XiaoMi-AI文件搜索系统
World File Search SystemBoneh
CSE P564:计算机安全和隐私
UW指导团队:David Kohlbrenner,Yoshi Kohno,Franziska Roesner。感谢Dan Boneh,Dieter Gollmann,Dan Halperin,John Manferdelli,John Mitchell,Vitaly Shmatikov,Bennet Yee和许多其他用于样品幻灯片和材料
BBS+ 应用、标准化和一些理论
BBS 这个名字源自 Dan Boneh、Xavier Boyen 和 Hovav Shacham 的原创学术著作,该方案于 2004 年首次在著作中被隐式描述。我们关心的不是原始的群签名,而是更正式地称为 BBS+ 的多消息、不可链接方案
Wilson NguyenWilson Nguyen
•Bünz,B.,Mishra,P.,Nguyen,W.,Wang,W。,(2024)。“弧:Reed - Solomon代码的积累”。in:密码学EPRINT档案。https://eprint.iacr.org/2024/1731。•Boneh,D.,Nguyen,W.,Ozdemir,A。(2021)。“有效的功能承诺:如何承担私人功能”。in:密码学EPRINT档案。https://eprint.iacr.org/2021/1342。•Simoiu,C.,Nguyen,W.,Durumeric,Z。(2021)。“ HTTPS配置安全性的经验分析”。in:arxiv预印arxiv:2111.00703。
证明配对 - 密码学EPRINT存档
3 n 1/4通过持续分数方法,其中n = pq是RSA模量。后来,Coppersmith [3]提出了一种基于晶格的RSA隐脑分析技术。Coppersmith的方法为基于晶格的RSA分析提供了许多深入研究。在[4]中,Boneh和Durfee将绑定扩展到d 292用于通过新的基于晶格的方法进行小型私人指数攻击。 在2010年,Herrmann和May [5]采用了一种更简单,更有效的方法来实现相同的绑定d 292。 尽管进行了几项努力[6,7],d 292仍然是最好的界限。 但是,已经证明,在部分知识泄漏的放松状态下,可以改善界限。 [8]中,Boneh,Durfee和Frankel引入了对RSA的部分关键暴露攻击的概念。 它解决了攻击者获得私人指数d的一些位的情况。 Ernst等。 [9]提出了一部分键暴露攻击,并了解了n 0范围内的私钥D最重要的位(MSB)。 284 后来,Takayasu和Kunihiro [10]覆盖了N 0。 292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。292用于通过新的基于晶格的方法进行小型私人指数攻击。在2010年,Herrmann和May [5]采用了一种更简单,更有效的方法来实现相同的绑定d 292。 尽管进行了几项努力[6,7],d 292仍然是最好的界限。 但是,已经证明,在部分知识泄漏的放松状态下,可以改善界限。 [8]中,Boneh,Durfee和Frankel引入了对RSA的部分关键暴露攻击的概念。 它解决了攻击者获得私人指数d的一些位的情况。 Ernst等。 [9]提出了一部分键暴露攻击,并了解了n 0范围内的私钥D最重要的位(MSB)。 284 后来,Takayasu和Kunihiro [10]覆盖了N 0。 292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。292。尽管进行了几项努力[6,7],d 292仍然是最好的界限。 但是,已经证明,在部分知识泄漏的放松状态下,可以改善界限。 [8]中,Boneh,Durfee和Frankel引入了对RSA的部分关键暴露攻击的概念。 它解决了攻击者获得私人指数d的一些位的情况。 Ernst等。 [9]提出了一部分键暴露攻击,并了解了n 0范围内的私钥D最重要的位(MSB)。 284 后来,Takayasu和Kunihiro [10]覆盖了N 0。 292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。292仍然是最好的界限。但是,已经证明,在部分知识泄漏的放松状态下,可以改善界限。[8]中,Boneh,Durfee和Frankel引入了对RSA的部分关键暴露攻击的概念。它解决了攻击者获得私人指数d的一些位的情况。Ernst等。 [9]提出了一部分键暴露攻击,并了解了n 0范围内的私钥D最重要的位(MSB)。 284 后来,Takayasu和Kunihiro [10]覆盖了N 0。 