加了网格筛选过程中路由数据的大量成本,但我们修改了现有算法来分摊这些成本,并发现,对于存在于3个或更多空间维度的计算机,经典计算机可以达到以前的RAM模型成本$2^{0.2925d+o(d)}$,从而筛选出$d$维的网格,并且可以在2个空间维度中达到$2^{0.3113d+o(d)}$,其中“空间维度”是计算机所在的物理几何体的维度。在一些关于恒定内存访问条件的假设下,我们估计不同Kyber参数集的位安全性增加幅度为7$~23$bits,Dilithium的位安全度增加幅度为8$~22$bits。
TNT及其后的严密安全:级联LRW范式的攻击、证据和可能性
阿什温·贾阿、穆斯塔法·哈伊拉腊、姆里杜尔·南迪和阿比桑卡·萨哈
Liskov、Rivest和Wagner为可调整分组密码(TBC)奠定了理论基础。在一篇开创性的论文中,他们提出了两种(直到)生日绑定安全设计策略——LRW1和LRW2——来将任何分组密码转换为TBC。接下来的几项工作考虑了LRW型TBC的级联,以构建超越出生日界限(BBB)的安全TBC。Landecker等人证明,LRW2的两轮级联就可以提供BBB安全。Bao等人在LRW1和TNT(LRW1的三轮级联)的背景下进行了类似的练习,已经证明该练习也可以实现BBB安全。在本文中,我们提出了一个TNT上的CCA区分器,它通过$O(2^{n/2})$查询实现了一个不可忽略的优势,直接与设计者的安全声明相矛盾。我们提供了严格完整的优势计算,并进行了实验验证,进一步支持了我们的主张。接下来,我们为TNT及其单键变体提供了生日绑定CCA安全性的新的简单证明,这证实了我们攻击的严密性。进一步说,我们发现,只增加一个称为4-LRW1的分组密码调用,不仅可以重新建立BBB安全性,还可以将其放大到$2^{3n/4}$查询。作为这一努力的副作用,我们提出了级联LRW设计哲学的新抽象,称为LRW+范式,包括夹在一对可调整的通用散列之间的两个分组密码调用。这有助于我们提供一个模块化证明,涵盖所有级联LRW结构,至少$2$轮,包括4-LRW1及其更成熟的亲属,即众所周知的CLRW2,或者更恰当地说,2-LRW2。
Mahdieh Heidaripour、Ladan Kian、Maryam Rezapour,Mark Holcomb、Benjamin Fuller、Gagan Agrawal和Hoda Maleki
敏感多维阵列的存储必须在存储和处理时间方面安全高效。可搜索加密允许在安全性和效率之间进行权衡。可搜索加密设计侧重于构建索引,而忽略了记录检索的关键方面。Gui等人(PoPETS 2023)表明,了解记录检索的安全性和效率对于了解整个系统至关重要。提高安全性的一种常见技术是将数据元组划分为多个部分。当请求元组时,检索整个相关部分,隐藏感兴趣的元组。这项工作评估了密集数据设置中的元组分区策略,考虑了随机、$1$-维和多维的部分。我们考虑$2$、$3$和$4$维的合成数据集,其大小可扩展到$2$M元组。我们比较了各种记录检索方法的安全性和效率。我们的发现是:1.对于大多数配置,多维分区可以产生更好的效率和更少的泄漏。2.当第一个(索引)维度为任意大小时,只要查询在除(第一个维度可以为任意大小)之外的所有其他维度中都较大,则一维分区优于多维分区。3.当使用bucketed ORAM时,一维分区的泄漏减少最多(Demertiz等人,USENIX Security 2020)。
罗宾·贾杜尔(Robin Jadoul)、阿克塞尔·默滕斯(Axel Mertens)、Jeongeun Park和希尔德·佩雷拉(Hilder V.L.Pereira)
NTRU问题已被证明是全同态加密(FHE)方案中有效引导的有用构件,并且已经提出了不同的此类方案。FINAL(ASIACRYPT 2022)首次使用同态多路复用(CMux)门构造FHE,用于盲旋转操作。后来,XZD+23(CRYPTO 2023)通过更改密文格式来实现环自同构评估,从而进行了渐近优化。在这项工作中,我们研究了对FINAL的修改,以评估更高arity的CMux门,以及由此产生的对运行时间和引导密钥大小的权衡。在这种情况下,我们可以比较两个具有较大密钥空间的引导协议的时间和空间效率以及最新技术。
Vision Mark-32:二进制塔字段上的ZK-Friendly散列函数
托梅尔·阿舒尔、穆罕默德·马佐恩、吉姆·波森和达尼洛·希亚奇奇
零知识证明系统广泛应用于互联网上的不同应用。在零知识证明系统中,SNARK由于其快速的验证时间和较小的证明规模而成为流行的选择。零知识系统的效率对可用性至关重要,这导致了所谓的面向算术的密码的发展。在这项工作中,我们引入了Vision Mark-32,这是一个在二进制塔字段上定义的Vision的修改实例,具有优化的轮数和有效的MDS矩阵。我们在Alveo U55C FPGA加速卡上实现了一个完整的流水线Vision Mark-32置换,与流行的Poseidon散列算法相比,硬件效率提高了一个数量级。我们的全流水线Vision Mark-32实现在250 MHz下运行,使用398 kLUT和104 kFF。最后,我们描述了如何在硬件中有效地实现每个步骤。
秦元、李春雷、曾向勇、托尔·赫列塞斯、何德彪
非线性复杂度是衡量序列随机性的重要指标。在本文中,我们研究了循环移位如何影响有限长度二进制序列的非线性复杂性,然后揭示了有限长度二进制序列的非线性复杂性与其相应的周期序列之间更明确的关系。基于这种关系,我们提出了两种算法,可以生成具有任意规定非线性复杂度的所有周期二进制序列。
Kronos:具有优化开销的安全通用共享区块链共识
刘一忠、刘安迪、袁璐、潘卓成、李一诺、刘建伟、宋卞、毛罗·孔蒂
分片通过将网络划分为多个分片来增强区块链的可扩展性,每个分片管理特定的未用交易输出或账户。作为一种引入的新交易类型,跨分片交易对分片区块链的安全性和效率提出了严峻挑战。目前,缺乏一种既能实现安全性又能降低开销的通用切分共识模式。在本文中,我们提出了Kronos,一种实现优化开销的安全分片区块链共识。特别是,我们提出了一种新的安全切分共识模式,该模式基于由切分成员共同管理的缓冲区。有效的交易通过缓冲区传输给收款人,而无效的交易则通过愉快或不愉快的路径被拒绝。证明了Kronos在恶意客户端下以原子性实现了安全性,并且具有最优的内部开销$k\mathcal{B}$(涉及的碎片数为$k$,拜占庭容错(BFT)成本为$\mathcal{B}$$)。有效的拒绝甚至不需要在愉快的路径中执行BFT,而且不愉快的路径的成本仍然低于两阶段提交。此外,我们提出了基于批量认证和可靠的跨碎片传输的安全跨碎片认证方法。前者结合了混合树或向量承诺,而后者则集成了擦除编码。在处理$b$事务时,Kronos被证明具有低交叉分片开销$\mathcal{O}(nb\lambda)$($n$表示分片大小,$\lambda$表示安全参数)的可靠性。值得注意的是,Kronos对BFT没有任何限制,也不依赖于时间假设,在各个模块中提供可选结构。Kronos可以作为一个通用框架,用于增强现有BFT协议的性能和可扩展性,支持通用模型,包括异步网络,将吞吐量提高几个数量级。我们使用两个著名的BFT协议实现Kronos:异步加速小飞象(NDSS’22)和部分同步Hotstuff(PODC’19)。大量实验(4个AWS区域中多达1000个AWS EC2节点)表明,Kronos将共识节点扩展到数千个,在2.0秒的延迟下实现了320 ktx/sec的可观吞吐量。与过去的解决方案相比,Kronos的表现更胜一筹,在跨碎片事务主导工作负载时,吞吐量提高了12美元/倍,延迟减少了50%。
Keita Emura、Shingo Sato和Atsushi Takayasu
密钥同态公钥加密(KHPKE)是同态公钥密码的一种变体,只有拥有同态评估密钥的用户才能执行同态评估。然后,KHPKE针对没有同态评估密钥的用户满足CCA2安全性,而针对拥有密钥的用户则满足CCA1安全性。到目前为止,已经在标准Diffie-Hellman型假设下提出了几个KHPKE方案,并且也从格中提出了密钥全同态加密(KFHE)方案,尽管在标准模型中没有仅在LWE假设下安全的KFHE方案。作为一种自然延伸,KHPKE有一种基于身份的变体;然而,安全性基于$q$类型假设,并且没有基于属性的变体。此外,由于已知KFHE方案的复杂设计,KFHE-方案没有基于身份的变体。在本文中,我们提供了两种基于属性的变体的构造。首先,我们从格出发提出了一种基于属性的KFHE(ABKWHE)方案。我们从设计第一个仅在标准模型中的LWE假设下安全的KFHE方案开始。由于该设计在概念上比已知的KFHE方案简单得多,因此我们用基于属性的构造块替换它们的构造块,并获得了所提出的ABKWHE方案。接下来,我们从对编码方案(PES)中提出了一种高效的基于属性的KHPKE(ABKHE)方案。由于PES的优点,我们获得了各种ABKHE方案,其中包括在标准的$k$-线性假设下安全的第一个基于身份的KHPKE方案和支持更具表现力谓词的第一个配对的ABKKE方案。
使用片上阻抗监测的BackMon:IC背面篡改检测
塔胡拉·莫萨维里克和沙欣·塔吉克
翻盖技术的扩展和背面保护的缺乏使得集成电路(IC)容易受到来自IC背面的某些类型的物理攻击。激光辅助探测、电磁和基于身体的注射攻击就是此类攻击的例子。不幸的是,文献中提出的对策很少,也没有商业上可用的对策。那些确实存在的芯片不仅价格昂贵,而且与当前的集成电路制造工艺不兼容。它们也无法集成到传统系统中,例如现场可编程门阵列(FPGA),后者是许多工业和国防系统的组成部分。在本文中,我们演示了如何使用基于芯片电路的网络分析仪对印刷电路板(PCB)和IC封装的配电网络(PDN)进行阻抗监测,以检测IC背面篡改。我们的方法基于这样一个事实,即任何篡改尝试都会暴露背面硅衬底,例如,风扇和散热器的移除会导致封装PDN的等效阻抗发生变化,因此,扫描封装阻抗将揭示是否违反了封装完整性。为了验证我们的说法,我们在采用16 nm技术制造的AMD Zynq UltraScale+MPSoC上部署了一个基于FPGA的网络分析仪,该分析仪是多PCB系统的一部分。我们在不同温度下进行了一系列实验,利用平均值的差异作为统计指标,以证明我们的方法在检测暴露IC背面硅所需的篡改事件方面的有效性。
瓦希德·阿萨迪(Vahid R.Asadi)、科戴·库鲁瓦(Kohdai Kuroiwa)、戴比·梁(Debbie Leung)、亚历克斯·梅(Alex May)、萨布丽娜·帕斯特斯基(Sabrina Pasterski)和克里斯·瓦德尔
机密条件公开(CDS)原语是研究通信、随机性和安全性之间关系的最简单的加密设置之一。CDS涉及两方,Alice和Bob,他们不通信,但当且仅当布尔函数$f$具有$f(x,y)=1$时,他们希望向仲裁人透露秘密$z$。爱丽丝知道$x,z$,鲍勃知道$y$,裁判知道$x,y$。最近,一种称为CDQS的原语的量子模拟物被定义并与f路由相关,这是一项在量子位置验证背景下研究的任务。CDQS具有与CDS相同的输入、输出和通信模式,但允许使用共享纠缠和量子消息。我们启动了CDQS的系统研究,目的是在信息理论背景下更好地理解隐私与量子资源之间的关系。我们首先寻找经典CDS文献中已经建立的结果的量子类似物。通过这样做,我们建立了CDQS的一些基本性质,包括纠缠和通信的下界,这些下界是根据通信复杂性的度量来表述的。由于与$f$路由位置验证方案密切相关,因此我们的结果与这些方案的安全性相关。
Loïc Demange和Mélissa Rossi