292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。Ernst等。[9]提出了一部分键暴露攻击,并了解了n 0范围内的私钥D最重要的位(MSB)。284 后来,Takayasu和Kunihiro [10]覆盖了N 0。 292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。后来,Takayasu和Kunihiro [10]覆盖了N 0。292 可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。可以将部分钥匙曝光攻击应用于各种情况,包括模量N的Prime除数P或Q的泄漏,或其SUM P + Q等[11-13]。
嘉年华的激流回旋:公众知识的面具的隐私推理
摘要。机器学习应用程序获得了越来越多的访问高度敏感的信息,同时需要越来越多的计算资源。因此,需要将这些计算昂贵的任务外包,同时仍确保数据的安全性和机密性是迫在眉睫的。在他们的开创性工作中,Tramèr和Boneh提出了激流回旋方案,用于隐私 - 通过将计算分为独立于数据的预处理阶段和非常有效的在线阶段来保存推断。在这项工作中,我们提出了一种新方法,可以通过引入狂欢节协议来显着加快预处理阶段。狂欢节利用子集总和问题的伪随机性也可以在预处理阶段实现有效的外包。除了证明安全性外,我们还包括一项经验研究,分析了针对较小参数的子集总和函数输出均匀性的格局。我们的发现表明,狂欢节是现实世界实施的绝佳候选人。
在标准模型中具有更紧凑性的晶格的基于身份的加密
基于身份的加密(IBE)是公共密钥加密的概括,其中公钥可以是任意字符串,例如名称,电话数字或电子邮件地址。用户的秘密密钥只能由可信赖的机构(称为密钥生成中心(KGC))生成,该键将其主秘密密钥应用于用户自身身份验证后用户的身份。Shamir [34]提出了IBE的概念,以简化公共密钥和证书管理。自Boneh和Franklin [10]提出的首次意识到,在过去的二十年中,进行了重大研究[1、7、7、8、12、17、18、21、22、25、36、37],从不同假设中构建了各种IBE方案。最近,为了预言量子计算机的攻击,量词后加密术,尤其是基于晶格的密码学,成为流行的研究方向。在此过程中,我们专注于基于晶格的ibe。
popstar:轻巧的阈值报告,泄漏减少
摘要本文提出了Popstar,这是一种用于重型击球手的私人计算的新型轻量级协议,也称为私人阈值报告系统。在这样的协议中,用户提供了输入测量值,并且报告服务器学习哪些测量值不仅仅是预先指定的阈值。Popstar遵循与Star(Davidson等人,CCS 2022)相同的体系结构,除了计算总重型击球手统计信息的主服务器外,还依靠助手随机服务器。虽然Star非常轻巧,但它泄漏了大量信息,包括提供的测量结果的整个直方图(但仅揭示出出现在阈值以下的实际测量值)。popstar表明,可以以适中的成本减少这种泄漏(约7×较长的聚合时间)。我们的泄漏更接近Poplar(Boneh等,S&P 2021),该泄漏依赖于分布点功能和一个不同的模型,该模型需要两个非批评服务器(具有相同工作量)来计算重型击球手的相互作用。
Winternitz一次性签名方案的量子安全安全
盲目的不强迫性。在这项工作中,我们在量子访问攻击下研究了量子访问攻击下的签名方案的安全性[6]。在这里,在选定的消息攻击下概括了存在性不强制性的标准概念,攻击者被授予量子查询访问签名算法。最后,对手应输出他们未从查询中获得的伪造。正式化这样的安全概念是由于所谓的量子无限制原则而变得复杂的,该原则是根据哪些量子状态被复制的。我们使用[2]中介绍的盲目的不强迫性概念(有关以前的和补充概念,请参见[7,15])。我们指出的是,盲目的不强制性定义的选择是因为它暗示了先前的概念,即骨和zhandry的定义[7]和[2]中确定的一次性不被遗忘[15]。Informally, blind unforgeability credits an adversary with a successful break of, e.g., a digital signature scheme, if it outputs a valid message-signature pair given a modified signing oracle that is “blinded” on a random subset of all messages, in the sense that it outputs a dummy symbol instead of a signature, and if the output message is among these blinded messages (see Section 2 for details).