BIKE是一种后量子密钥封装机制(KEM),用于NIST第四轮标准化活动。它依赖于准循环码的综合征解码问题的难度以及公钥与随机元素的不可区分性,并在第四轮候选中提供最具竞争力的性能,这使得它与未来的实际用例相关。分析其副渠道阻力受到了社区的高度鼓励,一些工作已经概述了各种副渠道弱点,并提出了特别对策。然而,与已有大量文献记载的基于掩蔽格的算法研究路线相反,在Cong Chen等人2016年的一篇论文中,通过掩蔽对基于代码的算法进行一般保护的可能性只进行了少量研究。在标准化运动的现阶段,重要的是评估完全掩蔽BIKE方案的可能性以及由此产生的性能成本。在这项工作中,我们提供了基于代码的算法的第一个高阶屏蔽实现。我们必须解决许多问题,例如找到处理大型稀疏多项式的适当方法、屏蔽密钥生成算法或保留位切片的优点。在本文中,我们介绍了提供完全屏蔽的BIKE实现所需的所有小工具,讨论了我们的不同实现选择,并提出了Ishai Sahai and Wagner(Crypto 2003)模型中屏蔽的完整证明。更实际的是,我们还提供了一个具有广泛基准的密钥生成、封装和解除封装算法的开放C代码屏蔽实现。虽然获得的性能比现有的基于掩蔽格的算法慢,但掩蔽顺序中的缩放仍然令人鼓舞,并且没有使用布尔到算术转换。我们希望这项工作能够成为未来分析和优化的起点。
王永革
变压器神经网络自引入以来获得了巨大的吸引力,成为跨不同领域的关键。特别是在像Claude和ChatGPT这样的大型语言模型中,转换器体系结构表现出了显著的效果。本文简要概述了变压器神经网络,并深入研究了它们的安全考虑因素,重点关注隐蔽通道攻击及其对大型语言模型安全性的影响。我们提出了一种利用加密的隐蔽通道,并证明了它在规避Claude.ai的安全措施方面的有效性。我们的实验表明,Claude.ai似乎会记录我们的查询,并在我们首次成功破解后的两天内阻止我们的攻击。这在社区内引发了两个问题:(1)大型语言模型对用户输入的广泛记录可能会给用户带来隐私风险。(2) 由于缺乏实验重复性,这可能会阻碍对此类模型安全性的学术研究。
Tony Metger、Alexander Poremba、Makrand Sinha和Henry Yuen
一致随机单位,即从Haar测度中提取的单位,具有许多有用的性质,但不能有效地实现。这激发了对随机单位的长期研究,这种单位“看起来”足够随机,同时也可以有效地实现。出现了两种不同的错位概念:$t$-设计是信息理论上重现Haar度量的前$t$矩的随机单位,伪随机单位(PRU)是计算上无法与Haar随机区分的随机单位。在这项工作中,我们采用了一种统一的方法来构建$t$-设计和PRU。为此,我们引入并分析了“$PFC$系综”,它是随机计算基置换$P$、随机二元相位算子$F$和随机Clifford酉$C$的乘积。我们表明,该系综再现了Haar测度的指数高矩。然后,我们可以取消显示$PFC$集合,以显示以下内容:1.线性深度设计。我们给出了电路深度在$t$内线性的(diamond-error)近似$t$设计的第一个构造。这源于$PFC$系综,将随机相位和置换算子替换为它们的$2t$独立对应算子。2.非自适应PRU。我们给出了具有非自适应安全性的PRU的第一种构造,即我们构造了从Haar随机到多项式时间区分器无法区分的幺正矩阵,这些幺正函数在任意状态下并行查询幺正。这源于$PFC$系综,将随机相位和置换操作符替换为其伪随机对应项。3.自适应伪随机等距。我们表明,如果考虑从$n$到$n+\omega(\logn)$qubits的等距(而不是单位),对我们的PRU构造进行一个小的修改就可以实现自适应安全性,即,即使可以按顺序自适应查询等距的区分器也无法将其与Haar随机等距区分开来。这给出了自适应伪随机等距的第一个构造。在另一个猜想下,该证明也扩展到了自适应PRU。
最近用于因子分解和计算离散对数的量子算法的无条件正确性
塞德里克·皮拉特
1994年,肖尔引入了他著名的量子算法,在多项式时间内对整数进行因子分解和计算离散对数。2023年,Regev提出了Shor算法的多维版本,它需要更少的量子门。他的算法依赖于对$(\mathbb{Z}/N\mathbb{Z})^{times}$中元素的数论猜想,这些元素可以写成非常小素数的短积。我们使用解析数论中的工具(如零密度估计)证明了这个猜想的一个版本。因此,我们获得了该改进量子算法及其后续变体正确性的无条件证明。
佩德罗·布兰科(Pedro Branco)、尼科·德特林(Nico Döttling)、阿克沙亚拉姆·斯里尼瓦桑(Akshayaram Srinivasan)和里卡多·扎诺托(Riccardo Zanotto)
某处的统计绑定(SSB)散列允许我们采样一个特殊的散列键,以便摘要统计绑定$m$机密位置的输入。如果有一个额外的活门,允许从摘要中提取$m$位置的输入位,则该散列函数称为某处可提取(SE)。Devadas、Goyal、Kalai和Vaikuntanathan(FOCS 2022)引入了某种可提取散列的变体,称为rate-1完全本地SE散列函数。rate-1要求规定摘要的大小为$m+\mathsf{poly}(\lambda)$(其中$\lambda$是安全参数)。完全局部属性要求,对于任何索引$i$,都有一个“非常短”的开口,表明散列输入的第$i$位等于某些$b\in\{0,1\}$的$b$。这个开口的大小需要独立于$m$,特别是,这意味着它的大小与摘要的大小无关。Devadas等人从错误学习(LWE)中给出了这样的结构。在这项工作中,我们从Decisional Diffie-Hellman(DDH)和BARG构造了一个速率为1的完全局部某处可提取散列函数。在相同的假设下,我们给出了具有部分输入稳健性的速率-1 BARG和RAM SNARG的构造,其证明大小仅与基于LWE的先前构造相匹配。
伯纳多·戴维、拉斐尔·道斯利、安德斯·科宁和马里奥·拉兰吉拉
可验证随机函数(VRF)可以由持有密钥的证明者对输入进行评估,生成伪随机输出和可以使用相应公钥验证的输出有效性证明。VRF是委员会选举机制的一个核心构建块,该机制对各方进行抽样,以执行加密协议中的任务,例如在取证(PoS)区块链中生成块或执行一轮MPC协议。我们提出了具有以下额外属性的可聚合密钥相关VRF(a-KE-VRF)的概念和匹配构造:1。聚合:将不同密钥下不同输入的多个VRF评估的证明合并为一个常量大小的证明;2.密钥转换:防止腐败一方(学习其密钥)的对手“伪造”过去VRF评估的证据。作为一种即时应用,我们改进了PoS区块链的区块大小和Proofs-of-Stake(PoPoS)的效率。此外,A-KE-VRF概念允许我们构建具有Key-Evolving属性的未来加密(EtF)和过去认证(AfP)方案,从而提供前向安全性。EtF方案允许向随机选择的一方发送消息,该方将在未来执行角色,而AfP方案允许该方验证其消息是否来自过去执行该角色的过程。这些原语对于实现YOSO MPC框架(CRYPTO’21)至关重要。
尼古拉斯·恩盖(Nicholas Ngai)、伊奥安尼斯·德默茨(Ioannis Demertzis)、贾瓦德·加勒·查马尼(Javad Ghareh Chamani)和迪米特里奥斯·帕帕佐普洛斯(Dimitrios Papadopoulos)
现有的遗忘系统通过隐藏内存访问模式提供了强大的安全性,但它们遇到了显著的可扩展性和性能挑战。最近增强这些系统实用性的努力涉及在可信执行环境(TEE)中嵌入不经意计算,例如,不经意排序和洗牌。例如,遗忘排序被大量使用:在Oblix(S&P’18)中,当创建和访问遗忘索引时;在初始化期间以及对输入请求进行重复数据消除并准备交付时,Snoopy的高吞吐量不经意键值(SOSP’21);所有提议的不经意SQL操作符均采用不透明(NSDI’17);采用最先进的非外键不经意连接方法(PVLDB'20)。此外,Signal的联系人发现商业解决方案、匿名谷歌的密钥透明、可搜索加密、软件监控以及用户隐私的差异化私有联合学习中的不经意排序/洗牌查找应用程序。在这项工作中,我们通过重新设计这些方法来解决不经意排序和洗牌的可伸缩性瓶颈,以在分布式多域环境中实现高效。首先,我们提出了一种针对分布式设置进行优化的多线程双音排序,使其成为针对少量飞地(最多4个)的最具性能的不经意排序。对于更多的包,我们提出了一种新的不经意桶排序,它改进了数据局部性和网络消耗,比我们优化的分布式比特排序性能高出5-6倍。据我们所知,这是第一个基于分布式不经意TEE的排序解决方案。作为参考,我们能够在多包含测试中对1秒内的2GiB数据和53.4秒内的128GiB数据进行排序。我们的遗忘桶排序的一个基本构建块是遗忘混洗,它在分布式多包围区设置中将先前最先进的结果(CCS’22)提高了9.5倍——有趣的是,即使在单包围区/多线程设置中,它也能提高10%。
基于拉格朗日的单变量多项式的Hadamard积论证
谢杰、胡云聪和俞渝
哈达玛积是两个向量的点积。本文提出了一种基于一元多项式证明Hadamard-product关系作为SNARK子协议的新方案。证明程序使用线性加密操作生成包含对数字段元素的证明。该验证采用双线性群中配对数为常数的对数密码操作。该方案的构建基于基于拉格朗日的KZG承诺(Kate、Zaverucha和GoldbergAsiacrypt 2010)和折叠技术。我们从拉格朗日形式的一元多项式的折叠技术出发,构造了一个内积协议,并通过仔细选择适合折叠技术的随机多项式,从内积协议出发,构造出一个Hadamard-product协议,为证明线性时间内的线性代数关系提供了一种替代方法,该协议比以往的工作具有更好的具体证明规模。
阿南特·夏尔马(Anant Sharma)、努普尔·德什潘德(Nupur Deshpande)、桑奇塔·戈什(Sanchita Ghosh)、斯列塔马·达斯(Sreetama Das)和什巴达斯·罗伊(Shibdas Roy)
旅行推销员问题是在城市网络中找出最短路线的问题,销售人员需要旅行到所有城市,而不需要多次访问同一个城市。这个问题被称为$NP$-难问题,对于$N$个城市来说,其强制复杂性为$O(N^N)$或$O(N2N})$。如果给定的图中至少存在一个哈密顿圈,那么这个问题等价于找出给定图中最短的哈密顿环。这个问题的量子算法通常只使用Grover搜索提供二次加速,因此复杂性为$O(N^{N/2})$或$O(N ^N)$。我们提出了一种解决该问题的有界误差量子多项式(BQP)算法,具有指数加速。我们算法的总体复杂度为$O(N^3\log(N)\kappa/\epsilon+1/\epsilon^3)$,其中错误$\epsillon$是$O(1/{rm poly}(N))$,$\kappa$是编码所有哈密顿圈的矩阵的非大条件数。
阿蒙德·阿斯克兰(Amund Askeland)、西门·德胡厄(Siemen Dhooghe)、斯维特拉·尼科娃(Svetla Nikova)、文森特·里杰曼(Vincent Rijmen)和张振达(Zhenda Zhang)
我们提供了AES的三个一阶硬件屏蔽,每个屏蔽允许在共享数量和注册阶段数量之间进行不同的权衡。所有屏蔽都使用了保护方法更改的一般化,从而能够在屏蔽的S盒之间重复使用随机性。因此,屏蔽不需要新的随机性,同时仍然允许最小数量的共享,并在故障扩展探测模型中提供可证明的安全性。低区域变体有五个延迟周期,序列化区域成本为8.13~kGE$。与低延迟变体相比,低延迟变体将延迟减少到三个周期,同时将序列化区域增加$67.89\%$。AES加密的屏蔽在FPGA上实现,并使用测试向量泄漏评估(TVLA)进行评估。
Masaya Nanri、Octavio Perez Kempner、Mehdi Tibouchi和Masayuki Abe
等价类签名允许基于消息空间中定义的等价类的受控延展性。因此,签名可以被公开随机化,并适应于同一等价类中的新消息代表。值得注意的是,安全性要求自适应签名消息对在新消息代表的有效签名空间中看起来与随机签名消息对无法区分。再加上决定性的Diffie-Hellman假设,这产生了一个不可链接的概念(类定义),使它们成为隐私保护原语的一个非常有吸引力的构建块。Mercurial签名是等价类签名的扩展,允许密钥空间的延展性。不幸的是,迄今为止最有效的构造受到了严重的限制,限制了它们的应用:只支持弱形式的公钥类定义。换句话说,给定原始签名密钥的知识和相应公钥的随机化,就可以确定它们是否相关。在这项工作中,我们提出了交互式阈值汞签名的概念,并展示了它们如何帮助克服上述限制。此外,我们假设至少有一个诚实签名者,在两方和多方设置中给出了构造。我们还讨论了相关的应用,包括盲签名、多签名和门限环签名。为了展示我们方法的实用性,我们实施了建议的结构,并将其与相关备选方案进行了比较。
Kyungbae Jang、Sejin Lim、Yujin Oh、Hyunjun Kim、Anubhab Baksi、Sumanta Chakraborty和Hwajeong Seo
量子计算机有潜力解决经典计算机几乎无法解决的难题,这引发了一股研究热潮,将量子技术和算法应用于密码系统,以评估其量子电阻。在选择量子后标准的过程中,NIST根据量子计算机破解AES加密(级别1、3和5)以及SHA-2或SHA-3(级别2和4)所需的复杂性对安全级别进行分类。在评估密码算法对抗量子威胁的安全强度时,准确预测量子资源至关重要。继Jaques等人在Eurocrypt 2020年的工作之后,NIST估计了安全级别1、3和5,分别对应于用于查找AES-128、AES-192和AES-256密钥的量子电路大小。这项工作最近由Huang等人(Asiacrypt’22)和Liu等人(Asia crypt‘23)等跟进;尽管Jang等人(ePrint’22)的工作中提供了最新的结果。然而,对于与SHA-2和SHA-3散列函数的冲突查找相关的级别2和4,量子攻击复杂性可能没有得到很好的研究。在本文中,我们提出了新的技术,用于优化NIST指定的所有类别的SHA-2和SHA-3算法的量子电路实现。然后,我们评估用于量子碰撞搜索的目标密码散列函数的量子电路。最后,我们定义了2级和4级的量子攻击复杂性,并评论了扩展级别的安全强度。我们提出了在元件级和架构级优化量子电路的新概念。
SQIAsignHD:SQIsignHD适配器签名
Farzin Renan和Péter Kutas
适配器签名可以被视为标准数字签名方案的一种通用形式,其中秘密随机性隐藏在签名中。适配器签名是一种最新的加密原语,正在成为区块链应用(如加密货币)的重要工具,以降低链上成本,提高可替代性,并有助于在支付通道网络、支付通道中心和原子交换中实现非链支付形式。然而,由于Shor算法的原因,目前使用的适配器签名构造容易受到量子对手的攻击。在这项工作中,我们引入了$\mathsf{SQIAsignHD}$,这是一个新的基于超奇异椭圆曲线等基因的抗量子适配器签名方案,使用SQIsignHD作为底层签名方案,并利用了超奇异等基因差分-赫尔曼密钥交换协议SIDH上的人工定向思想,作为潜在的硬关系。此外,我们还证明了我们的方案在量子随机Oracle模型(QROM)中是安全的。
Sacha Servan-Schreiber公司
本文利用减法秘密共享和相关密钥攻击安全性的思想,建立了一个用内积约束谓词构造约束伪随机函数(CPRF)的框架。我们的框架可以使用随机预言机或任何合适的相关密钥攻击(RKA)安全伪随机函数来实例化。我们提供了框架的三个实例:1.随机预言模型中的自适应安全结构;2.DDH假设下的选择性安全结构;和3.一个多项式域的选择性安全结构,假设存在单向函数。所有三个实例化都是约束隐藏的,并支持产品内谓词,从而导致在每个相应的假设下,这种表达性CPRF的第一个构造。此外,虽然基于OWF的构造主要具有理论意义,但基于随机预言机和DDH的构造在具体上是有效的,我们通过一个实现证明了这一点。
LWE的最坏情况到平均情况硬度:一个简单实用的观点
Divesh Aggarwal、Leong Jin Ming和Alexandra Veliche
在这项工作中,我们研究了错误学习问题(LWE)的最坏情况到平均情况的硬度,硬度是概率多项式(PPT)算法可以实现的最大成功概率。Regev(STOC 2005)、Peikert(STOC2009)和Brakerski,Peikert,Langlois,Regev,Stehle(STOC2013)以前的工作给出了格问题的最坏情况到平均情况的约简,特别是近似决策变量LWE的最短向量问题(GapSVP)和有界距离解码(BDD)问题。然而,这些减少是有损的,因为即使对GapSVP或BDD的最坏情况硬度的最强烈假设也意味着LWE的硬度只有轻微的。我们的另一种观点给出了更严格的还原,并将LWE的硬度与BDD的硬度紧密联系在一起。特别地,我们表明,在关于通过PPT算法求解BDD的成功概率的合理假设下,我们获得了通过PPT方法求解LWE的最大可能成功概率的近似紧下界。此外,我们还证明了用于决策LWE的任何概率多项式时间算法的最佳可实现成功概率与搜索-LWE的最佳可达到成功概率之间的紧密关系。我们的结果不仅完善了我们对LWE计算复杂性的理解,而且为分析实际的安全含义提供了一个有用的框架。
POKE:高效PKE、从高维异构体中分离KEM和OPRFs的框架
安德烈亚·巴索
我们引入了一个新的框架POKE,用更高维的表示从非理性同构中构建加密协议。该框架使双方能够操纵等值线的高维表示,以有效地计算它们的前推,并最终获得共享秘密。我们基于POKE提供了三种构造:第一种是PKE协议,它是最紧凑的量子后PKE之一,可能是迄今为止最有效的基于同系物的PKE。然后,我们引入了一种验证技术来确保uniSIDH公钥的正确性:通过将验证方法与基于POKE的构造相结合,我们获得了一个分裂的KEM,这是一个泛化NIKE的原语,可以用于实例化Signal的X3DH协议的后量子版本。第三种构造基于分离的KEM及其验证方法,以获得可验证的循环最佳OPRF。它是第一个不需要超过$\lambda$同根系计算的此类构造,并且它比所有其他基于同根系的OPRF更紧凑、更高效。
flookup:在与表大小无关的准线性时间内基于分数分解的查找
阿里尔·加比松和德米特里·霍夫拉托维奇
我们提出了一个协议,用于检查大小为$m$的乘法子群$H\subset\mathbb{F}$上的承诺多项式$\phi(X)$的值,该子群包含在表$T\in\mathbb{F}^N$中。经过$O(N\log^2 N)$预处理步骤后,证明程序算法在*准线性*时间$O(m\log^2m)$内运行。我们改进了最近的突破性结果Caulk[ZBK+22]和Caulk+[PK22],它们是第一个在全表大小$N$中实现复杂性次线性的结果,证明程序时间分别为$O(m^2+m\log N)$和$O(m2)$。我们提出将此复杂性进一步提高到$O(m\log m)$,作为高效zk-SNARK查找的下一个重要里程碑。
Benedikt Bünz和Jessica Chen
我们构造了两个新的累加方案。第一个是检查$\ell$读写操作是否从大小为$T$的内存中正确执行。校验器时间完全独立于$T$,只需要提交$6\ell$字段元素,这比之前的工作提高了$100$X。第二个是确定性计算。它不需要提交到计算的中间线,只需要提交到输入和输出。这是通过为著名的GKR协议的修改版本构建累加方案来实现的。我们证明了这些方案是高度兼容的,并且GKR的累加可以进一步降低内存检查方案的成本。使用BCLMS(Crypto 21)编译器,这些协议产生了一种高效的、可增量验证的计算(IVC)方案,对于具有大内存和确定性步骤的机器计算特别有用。
Elif Ozbay Gurler和Huseyin Hisil
本手稿在雅可比坐标系下提供了$y^2=x^5+a_3x^3+a_2x^2+a_1x+a_0$形式的亏格2超椭圆曲线在带$char(K)\ne2$的域$K$上的完整、无逆且显式的群定律公式。公式不需要使用多项式算术运算,例如结果、mod或gcd计算,而只需要使用$K$中的运算。
鲁兹贝·萨伦奇(Roozbeh Sarenche)、斯维特拉·尼科娃(Svetla Nikova)和巴特·普雷尼尔(Bart Preneel)
研究表明,自私的挖矿攻击使矿工获得了不公平的相对收入,对最长链区块链的发展构成了威胁。尽管自私挖掘是一种在工作证明区块链背景下经过充分研究的攻击,但它对最长链的工作证明(LC-PoS)协议的影响仍有待解决。本文采用理论和基于实现的方法来分析LC-PoS协议中的自私提议攻击。我们讨论了PoS协议中的空取现象和提议者可预测性等因素如何使LC-PoS协议中的自私提议攻击比PoW中的自私挖掘更具破坏性。在本文的第一部分中,我们使用组合工具从理论上评估了在简化LC-PoS环境和简化网络连接下自私提议者的阻塞率。然而,这些理论工具或基于MDP的经典方法无法用于分析现实世界和更复杂的LC-PoS环境中的自私提议攻击。为了克服这个问题,在本文的第二部分中,我们采用深度强化学习技术,在更复杂的协议中找到接近最优的自私提议策略。本文中实现的工具可以帮助我们分析不同区块链协议中的自私提议攻击,这些协议具有不同的奖励机制、可预测性级别和网络条件。
塞巴斯蒂安·比策、杰罗恩·德尔沃、埃琳娜·基尔沙诺娃、塞巴斯蒂安·马阿恩、亚历山大·梅和安东尼娅·瓦赫特尔·泽
我们研究了在存在副信道信息的情况下,症候群解码问题的困难,它是大多数基于代码的加密方案(如经典McEliece)的基础。我们使用ChipWhisperer设备对运行在ARM Cortex-M4上的Classic McEliece执行模板攻击,并准确分类秘密错误向量连续32位块的汉明权重。有了这些权重,我们优化了信息集解码算法。从技术上讲,我们展示了如何通过降维、附加的校验方程和改进的信息集搜索来加速信息集解码,所有这些都是从汉明权重信息中导出的。因此,使用模板攻击,我们实际上可以在几秒钟内恢复n=2197维的错误向量。如果没有副通道信息,这样的实例的复杂性大约为88位。我们还估计了模板攻击如何影响所提出的McEliece参数集的安全性。粗略地说,即使汉明权重信息容易出错,也会导致n=3488的安全性下降89位。
基于SAT的量子电路决策问题新模型:寻找低成本量子实现
陈敬文、刘群、范燕红、吴丽轩、李伯云、王美琴
近年来,量子技术得到了迅速发展。随着对称密码的安全分析不断出现,许多密码需要评估加密算法的量子电路实现所需的资源。在这方面,我们提出了量子电路决策问题,这要求我们使用M ancilla量子位和电路深度D内不超过K个量子门来确定给定置换f是否存在量子电路。首先,我们研究了以往工作中基于SAT的启发式算法和经典模型,揭示他们解决问题的局限性。因此,我们创新性地提出了一种改进的基于SAT的模型,其中包含了量子电路的三个度量。该模型使我们能够在给定的优化目标下,基于SAT解算器找到任意3位或4位S盒的最优量子电路,这证明了工具LIGHTER-R构建的电路的最优性。然后,通过结合模型中的不同标准,我们发现S盒的更紧凑的量子电路实现,如RECTANGLE和GIFT。对于GIFT S-box,我们的模型提供了只需要8个深度为31的门的最佳量子电路。此外,我们的模型可以推广到线性层,并通过增加量子比特数和电路深度的标准,改进了Huang等人在ASIACRYPT 2022中提出的基于SAT的模型。
WESP:一种加密方法,随着密钥大小的增加,破解需要指数级增长的时间
萨姆·威德隆
WESP是一种基于方程式系统的新加密算法,其中方程式是使用充当加密密钥的表的值生成的,方程式具有使其适合加密使用的特性。定义了算法,并讨论了算法的性质。除了描述算法外,还介绍了算法工作方式的原因。WESP中的密钥大小可以更改,并且没有上限,通常密钥大小大于当前常用的密钥。给出了一个计算,计算在算法开始重复其加密字节序列之前可以安全加密的字节数,并且这个周期可以调整为任意大。还表明,在周期内,加密字节的结果流在统计上是均匀分布的。还证明了如果加密表未知,则方程组中的方程不可能已知,并且证明了如果方程未知,则无法求解方程组,因此加密不能以闭合形式破坏。然后,我们计算算法中使用的所有符号所需的最少试验次数,以便能够验证试验。由于算法不断更新键值,如果方程没有按顺序求值,则无法进行验证。计算表明,所需的最少试验次数是这样的,即试验次数,即破解加密所需的时间,随着密钥大小的增加呈指数级增加。由于密钥大小没有上限,因此破解加密所需的时间也没有上限。
马丁·米特尔巴赫(Martin Mittelbach)、拉斐尔·谢弗(Rafael F.Schaefer)、马蒂厄·布洛赫(Matthieu Bloch)、艾林·耶纳(Aylin Yener)和奥努尔·冈鲁(Onur Gunlu)
我们考虑一种安全的集成传感和通信(ISAC)场景,其中信号通过状态相关的窃听信道传输,该窃听信道具有一个合法的接收器,发射机与之通信,以及发射机想要检测的一个非本地目标。安全ISAC信道被建模为两个具有相关瑞利衰落系数和独立加性高斯噪声分量的状态相关快速衰落信道。延迟的信道输出反馈给发射机,以提高通信性能并估计信道状态序列。我们为相关瑞利衰落下退化的安全ISAC信道建立并说明了一个可实现的保密失真区域。我们还评估了大量参数的内界,以获得安全ISAC方法的实际设计见解。给出的结果特别包括超过经典窃听信道设置的保密能力的参数范围,以及接近信道容量的参数范围。
张云聪、孙世凤、顾大武
我们提出了一种新的基于KZG的sum-check方案,称为$\mathsf{Losum}$,具有最佳效率。特别地,它的证明成本是一个大小为$k$的多标量乘法——向量中非零项的数量,它的验证成本是一对加一组标量乘法,并且证明只由一个组元素组成。使用$\mathsf{Losum}$作为组件,然后我们构造一个新的查找参数,命名为$\mathf{Locq}$,与现有的$\matfsf{cq}$、$\math2f{cg}$+和$\mathrf{ccq}$++相比,它具有更小的证明大小和更低的验证成本。具体来说,$\mathsf{Locq}$的证明成本与$\mathf{cq}$相当,保持了预处理后证明成本与表大小无关的优点。为了进行验证,$\mathsf{Locq}$需要四对,而$\mathf{cq}$、$\mathrf{cg}$+和$\mathsf{ccq}$++分别需要五对、五对和六对。对于证明大小,$\mathsf{Locq}$proof由四个$\mathbb组成{G} 1个$元素和一个$\mathbb{G} _2$元素;当用BLS12-381曲线实例化时,$\mathsf{Locq}$的证明大小为$2304$bits,而$\mathf{cq}$、$\math2f{cg}$+和$\mathrf{ccq}$++分别具有$3840$、$3328$和$2944$bits。此外,$\mathsf{Locq}$作为$\mathf{cq}$+和$\math2f{cg}$++是零知识,而$\mathrf{ccq}$则不是$\即使与$\mathsf{cq}$+和$\mathf{cg}$++的非零知识(和更高效)版本相比,mathsf}$也更高效。
王红晓、姚小明、赵延敏、姜佐良和谢敏
向量承诺因其在区块链和累加器等应用中的广泛使用而备受关注。汞向量承诺和汞函数承诺(MFC)是VC的重要变体,是构建零知识集和零知识函数基本数据库(ZK-FEDB)等更高级密码原语的核心技术。然而,当前的MFC只支持线性函数,限制了它的应用,即构建仅支持线性函数查询的ZK-FEDB。此外,据我们所知,现有的MFC和ZK-FEDB,包括Zhang和Deng(ASIACRYPT’23)提出的使用RSA累加器的MFC与ZK-FEDBs,都属于群模型,无法抵抗量子计算机的攻击。为了打破这些限制,我们形式化了第一个系统模型和电路MFC的安全模型。然后,我们针对一个新的可证伪假设的一些具体性质,即Wee和Wu(EUROCRYPT’23)提出的$\mathsf{BASIS}$假设,构造了电路的第一个基于格的简洁汞函数承诺。对于应用程序,我们表明我们的构造可以直接用于在现有通用框架内构建第一个基于格的ZK-FEDB。
Agr17有限元格式的{\sf P/poly}有效性
胡玉浦、董思岳、王宝仓、刘军、潘彦斌、董兴亭
功能加密(FE)是密码学领域的前沿研究课题。Agr17 FE方案是FE领域的主要方案。该方案的新颖之处在于“适用于无IO的通用函数组(即{\sf P/poly}函数)”。它将BGG+14ABE方案作为底层结构,升级为“部分隐藏属性”方案,并与完全同态加密(FHE)方案相结合。然而,Agr17 FE计划的操作很奇怪。对于FHE解密阶段的噪声消除,它使用了庞大的“搜索噪声”,而不是优雅的“滤波”。它搜索了总模量区间,因此FHE模量应该是多项式大的。本文讨论了Agr17有限元格式的{\sf P/poly}有效性。首先,我们得到Agr17FE格式是{\sf-P/poly}无效的结果。更详细地说,当Agr17有限元格式应用于随机选择的{\sf P/poly}布尔函数组时,“搜索”阶段的FHE模不能多项式大。我们的分析基于BGG+14 ABE格式的三个限制:(1)BGG+14ABE的模应适应超多项式大,如果它适用于随机选择的{\sf P/poly}函数组。(2) BGG+14 ABE的模量无法切换。(3) 如果BGG+14 ABE升级为“部分隐藏属性”方案,则允许的关于属性隐藏部分的操作只能是仿射操作。然后,为了检查是否可以通过修改方案获得{\sf P/poly}有效性,我们考虑了两个修改版本。第一个修改版本是通过反复应用引导,并用算术内积替换模块内积来控制FHE噪声。第二个修改版本将搜索模数区间替换为搜索公共噪声区间,希望这样的噪声区间多项式大,并且允许模可能是超多项式大。第一个修改版本可能是{\sf P/poly}有效,但它较弱。没有证据支持第二个修改版本的有效性。最后,我们给出了一个额外的结论,即没有证据支持GVW15 PE方案的{\sf P/poly}有效性。
离散对数假设下的$\mathsf{Cougar}$:三次根校验器内积自变量
Hyeonbum Lee、Seunghun Paik、Hyunjung Son和Jae Hong Seo
内积参数(IPA)是一种用于构造零知识证明(ZKP)系统的密码原语,这是一种著名的隐私增强技术。我们提出了一种新型高效IPA,称为$\mathsf{Cougar}$$\mathsf{Cougar}$具有立方根验证器和离散对数(DL)假设下的对数通信功能。在Asiacrypt2022,Kim等人在DL假设下提出了两个平方根验证器IPA。我们的主要目标是克服DL设置中平方根复杂性的限制。为了实现这一点,我们结合了Kim等人的两个不同的平方根IPA:一个带有配对($\mathsf{Protocol3}$),另一个没有配对($\fathsf{Protocol4}$)。为了构造$\mathsf{Cougar}$,我们首先重新访问$\mathf{Protocol4}$并对其进行重构,使其与同态承诺方案的证明系统兼容。接下来,我们使用$\mathsf{Protocol3}$作为重建的$\mathf{Prototol4}$的证明系统。此外,我们为DL假设中的$\mathsf{Cougar}$提供了一个稳健性证明。
程佳柳、王毅、陈荣茂、黄欣怡
2013年爱德华·斯诺登(Edward Snowden)的曝光再次引发了密码界对密码系统潜在破坏的担忧。Bellare等人(CRYPTO’14)引入了算法替换攻击(ASA)的概念,其目的是通过破坏单个密码原语来秘密泄漏敏感信息。在这项工作中,我们深入研究了ASA领域中基于密码原语构建的协议。特别是,我们重新审视了Berndt等人(AsiaCCS’22)提出的现有ASA模型,提供了更精细的视角。我们引入了一种为协议量身定制的新型ASA模型,能够捕获广泛的颠覆攻击。我们的模型以协议中被破坏方的模块化表示为特征,并对不可检测性进行了细粒度定义。为了说明我们模型的实用性,我们将其应用于Lindell的两方ECDSA协议(CRYPTO’17),揭示了一系列以协议各方为目标的ASA,目的是提取密钥共享。我们的工作提供了一个适用于密码协议的全面ASA模型,为理解ASA与协议之间的关系提供了一种有用的框架。
Foteini Baldimtsi、Jiaqi Cheng、Rishab Goyal和Aayush Yadav
盲签名使接收者能够在不向签名者透露任何消息的情况下获得对其选择的消息的签名。圆形最优盲签名被设计为签名者和接收者之间的两轮交互协议。巧合的是,消息的选择在许多应用程序中并不重要,通常由接收方将其设置为随机(非结构化)消息。为了为此类应用设计更高效的盲签名,Hanzlik(Eurocrypt’23)引入了一种新的变体,称为非交互式盲签名(NIBS)。这允许签名者为任何接收者异步生成部分签名,这样只有预期接收者才能提取随机消息的盲签名。这绕过了传统盲签名的两轮障碍,但也支持许多已知的应用程序。Hanzlik通过双线性对为NIBS提供了新的实用设计。在这项工作中,我们研究了具有后量子安全性的高效NIBS。我们根据基于格的假设设计了第一个实用的NIBS,以及称为标记NIBS的非交互式部分盲签名。我们还为NIBS提出了一种新的通用范式,该范式来自电路-私有级同态加密,可实现最优规模的签名(即与任何非盲签名相同)。最后,我们为NIBS提出了新的增强安全属性,这可能具有实际意义和理论意义。
谢敏、朱培晨、赵彦琦、蒋佐良、方俊斌、余勇、王璇
Delegatable Anonymous Credentials(DAC)是一个增强的匿名凭据(AC)系统,它允许凭据所有者匿名使用凭据,并将其匿名委派给其他用户。在这项工作中,我们引入了一个新概念,称为具有可链撤销的基于Delegatable属性的匿名凭证(DAAC-CR),它通过允许1)细粒度属性委派,2)发卡机构在细粒度级别限制委派用户的委派能力,扩展了DAC的功能,包括委托深度和可委托属性集,以及3)可链接撤销,这意味着如果委托链中的凭证被撤销,则从该凭证派生的所有后续凭证也将无效。我们基于一个新的原语提供了一个实用的DAAC-CR实例,我们将其识别为向量承诺等价类上的结构保护签名(SPSEQ-VC)。这个原语可能具有独立的意义,我们详细介绍了一个有效的构造。与依赖非交互式零知识证明(NIZK)的传统DAC系统相比,DAAC-CR实例中的凭证大小是恒定的,与委托链的长度和属性的数量无关。我们在通用组模型中形式化地证明了方案的安全性,并通过性能基准证明了其实用性。
安德烈亚·科拉丹格罗(Andrea Coladangelo)、克里斯蒂安·马琴斯(Christian Majenz)和亚历山大·波伦巴(Alexander Poremba)
版权保护允许软件发行商对程序进行编码,使其可以对任何输入进行评估,但不能“盗版”——这是在经典环境中不可能实现的概念。Aaronson(CCC 2009)发起了对量子复制保护方案的正式研究,并推测量子密码术可以通过量子无克隆定理提供解决问题的方法。在这项工作中,我们为一大类被称为“计算与比较程序”的回避函数引入了一种量子复制保护方案,这是点函数的一种更具表现力的泛化。计算与比较程序$\mathsf{CC}[f,y]$由函数$f$和其范围内的字符串$y$指定:在输入$x$上,如果$f(x)=y$,则$\mathf{CC{[f,y]$输出$1$,否则$0$。我们证明了我们的方案在量子随机预言机模型(QROM)中实现了针对完全恶意对手的非平凡安全性,这使它成为第一个在标准密码模型中享有任何级别可证明安全性的复制保护方案。作为补充结果,我们表明,相同的方案满足了Ananth和La Placa(eprint 2020)最近引入的一个较弱的软件保护概念,称为“安全软件租赁”,QROM中有一个标准安全约束,即保证可忽略的对抗优势。最后,作为第三个贡献,我们阐明了不可加密和多位输出点函数的防复制保护之间的关系。
Gorjan Alagic、Chen Bai、Alexander Poremba和Kaiyan Shi
在置换反演问题中,任务是在给定甲骨文访问置换的条件下,找到一些挑战值的前像。这是查询复杂性中的一个基本问题,在许多上下文中都会出现,尤其是在加密中。在这项工作中,我们检查了预言机允许对排列的正向和反向进行量子查询的设置,但质询值不能提交给后者。在这种设置下,我们考虑了反转算法的两个选项:它是否可以获得关于置换的量子建议,以及它是否必须生成整个预图像(搜索)或仅生成第一位(判定)。我们证明了几个定理,这些定理连接了反演问题的结果变化的硬度,并建立了一些下界。我们的结果表明,也许令人惊讶的是,如果对手不能查询挑战本身,那么当对手被授予oracle访问反转的权限时,反转问题并没有变得明显容易。
董晓阳、赵伯欣、秦凌月、侯庆良、张顺、王晓云
针对基于(广义)海绵构造的散列函数的预镜像和冲突攻击,提出了一种通用的中间会议(MitM)攻击框架。作为第一个贡献,我们的MitM preimage攻击框架涵盖了广泛的基于海绵的哈希函数,尤其是那些声称preimage安全级别低于其输出大小的函数。这些散列函数已被广泛标准化(例如Ascon-hash、PHOTON等),但很少针对预映像攻击进行研究。即使是秦等人(EUROCRYPT 2023)最近针对海绵构造的MitM攻击框架也无法攻击这些散列函数。作为第二个贡献,我们的MitM碰撞攻击框架为海绵构造的碰撞密码分析提供了不同的工具,而以前对海绵构造的冲突攻击主要基于差异攻击。本文中的大多数结果都是第一个第三方密码分析结果。如果之前存在密码分析,我们的新结果将显著改进之前的结果,例如将之前对Ascon-Hash的2轮碰撞攻击改进为当前的4轮,将之前对SPHINCS$^+$-Haraka的3.5轮量子预镜像攻击改进为我们的4轮经典预镜像攻击,等等。
许香玉与周志坚
可链接环签名是匿名应用(如电子投票、电子现金和机密交易)的重要密码原语。为了消除可信设置中的后门和开销,离散对数或配对设置中的透明设置在实践中受到了相当大的关注。最近的进展提高了可链接环签名的证明大小和验证效率,并通过透明设置实现了对数界限。Omniring(CCS’19)和RingCT 3.0(FC’20)提出了离散对数设置中的可链接环签名,环大小具有对数证明大小,而DualDory(ESORICS’22)在配对设置中实现了对数验证。在本文中,我们对提高对数可链接环签名的效率和可靠性做出了三个新的贡献:(1)我们发现了一种破坏DualDory可链接性的攻击。(2) 为了消除这种攻击,我们在对数可验证的配对设置下提出了一种新的可链接环签名方案。(3) 我们还通过将Omniring中用于验证的群指数数量减少50%的技术,提高了离散对数设置中可链接环签名的验证效率。此外,我们的技术适用于一般的内部生产关系证明,这可能是独立的兴趣。最后,我们对我们的方案进行了实证评估,并在具体实现中与现有的可链接环签名进行了比较。
古根·阿拉凯洛夫、尼基塔·卡斯科夫、达丽亚·皮亚伊赫和尤里·波利亚科夫
完全同态加密(FHE)是一种强大的隐私增强技术(PET),可以在不访问密钥的情况下计算加密数据。虽然FHE在增强数据隐私和安全性方面具有巨大潜力,但创建其实际应用程序会遇到许多困难。一个重要的障碍是缺少易于使用的标准化组件,开发人员可以将其用作基本构建块。解决这一差距需要构建FHE组件的综合库,这是一项复杂的工作,因为存在多种固有问题。我们提出了一种基于竞争的方法来建设这样一个图书馆。更具体地说,我们介绍了FHERMA,这是一个新的挑战平台,它引入了黑盒和白盒挑战,并对提交的FHE解决方案进行了全自动评估。FHERMA平台的最初挑战是由机器学习和区块链中的实际问题引发的。获胜的解决方案集成到一个FHE组件的开源库中,该库在Apache 2.0许可下可供PET社区的所有成员使用。
郝忠(Hao Chung)、埃利萨韦塔·马塞罗娃(Elisaweta Masserova)、伊莱恩·施(Elaine Shi)和斯里·阿拉文达·克里希南·蒂亚加拉扬(Sri Aravinda Krishnan Thyagarajan)
本文由Rapidash收录(https://eprint.iacr.org/2022/1063). 请使用Rapidash作为引文。公平交换是区块链的基本要素,在原子交换、支付渠道和DeFi等应用中被广泛采用。大多数基于区块链的公平交换协议的现有设计仅将用户视为战略参与者,并假定为诚实的矿工。然而,最近的研究表明,在存在用户-人共谋的情况下,通常部署的公平交换协议的公平性可能会被完全打破。特别是,用户可以贿赂矿工以帮助其作弊,这种现象也称为矿工可提取价值(MEV)。我们提供了第一个正式处理无附带合同公平交换的方法。我们提出了一种新的公平交换协议Ponyta,并证明了该协议在存在用户-人共谋的情况下是激励相容的。特别地,我们证明了Ponyta满足一个抗联盟纳什均衡。此外,我们还展示了如何使用Ponyta实现跨链硬币交换应用,并证明了我们的硬币交换协议也满足联盟抵抗纳什均衡。我们的工作有助于为研究附带合同公平交换奠定理论基础。最后,我们给出了比特币和以太坊中Ponyta的实际实例化,对于参与公平交换的用户来说,开销最小,从而展示了Ponyta-使用多种加密货币的可实例化性。
吴可、石依莲和钟浩
交易费用机制设计是一个新的分散机制设计问题,用户在区块链上竞标空间。最近的几项工作表明,交易费用机制设计从根本上背离了经典机制设计。然后,他们在两种情况下系统地探索了这种新的分散机制设计问题的数学前景:在没有使用密码学的普通环境中,以及在由多方计算协议执行机制规则的密码辅助环境中。不幸的是,在这两种情况下,先前的工作表明,如果我们希望该机制激励用户和矿工的诚实行为(可能与用户勾结),那么矿工的收入必须为零。尽管采用一种宽松、近似的激励相容性概念,绕过了矿业收入为零的限制,但矿业收入的规模仍然很小。在本文中,我们表明,如果我们做出一个比以往工作稍强的合理世界假设,我们可以绕过已知的矿业收入限制,并设计能够产生最佳矿业收入的拍卖。我们还系统地探讨了新理性世界下交易费用机制设计的数学图景,并证明了这些假设如何改变可行性和不可行性图景。
Ward Beullens、Pierre Briaud和MortenØygarden
限制综合征解码问题(R-SDP和R-SDP($G$))为后量子密码提供了一个有趣的基础。事实上,它们以CROSS为特色,这是一份正在进行的量子后签名标准化进程中的提交文件。这项工作提高了我们对这两个问题的安全性的理解。首先,我们提出并实现了一种新的R-SDP($G$)碰撞攻击,在内存的实际限制下提供最佳攻击。其次,我们推导了R-SDP上代数攻击的精确复杂性估计,实验证明这些估计是准确的。我们注意到,这些改进都没有威胁到CROSS的更新参数。
何哲远、李子豪、杨森
大型语言模型(LLM)已成为涉及区块链安全(BS)的各个领域的强大工具。最近的几项研究正在探索应用于BS的LLM。然而,在我们对LLM对区块链安全的全部应用范围、影响和潜在约束的理解方面仍然存在差距。为了填补这一空白,我们对LLM4BS进行了文献综述。作为LLM在区块链安全方面应用的第一次回顾,我们的研究旨在全面分析现有研究,阐明LLM如何有助于提高区块链系统的安全性。通过对学术著作的彻底审查,我们深入研究了LLM在区块链安全各个方面的集成。我们探索了LLM支持区块链安全的机制,包括它们在智能合约审计、身份验证、异常检测、漏洞修复等方面的应用。此外,我们严格评估了与利用LLM实现区块链安全相关的挑战和局限性,考虑可扩展性、隐私问题和对抗性攻击等因素。我们的审查揭示了这种融合所固有的机会和潜在风险,为研究人员、从业者和决策者提供了宝贵的见解。
Greco:有效FHE RLWE密码形成的快速零知识证明
恩里科·波塔齐
完全同态加密(FHE)允许在加密数据上计算任意函数。在多方FHE应用程序中,不同的方对其机密数据进行加密,并将密文提交给服务器,服务器根据应用程序逻辑对其执行同态操作。例如,在一个秘密投票应用程序中,计数是通过对投票进行加密的密文求和来计算的。有效的加密投票形式为$E(0)$和$E(1)$。恶意选民可能会发送一张无效的加密选票,如$E(145127835)$,这可能会扰乱整个选举。因此,用户必须证明他们提交的密文是有效的Ring-Learning with Errors(RLWE)密文,并且他们加密的明文消息是有效的投票(例如,1或0)。Greco使用零知识证明让用户证明他们的RLWE密文格式良好。或者,换句话说,加密操作执行正确。因此,产生的证明可以由附加的特定于应用程序的逻辑组成,并在非交互设置中接受公共验证。考虑到秘密投票应用程序,可以进一步证明加密消息的属性,甚至可以证明投票人的属性,从而允许应用程序支持匿名投票。证明器已经使用Halo2 lib作为证明系统实现,基准测试表明,Greco已经可以集成到面向用户的应用程序中,而不会给用户带来过大的摩擦。该实现可在https://github.com/privacyscaling-explorations/greco
来自Lattice的可更新、可聚合、简洁的Mercurial向量承诺
王红晓、姚小明、赵延敏和邹丽江
向量承诺(VC)及其变体因其在区块链和累加器等应用程序中的广泛使用而吸引了大量关注。汞向量承诺(MVC)作为VC的重要变体之一,是构建更复杂密码应用程序的核心技术,如零知识集(ZKS)和零知识基本数据库(ZK-EDB)。然而,据我们所知,唯一的量子后MVC构造是由Catalano和Fiore(PKC’13)提出的一个通用框架所隐含的,该框架具有基于格的组件,导致$\textit{large}$辅助信息和$\textit{无法满足}$任何其他高级属性,即可更新和可聚合。构造基于$\textit{non-black-box}$格的MVC的一个主要困难是,构造一个满足称为“汞隐藏”的关键属性的基于格的VC并非易事。在本文中,我们识别了一个新的可证伪基族——增广SIS假设($\mathsf{basis}$)的一些特定特征由Wee和Wu(EUROCRYPT’23)提出,可用于从格$\textit{满足}$更新性和聚集性以及$\textit{较小}$辅助信息构建汞向量承诺。我们$\textit{first}$将无状态更新和差异更新扩展到mercurial向量提交,并定义一个$\textit{new}$属性,称为可更新mercurial-hidding。然后,我们展示了如何修改我们的构造以获得满足这些属性的可更新水银向量承诺。为了聚合开口,我们的构造完美地继承了$\mathsf{BASIS}$假设中的聚合能力,这可以打破当前可聚合MVC中$\textit{weak}$绑定的限制。最后,我们证明了我们的构造可以直接在现有框架内构建各种基于格的ZKS和ZK-EDB。
通过Boomerang视角重新审视不同线性攻击,并将其应用于AES、Ascon、CLEFIA、SKINNY、PRESENT、KNOT、TWINE、WARP、LBlock、Simeck和SERPENT
Hosein Hadipour、Patrick Derbez和Maria Eichseder
1994年,Langford和Hellman引入了差分线性(DL)密码分析,其思想是将分组密码E分解为EU和EL两部分,使得EU具有高概率的差分跟踪,而EL具有高相关性的线性跟踪。结合这些轨迹形成了E的区分符,假设欧盟和EL之间独立。直到2019年EUROCRYPT,Bar-On等人引入DLCT框架,解决了一个S-box层的问题,DL区分符的两个部分之间的依赖性仍未得到解决。然而,扩展DLCT框架以将两个部分之间的依赖关系正式化为多轮仍然是一个公开的问题。在本文中,我们首先从回旋镖分析的角度来解决这个问题。通过检查DLCT、DDT和LAT之间的关系,我们引入了一组新的表,这些表有助于在多轮DL区分器的两个部分之间建立依赖关系。然后,作为主要贡献,我们引入了一种高度通用且易于使用的自动工具,用于探索DL分类器,其灵感来自回旋镖分类器的自动工具。该工具考虑了多轮微分轨迹和线性轨迹之间的相关性。我们将工具应用于各种对称密钥原语,在所有应用中,我们要么提供第一个DL区分符,要么增强最著名的区分符。我们在对抗Ascon、AES、SERPENT、PRESENT、SKINNY、TWINE、CLEFIA、WARP、LBlock、Simeck和KNOT时取得了成功。此外,我们还证明,在某些情况下,DL区分器的性能显著优于回旋镖区分器。
贝诺·科利亚蒂、皮埃尔·阿莱恩·福克、路易斯·古宾和布里斯·米诺
哈希和重试签名是一种流行的技术,用于根据基于代码或多元假设设计高效的签名方案。与Gentry、Peikert和Vaikuntanathan(STOC 2008)定义的基于预图像可采样函数的Hash和Sign签名不同,基于代码和多元方案中的陷门函数不是主观的。因此,标准方法使用随机试验。Kosuge和Xagawa(PKC 2024)创造了“哈希与符号结合重试”范式。由于基于代码和多元方案上出现了许多攻击,我们认为对正在进行的NIST竞争来说,研究这些方案的安全性证明非常重要。Sakumoto、Shirai和Hiwatari的原始证明(PQCrypto 2011)有缺陷,然后由Chatterjee、Das和Pandit进行了更正(INDOCRYPT 2022)。修复仍然不够,因为它只适用于非常大的有限字段。Kosuge和Xagawa(PKC 2024)在量子ROM模型中提出了一个新的证明,但它相当松散,即使仅限于经典设置。在本文中,我们介绍了几种工具,它们可以在经典设置中为使用重试签名的Hash-and-Sign提供更严格的安全边界。这些包括Hellinger距离、随机优势参数和一种新的组合工具,用于将非适应性环境中的证明转换为适应性环境。最后,我们得到了具有重试签名的Hash-and-Sign的安全性的一个严格界限,适用于各种基于代码的方案和多元方案。针对NIST候选,我们将这些结果应用于MAYO、PROV和修改的UOV签名方案。在大多数情况下,我们的边界足够紧,可以应用于这些方案的实际参数;在某些情况下,较小的参数就足够了。
曹正军、刘丽华
RSA和椭圆曲线密码系统(ECC)的共存已经持续了40多年。众所周知,ECC具有比RSA更短的密钥的优点,这通常会让新手认为ECC运行得更快。在本报告中,我们为RSA-2048和ECC-256生成了Mathematica代码,从视觉上显示,RSA-204八的运行速度是ECC-256的三倍。估计RSA-2048的运行速度是Weil配对的48000倍,具有2个嵌入度和一个固定点。
Truman Welling、Onur Gunlu和Aylin Yener
本文考虑一个安全集成传感和通信的信息理论模型,表示为具有动作相关状态的窃听信道。该模型允许用户保护传输消息的一部分,使其免受窃听通信的感测目标的攻击,同时允许发送器操作更改信道统计信息。给出了物理退化信道的精确保密失真区域。此外,利用随机装箱方法的输出统计信息,为模型建立了有限长的可实现区域,为低延迟应用提供了一个可实现的界限。
Sam Gunn、Yael Tauman Kalai、Anand Natarajan和Agi Villanyi
我们定义了对量子态的经典承诺方案的概念,它允许量子证明器计算对量子态的经典承诺,然后在标准或阿达玛基础上打开该状态的每个量子位。我们的理念是加强Mahadev的测量协议(STOC 2018)。我们从带误差的后量子学习(LWE)假设出发,更一般地从任何具有分布强自适应硬核比特特性(我们在本工作中定义的特性)的噪声陷门无爪函数族出发,构造了这样一个承诺方案。我们的方案简洁明了,因为验证器在承诺阶段的运行时间仅取决于安全参数(与提交状态的大小无关),并且它在打开阶段的运行时仅随打开的量子比特数(和安全参数)而增长。作为推论,我们在后量子LWE假设下获得了QMA的经典简洁论证系统。以前,这只是在假设量子后安全不可区分混淆的情况下才知道的。作为一个额外的推论,我们获得了在LWE的量子硬度下,将任何X/Z量子PCP转换为简洁自变量系统的通用方法。
莱奥·佩林
我们研究了填充方案和代数攻击对XHash8和XHash12的适用性。我们可以找到的填充方案的唯一漏洞似乎只适用于多速率设置(作者对此没有任何声明),否则是安全的。对于依赖Gröbner基的计算和利用的代数攻击,我们对文献的调查表明,安全性论证的基础是变量消除步骤的复杂性,而不是Gróbner基础本身的计算复杂性。事实上,后者的复杂性很难估计,有时甚至根本不存在。针对消除步骤,我们提出了“FreeLunch”方法的一个推广,在对0维多项式理想度的行为进行合理推测的情况下,该方法足以证明XHash8和XHash12都可以安全地抵抗此类攻击。我们在SAGE中实现了相应方程组的生成(和解析)的简化版本,这使我们能够至少在实验上验证我们的猜想,事实上,为了证明它在理想度上提供的下限并不紧,这意味着我们在先验上低估了这些置换对我们考虑的代数攻击的安全性。在这个阶段,如果按规定使用,这些散列函数似乎可以安全地免受基于Gröbner基的代数攻击。
丹尼尔·伯恩斯坦
KEM设计团队已将各种量子后KEM的软件提交给SUPERCOP测试框架。ref/*.c和ref/*.h文件一起占用,例如,ntruhps4096821占用848行,ntruhrss701占用928行,sntrup1277占用1316行,kyber1024占用2633行。很容易看出,这些数字高估了这些KEM软件的固有复杂性。更难系统地衡量这种复杂性。本文将这些KEM作为案例研究,并应用一致的规则来简化KEM的ref软件,同时仍然通过SUPERCOP的测试,并保留将特定KEM操作分解为功能的功能。生成的软件占用了ntruhps4096821的381行,ntruhrss701的385行,kyber1024的472行,sntrup1277的478行。本文还确定了每种情况下使用的外部子程序,确定了不同参数集之间共享代码的程度,量化了每个KEM特定的各种软件复杂性,并跟踪了KEM设计目标的差异如何产生不同的软件复杂性。作为衍生产品,本文介绍了一个利用Kyber参考码时序变化的kyber512密钥恢复演示。
PriDe CT:在分散支付中实现公共共识、私人交易和远期保密
郭跃、哈利什·卡提基扬、安提戈尼·多时和查迪·胡辛
Anonymous Zether由Bunz等人(FC,2020)提出,随后由Diamond(IEEE S&P,2021)改进,是一种基于帐户的保密支付机制,通过使用智能合约来实现隐私(即隐藏交易和有效负载的接收方身份)。在这项工作中,我们着眼于简化现有协议,同时实现多个接收器的事务批处理,同时确保一致性和前向保密性。据我们所知,这项工作是首次正式研究区块链设置中的前向保密概念,借鉴了安全消息传递领域中一个非常流行和有用的想法。具体来说,我们介绍:-FUL-Zether,Zether的前向安全版本(Bunz等人,FC,2020)。-PRIvate DEcentralized Confidential Transactions(PriDe CT)是Anonymous Zether的一个简化版本,它实现了竞争性能,并支持多个接收者的事务批处理。-PRIvate DEcentralized Forward-secure Until Last update(在上次更新之前禁用去集中式转发安全)机密交易(PriDeFUL CT),PriDe CT的前向安全版本。我们还介绍了我们系统的开源、基于以太网的实现。PriDe CT使用线性同态加密作为匿名Zether,但具有更简单的零知识证明。PriDeFUL CT使用可更新的公钥加密方案,通过在标准模型中引入新的基于DDH的构造来实现前向保密。就交易规模而言,Quisquis(Asiacrypt,2019)是唯一支持批处理能力的加密货币(尽管是UTXO模型),其组元素数量是PriDe CT的15倍。同时,对于一个$N$接收者的环,Anonymous Zether需要$6\log N$多的条款,即使不考虑PriDe CT.的批处理能力。此外,我们的实现表明,对于$N=32$,即使有7个预定接收器,PriDe CT在证明时间和气体消耗方面也优于Anonymous Zether。
文森特·黄
我们调查了软件工作中使用的各种数学工具,这些工具使用$\mathbb表示多项式{Z} (_q)[x]/⟨x^n-αx-β⟩$。特别是,我们调查了基于格的密码系统Dilithium、Kyber、NTRU、NTRU-Prime和Saber中针对多项式乘法的实现工作,以及指令集架构/扩展Armv7-M、Armv7E-M、Arv8-A和AVX2。本文有三个重点:(i)模运算,(ii)同态,(iii)矢量化。对于模运算,我们考察了蒙哥马利、巴雷特和普兰塔德乘法。对于同态,我们调查了(a)各种同态,如Cooley–Tukey FFT、Bruun’s FFT、Rader’s FFT、Karatsuba和Toom–Cook;(b) 用于将好的属性连接到系数环的各种代数技术,包括注入、Schönhage的FFT、Nussbaumer的FFT和局部化;和(c)与多项式模相关的各种代数技术,包括扭曲、组合乘法、∞求值、Good–Thomas FFT、截断、不完全变换和Toeplitz矩阵向量乘积。对于矢量化,我们考察了同态与矢量算术支持之间的关系。然后我们进行了几个案例研究:我们比较了Dilithium和Kyber中使用的模块乘法的实现,解释了Saber中如何利用矩阵到向量结构,并回顾了NTRU和NTRU Prime的矢量化变换的设计选择。最后,我们概述了几个有趣的实现项目。
文森特·黄
我们表明Falcon提交包中的模拟浮点乘法与声称的行为之间存在差异。特别是,我们证明了具有绝对值的浮点乘积(最小的正常正浮点数)被错误地归零。然而,我们通过对CryptoLine中的浮点加法、减法和乘法进行建模,表明这种差异不会影响复杂的快速傅立叶变换。随后,我们在Armv7-M汇编和Jasmin中实现了自己的浮点乘法,并证明了它们与我们的模型的等价性,从而证明了将具有挑战性的验证任务(验证高度优化的汇编)转移到可能更可读的代码库(Jasmin)的可能性。
雅各布·费尔德凯勒(Jakob Feldtkeller)、扬·里希特·布罗克曼(Jan Richter-Brockmann)、帕斯卡尔·萨斯德里奇(Pascal Sasdrich)和蒂姆·格内苏(Tim Güneysu)
物理安全是设备的一个重要方面,敌方可以为其操纵物理执行环境。最近,人们越来越关注一种结合被动和主动物理攻击能力的安全模型,即同时执行故障注入和副通道分析的对手。针对这样一个强大的对手实施反制措施不仅成本高昂,而且还需要巧妙地结合掩蔽和冗余来抵消所有相互影响。在这项工作中,我们提出了一种生成组合安全电路的新方法。我们展示了如何改造类TI结构,以抵抗任何具有篡改内部门和探测内部电线能力的对手。对于由此产生的保护方案,我们可以在一个成熟的理论安全模型中证明组合安全性。由于转换保留了类TI结构的优点,因此得到的电路在所需的随机比特数(高达100%)、时钟周期延迟(高达40%)甚至流水线设计区域(高达40%)方面效率更高比对手仅限于操纵单个门和探测单个导线的技术水平更高。
戴晓康、陈敬伟、吴文元、冯勇
在标准\LWE样本$(\mathbf{A},\mathbf{b=sA+e})$的情况下,$\mathbf1{A}$通常均匀地超过$\mathbb{Z} (_q)^{n\次m}$。在\DLWE假设下,$\mathbf{s}|(\mathbf{A},\mathbf2{b})$和$\mathbf{s}$的条件分布应该是一致的。然而,在对手自适应选择$\mathbf{A}$的情况下,两个实体之间的差异可能会更大。在这项工作中,我们的主要关注点是平均条件最小熵$\tilde的量化{高}_\infty(\mathbf{s}|\mathbf{sA+e})$\mathbf1{s}$的$,其中$\mathbf{A}$由对手选择。Brakerski和D\“{o} ttling公司在一个案例中回答了这个问题:他们证明了当$\mathbf{s}$从$\mathbb中统一选择时{Z} q(_q)^n$,它包含$\ tilde{高}_\infty(\mathbf{s}|\mathbf{sA+e})\varpropto\rho_\sigma(\Lambda_q(\mathbf{A}))$。我们证明了对于任何$d\leqq$,当$\mathbf{s}$从$\mathbb中一致选择时{Z} (_d)^n$或是从离散高斯分布中采样的,也有类似的结果。作为一个独立的结果,我们还证明了映射到素数阶群的哈希函数及其笛卡尔乘积的正则性。作为上述结果的应用,我们改进了多密钥全同态加密{TCC:BraHalPol17},并积极回答了他们在工作结束时提出的问题:我们使用GSW型密文而不是双GSW,并且改进的方案具有更短的密钥和密文。
西岛隆夫
我们在可更新加密(UE)中引入了一个新的密钥更新定义,称为反向泄漏单向密钥更新。这个概念是UE单向密钥更新的变体。我们证明了双向密钥更新设置中现有的安全UE方案在后向泄漏单向密钥更新设置下是不安全的。因此,后向泄漏单向密钥更新设置中的安全性严格高于双向密钥更新设置的安全性。这一结果与Jiang(Asiacrypt 2020)的等价定理形成鲜明对比,后者表示双向密钥更新设置中的安全性等同于现有单向密钥更新设置的安全性。本文将现有的单向密钥更新称为“转发-泄漏单向”密钥更新,以区分两种单向密钥更新。我们还提出了一种在有错误学习假设下,在后向泄漏单向密钥更新设置下安全的UE方案。
曹伟琼、陈华、史洪松、李浩源、王健、冯景一
SHA2已被广泛应用于各种传统公钥密码系统、后量子密码、个人身份识别和网络通信协议等。因此,确保SHA2的强大安全性至关重要。针对SHA1和SHACAL-2,已有几种基于随机单词错误的差异错误攻击。然而,由于SHA2中布尔函数的复杂性增加,将这种基于单词的随机错误攻击扩展到SHA2显然更加困难。在本文中,假设随机单词错误,我们在SHA2中的布尔函数中发现了一些独特的微分性质。利用这些发现,我们提出了一种新的差分故障攻击方法,可以有效地用于恢复SHA2中的最终消息块及其相应的初始向量,伪造HMAC-SHA2消息,提取SHACAL-2的密钥,并将我们的分析扩展到类似的算法,如SM3。我们通过严格的模拟和理论推导验证了这些攻击的有效性,表明它们确实对SHA2的安全构成了重大威胁。在我们基于模拟的实验中,我们的方法需要猜测寄存器中的$T$位,$T$最多不超过$5$,并且猜测仅$1$位的概率约为$95\%$(对于SHA512)。此外,在实现连续系列的15个故障注入后,恢复一个寄存器(不包括猜测的位)的成功概率接近$100\%$。最终,成功执行攻击需要大约928个基于随机单词错误的错误输出。
陈一雷(Yilei Chen)
我们提出了一种多项式时间量子算法来解决具有一定多项式模噪比的带误差学习问题。结合Regev[J.ACM 2009]所示的从格问题到LWE的简化,我们获得了多项式时间量子算法,用于在$tilde{\Omega}(n^{4.5})$近似因子内求解所有$n$维格的决策最短向量问题(GapSVP)和最短独立向量问题(SIVP)。以前,在任何多项式近似因子内,都没有多项式甚至亚指数时间量子算法可以求解所有晶格的GapSVP或SIVP。为了开发求解LWE的量子算法,我们主要介绍了两种新技术。首先,我们在量子算法的设计中引入了具有复方差的高斯函数。特别地,我们利用了复高斯函数离散傅里叶变换中喀斯特波的特征。其次,我们使用带复高斯窗口的加窗量子傅里叶变换,这使我们能够结合时域和频域的信息。利用这些技术,我们首先将LWE实例转换为具有纯虚高斯振幅的量子态,然后将纯虚高斯态转换为基于LWE秘密项和误差项的经典线性方程组,最后使用高斯消元法求解线性方程组。这给出了求解LWE的多项式时间量子算法。
阿莫斯·贝梅尔(Amos Beimel)、奥利奥·法拉斯(Oriol Farrás)和奥德·尼尔(Oded Nir)
在秘密共享计划中,$n$个政党共享一个秘密,这样,秘密可以由授权联盟恢复,同时应该对未授权联盟进行隐藏。在这项工作中,我们研究了$k$片访问结构的秘密共享,在这种结构中,大小为$k$的联盟要么得到授权,要么没有得到授权,较大的联盟得到授权,较小的联盟则没有得到授权。这些接入结构的已知方案中,小型k$接入结构所占份额小于大型接入结构;因此,我们的重点是“高”$(n-k)$-片,其中$k$很小。我们的工作受到以下几个动机的启发:1)获得访问结构自然族的有效方案(具有完美或计算安全性);2) 在寻找通用接入结构的更好方案方面取得进展,这些方案通常基于片接入结构的方案;3) 证明或反驳Csirmaz(J.Math.Cryptol.,2020)的猜想,即访问结构及其对偶可以通过具有相同共享大小的秘密共享方案实现。这项工作的主要成果是:-高切片的完美方案。我们提出了一个具有信息理论安全性和共享大小$kn\cdot2^{tilde{O}(\sqrt{k\logn})}$的$(n-k)$-slices方案。使用一个具有稍大份额的不同方案,我们证明了$k$-片的最佳份额大小与其对偶$(n-k)$-片之间的比率受$n$的限制。-高切片的计算方案。基于单向函数的存在性,我们提出了一个具有计算安全性和共享大小$O(k^2\lambda\logn)$的$(n-k)$-slices方案。我们的方案利用了Shamir秘密共享的非标准观点,允许以低成本、不同阈值共享许多秘密。-多层访问结构$(a:b)$-多层片是一种访问结构,其行为类似于片,但对$a$和$b$之间基数范围更广的联盟没有约束。我们使用新的高切片方案来实现具有相同共享大小的多层切片,其共享大小与现在的双重切片相同。这解决了Applebaum和Nir(Crypto,2021)提出的一个公开问题,并允许实现在共享大小为$2^{0.491n+o(n)}$的自然分布集下均匀随机选择的超图访问结构,与之前的$2^}0.5n+o。
文森特·黄
我们对软件中多项式乘法的向量算法进行了系统的检查。矢量指令集和扩展通常指定一个固定数量的寄存器,每个寄存器保存两个幂次的位,并支持寄存器上的多种矢量运算。然后,程序员尝试将数学计算与指定指令集或扩展支持的矢量算法对齐。我们深入研究了多项式乘法过程的复杂性。特别地,我们引入了“向量化友好性”和“排列友好性”,并回顾了“Toeplitz矩阵-向量积”,以系统地识别从同态到向量化实现的合适映射。为了说明形式化是如何工作的,我们详细介绍了$\mathbb中多项式乘法的矢量化{Z}(Z)_{4591}[x]/\left\langle x^{761}−x−1\right\rangle$用于NTRU Prime密钥封装机制的参数集sntrup761。为了进行实际评估,我们为环$\mathbb实现了向量化多项式乘法器{Z}(Z)_{4591}[x]/\left\langle\Phi_{17}(x^{96})\right\rangle$带有AVX2和Neon。我们在Haswell和Skylake上对AVX2实现进行了基准测试,在Cortex-A72和Apple M1 Pro的“Firestorm”核心上对Neon实现进行了测试。我们的AVX2优化实现比[Bernstein、Brum-ley、Chen和Tuveri,USENIX Security 2022]在Haswell和Skylake上最先进的AVX2-优化实现快1.99到2.16倍,我们的Neon优化实现比[Hwang,Liu,and Yang,ACNS 2024]在Cortex-A72和Apple M1 Pro上的最先进Neon优化实施快1.29到1.36倍。对于使用AVX2的总体方案,我们在Haswell和Skylake上减少了7.9%−12.0%的批密钥生成周期(按批大小32摊销)、7.1%−10.3%的封装周期和10.7%−13.3%的去封装周期。对于Neon的整体性能,我们在Cortex-A72和Apple M1 Pro上减少了3.0%−6.6%的封装周期和12.8%−15.1%的去封装周期。
丹尼尔·米恰尼西奥和尤里·波利亚科夫
FHEW和TFHE是完全同态加密(FHE)密码系统,可以在每次门评估后通过引导对加密数据上的任意布尔电路进行评估。FHEW密码系统最初是基于标准(环形,循环安全)LWE假设设计的,其初始实现能够在不到1秒的时间内运行引导。TFHE密码系统使用了一些更强大的假设,例如具有二进制秘密分布的环面上的(Ring,circular secure)LWE,并应用了一些其他优化,以将引导运行时间减少到0.1秒以下。到目前为止,基础安全假设之间的差距阻碍了对相同安全设置的密码系统进行公平比较。我们提出了一个统一的框架,其中包括FHEW和TFHE密码系统的原始和扩展变体,并使用模块算法在开源PALISADE格密码库中实现。我们的分析表明,密码系统之间的主要区别在于所使用的引导程序:FHEW的Alperin-Sherif-Peikert(AP)与TFHE的Gama-Izabachene-Nguyen-Xie(GINX)。TFHE中的所有其他算法优化同样适用于这两种密码系统。GINX引导方法使二进制秘密的使用变得至关重要,并且不能直接应用于其他秘密分发。在比较这两个方案的过程中,我们提出了一种简单、轻量级的方法,将GINX引导(例如TFHE使用的)扩展到三元均匀和高斯秘密分布,这些都包含在HE社区安全标准中。我们对不同秘密分布的AP和GINX自举方法进行了比较,结果表明,TFHE/GINX密码系统对二值和三值秘密具有更好的性能,而FHEW/AP对高斯秘密具有更快的性能。我们建议考虑基于三值和高斯秘密的FHEW和TFHE密码系统的变体,以便HE社区进行标准化。
迪米特里斯·穆里斯(Dimitris Mouris)、普拉蒂克·萨卡尔(Pratik Sarkar)和内克塔里奥斯·乔治·特索索斯(Nektarios Georgios Tsoutsos)
私有重打击是一项数据收集任务,其中多个客户端拥有私有比特串,而数据收集服务器的目标是在不了解客户端输入的情况下识别最流行的字符串。在这项工作中,我们引入了PLASMA:一个三服务器设置中的私有分析框架,用于保护诚实客户端的隐私和协议的正确性,以对抗恶意客户端和恶意服务器的联盟。我们的核心原语是一个可验证的增量分布式点函数(VIDPF)和一个批处理一致性检查,它们是独立的。我们的VIDPF引入了基于散列的新方法来验证客户端输入。同时,我们的批处理一致性检查使用Merkle树来批量验证多个客户端会话。这大大减少了跨多个客户端会话的服务器通信,导致与相关工作相比,通信量大大减少。最后,我们将PLASMA与Asharov等人(CCS’22)和Poplar(S&P’21)的最新工作进行了比较,并就不同投入规模的货币成本进行了比较。
米希尔·贝拉雷、多琳·里佩尔和劳拉·谢
我们研究了其公共参数与后门一起生成的方案的可能性。我们认为大对手的目标是双重的:它既希望实用性(它可以破坏计划),也希望独占性(没有其他人可以)。从散列函数开始,我们为这两个目标给出了新的、强有力的定义,称之为组合的高效性。然后,我们给出了一个高效的后门散列函数的构造,其含义可以证明符合我们的新定义。作为一个应用程序,我们调查了使用此散列函数的X.509证书的伪造。然后我们考虑签名,再次给出了高效性的定义,并表明它是可以实现的。但我们也给出了一些积极的结果,即对于Okamoto和Katz-Wang签名方案,某些自然后门策略被证明是无效的。我们的后门建筑旨在警告人们,后门可能比先前设想的更强大、更具破坏性,并通过说明如何建造后门来帮助防御者和开发商识别潜在的后门。我们的积极结果表明,一些方案确实比其他方案提供了更多的后门阻力,这可能使它们更可取。
亨利·班伯里和冯克·阮
基于格的密码学通常使用具有特殊性质的格以提高效率。我们展示了分块约简如何利用具有特殊几何性质的格,有效地将解决最短向量问题所需的分块大小减少到格秩的一半,并且在超三次格$\mathbb{Z}^n$的情况下,进一步将分块的近似因子放宽到$\sqrt{2}$。我们研究了可证明算法和众所周知的启发式原始攻击,在格具有几乎与超三次格$\mathbb{Z}^n$一样短的第一极小值的情况下。值得注意的是,这些近超立方晶格涵盖了Falcon和NTRU密码系统的大多数具体实例:这是第一个可证明的结果,表明破NTRU格可以简化为在半维中找到最短的格向量,从而对Gama、Howgrave-Graham和Nguyen在Eurocrypt 2006中的猜想作出了积极响应。
达米安·罗伯特和尼古拉斯·萨基斯
我们使用θ组来研究Kummer线之间的$2$-异构体,特别关注Montgomery模型。这使我们能够恢复已知的公式,以及翻译的等基因的更有效形式,这只需要$2S+2m_0$进行评估。我们利用这些翻译的等位基因在蒙哥马利曲线上用有理$2$-扭转建立一个用于标量乘法的混合阶梯,其成本为$3M+6S+2m_0$/比特,而标准蒙哥马利阶梯的成本为$5M+4S+1m_0$。
马库斯·巴泽尔(Markus Bläser)、陈志立(Zhili Chen)、邓洪勇(Dung Hoang Duong)、安托万·朱(Antoine Joux
基于组操作的密码学在Brassard和Yung(Crypto 1990)的开创性论文中正式提出。基于单向群操作,针对图同构问题和Fiat–Shamir(FS)变换,有一种基于Goldreich–Micali–Widgerson(GMW)零知识协议的著名数字签名设计。最近,基于组操作的加密和GMW-FS设计的活动重新兴起,如方案SeaSign(Eurocrypt 2019)、CSI-FiSh(Asiacrypt 199)、LESS(Africacrypt 2020)、ATFE(Eurocrypt 2022)和MEDS(Africcrypt 2023)。本文的贡献有两方面:一是关于GMW-FS总体设计,二是关于ATFE-GMW-FS方案。首先,我们研究了组操作框架中GMW-FS设计的QROM安全性和环签名。我们提取了底层组操作的属性,以使GMW-FS在量子随机预言模型(QROM)中是安全的。我们还表明,该设计支持Beullens、Katsumata和Pintore(Asiacrypt 2020)工作之后的可链接环签名构造。其次,我们应用上述结果证明了QROM模型中ATFE-GMW-FS方案的安全性。然后,我们描述了一个基于它的可链接环签名方案,并给出了该环签名方案的一个实现。初步实验表明,我们的方案在现有的后量子环签名中具有竞争力。
David Balbasás、Dario Fiore、Maria Isabel González Vasco、Damien Robissout和Claudio Soriente
加密证明系统在外包数据处理任务的应用程序中提供完整性、公平性和隐私性。然而,通用验证系统不能很好地扩展到大输入。同时,针对具体应用(例如机器学习或图像处理)的特殊解决方案效率更高,但缺乏模块性,因此很难扩展或与数据处理管道的其他工具组合。在本文中,我们将定制解决方案的性能与通用证明系统的多功能性结合起来。我们通过引入一个模块化框架来验证顺序操作的计算。我们的框架的主要工具是一种新的信息理论原语,称为指纹数据可验证评估方案(VE),它捕获了各种基于汇总检查的交互式证明的属性,包括成熟的GKR协议。因此,我们展示了如何为特定函数组合VE,以获得数据处理管道的可验证性。我们提出了一种新的卷积运算VE,它可以处理多个输入输出通道和批处理,并在我们的框架中使用它为(卷积)神经网络和图像处理建立证明。我们实现了我们的证明系统的原型实现,并表明除了渐进改进外,我们实现了比最新技术快5倍于$的证明时间和10倍于$短的证明时间。
游牧:利用余弦相似性归一化双方生物特征认证的恶意安全距离
南城、梅勒克·奥宁、艾卡捷琳尼·米特罗科萨、乌巴伊达·乔恰内、马西米利亚诺·托迪斯科和阿尔贝托·伊巴隆多
计算由$\Delta(\mathbfit{x},\mathbfit{y})$表示的两个非规范化向量$\mathbfet{x{$和$\mathbfit{y{$之间的距离,并将其与预定义的公共阈值$\tau$进行比较,是隐私敏感应用程序(如生物认证、身份验证、,机器学习算法({\em例如}线性回归、k近邻等)和基于密码的容错认证。针对一个广泛使用的距离度量,{\sc Nomadic}研究了两部分(2PC)分布环境中余弦相似性的隐私保护评估。我们在一个场景中演示了此设置,其中客户端使用生物特征向服务提供商进行身份验证,将距离计算外包给两台计算服务器。在这种情况下,我们提出了两个新的2PC协议来评估非正规化两个向量之间的归一化余弦相似性,然后将其与公共阈值进行比较,一个在半诚实环境中,另一个在恶意环境中。我们的协议将加法秘密共享与函数秘密共享相结合,通过使用新的构建块来计算函数$f$的组成,从而节省了一轮通信,从而产生具有后续二进制门的二进制结果。总的来说,我们的协议优于所有以前的工作,在强威胁模型下只需要两轮通信,该模型还通过归一化处理恶意输入。我们在使用语音进行生物特征认证的环境中评估了我们的协议,所得结果表明,与现有最先进的工作相比,效率有了显著提高。
隐藏$\Delta$-公平:公平安全的两方计算的新概念
萨西娅·贝鲁特、罗宾·伯杰、费利克斯·多雷、杰里米亚斯·梅克勒和约恩·穆勒-夸德
安全的两方计算允许相互不信任的两方对其输入计算联合函数,从而保证输入隐私或正确性等属性。对于许多任务,例如联合计算统计数据,重要的是当一方收到计算结果时,另一方也会收到结果。不幸的是,这种称为公平的属性在任意函数的两方设置中是无法实现的。因此,提出了较弱的变体。Pass等人(EUROCRYPT 2017)提出了一个这样的概念,称为$\Delta$-公平。非正式地,它保证如果腐败方在$r$轮中收到输出并停止参与协议,那么诚实方将在$\Delta(r)$轮中接收输出。这一概念是通过使用所谓的安全飞地实现的。在许多情况下,$\Delta$-公平性是不够的,因为保证腐败方在诚实方之前获得输出,从而使腐败方在进一步的互动中具有优势。更糟糕的是,由于腐败方知道$\Delta$,它可以在最有利的时候中止协议。我们通过引入一个新的公平概念来扩展$\Delta$-公平的概念,我们称之为隐藏的$\Delta$-公平,它解决了这些问题。首先,在我们的新概念下,腐败的一方可能不会从堕胎中受益,因为它可能不会首先得知结果,概率为$\frac{1}{2}$。此外,$\Delta$和其他参数是根据给定的分布进行采样的,并且对于计算中的参与者来说是未知的。我们提出了一个2PC协议,该协议实现了隐藏的$\Delta$-公平性,并使用安全包,并在广义通用可组合性(GUC)框架中证明了其安全性。
本杰明·戴蒙德和吉姆·波森
Ligero(Des.Codes Cryptogr.’23)的一个基本结果表明,每个固定线性分组码在仿射子空间集合方面都存在邻近间隙,即每个给定的子空间要么完全靠近代码,要么只包含一小部分靠近代码。特别是,任何给定的子空间不能完全靠近代码,都必须由该子空间的均匀随机采样元素以很高的概率见证。我们研究了这种现象的一种变体,在这种变体中,证人不是从子空间中均匀采样的,而是从子空间的一个小得多的子集中采样的。我们表明,对数数量的随机字段元素(在子空间的维度中)足以影响类似的邻近性测试,而且只有对数(乘法)虚假证人可能普遍存在的损失。我们讨论了最近基于线性码的非交互证明的应用,包括Brakedown(CRYPTO’23)。
等等,畜生?SCA使用有效密码辅助CCA——以HQC KEM为例
Thales Paiva、Prasanna Ravi、Dirmanto Jap和Shivam Bhasin
HQC是一种基于代码的密钥封装机制(KEM),被选为NIST量子后标准化过程的第四轮。虽然此方案以前曾被用于密钥恢复的旁路辅助选择密码攻击所针对,但所有这些攻击都依赖于格式错误的密文进行密钥恢复。因此,通过对无效密文部署基于检测的对策,并在检测到无效密文时刷新密钥,可以轻松防止所有这些攻击。这可以防止攻击者进一步暴露密钥,因此是一个很有吸引力的选项,可以防止以前的攻击。因此,在这项工作中,我们对基于检测的对策进行了批判性分析,并提出了第一种基于旁道的选择密码攻击,该攻击试图仅使用有效的密文进行密钥恢复,从而击败了基于检测的对抗。我们提出了利用Reed-Muller解码器中ExpandAndSum和FindPeaks操作的泄漏进行新型攻击,以实现100%成功率的全密钥恢复。我们表明,我们的攻击对旁道测量中的噪声非常鲁棒,并且我们还对ExpandAndSum和FindPeaks操作中的洗牌对策提出了新的攻击扩展,这使得洗牌对策无效。因此,我们的工作表明,基于低成本检测的对抗措施可能会变得无效,并且无法针对基于CC的副通道攻击提供独立保护。因此,我们的工作鼓励更多的研究,以开发新的低成本对抗基于CC的副通道攻击的对策。
