XiaoMi-AI文件搜索系统
World File Search SystemBoneh
基于通用组身份的加密:紧密的不可能结果
在Boneh和Franklin(Crypto '01)的开创性工作之后,基于Diffie-Hellman假设构建基于身份的加密方案的挑战一直尚未解决15年以上。支持缺乏成功的证据是由Papakonstantinou,Rackoff和Vahlis(Eprint '12)提供的,他们排除了支持基于一般组的加密计划,这些方案支持了足够大的多项式大小的身份。尽管如此,Döttling和Garg(Crypto '17)的突破带来了这一长期存在的挑战。我们证明了基于通用组身份的加密的严重不可能结果,排除了任何非平凡构造的存在:我们表明,任何公共参数都包含N PP组元素的方案都可以在大多数N PP身份支持。该阈值均由任何通用组公钥加密方案都毫无疑问地达到,其公共键由单个组元素组成(例如Elgamal Encryption)。在代数构造的背景下,一般实现通常在概念上比非代理更简单,更有效。因此,确定通用组局限性的确切阈值不仅具有理论意义,而且在考虑具体安全参数时实际上可能具有实际含义。
迈向抗量子弱可验证延迟函数
可验证延迟函数 (VDF) 是一种加密原语,设计用于在规定的时间 t 内进行计算,而不管可用的并行计算能力如何,同时在计算完成后仍然易于验证。VDF 用于各种应用,例如随机数生成和区块链共识算法,其中需要延迟以确保某些操作不会执行得太快。关于 VDF 的开创性论文“可验证延迟函数”于 2018 年由 Boneh、Bonneau、Bünz 和 Fisch 发表 [ 9 ]。在论文中,作者介绍了 VDF 的概念,并描述了它在拍卖协议、工作量证明系统和安全多方计算等各种应用中的潜在用途。第一个有效的 VDF 是由 Pietrzak [ 42 ] 和 Wesolowski [ 50 ] 提出的;这两个 VDF 都基于未知顺序群的幂运算。我们参考 [ 10 ] 对这些 VDF 进行了概述。在寻找一种同时具有量子抗性的 VDF 这一未解决的问题的驱动下,De Feo、Masson、Petit 和 Sanso [ 25 ] 使用超奇异同源链作为“顺序慢速”函数来构建他们的 VDF。然而,考虑到双线性配对的使用,这种基于同源的 VDF 不具有量子抗性,而只提供一些量子烦恼。证明同源性的知识
不可观察的量子随机Oracle模型
由Bellare和Rogaway引入的随机Oracle模型(ROM)(CCS 1993)引入了许多(有效)加密原始词和协议的正式安全证明,并且在实践中具有很大的影响。但是,安全模型还依靠一些非常强大且非标准的假设,即对手如何与加密哈希功能相互作用,这在现实世界中可能是不现实的,因此可能导致人们质疑安全分析的有效性。例如,ROM允许自适应编程哈希功能或观察对手进行的哈希评估。我们在后量词设置中引入了随机甲骨文模型的基本弱变体,我们称之为非观察量子量子随机甲骨文模型(无QROM)。我们的模型比Boneh,Dagdelen,Fischlin,Lehmann,Schaffner和Zhandry(Asiacrypt 2011)或Ananth和Bhaskar提出的不可观察的随机甲骨文模型(Provsec 2013)所提出的使用了较弱的启发式方法。 同时,我们表明我们的模型是通过证明重要原始词的安全性(例如可提取的不可兑现的承诺,数字签名以及选择无QROM中的可提取的不可兑现的式公开加密)来确定许多加密方案的可行选择。使用了较弱的启发式方法。同时,我们表明我们的模型是通过证明重要原始词的安全性(例如可提取的不可兑现的承诺,数字签名以及选择无QROM中的可提取的不可兑现的式公开加密)来确定许多加密方案的可行选择。
量子随机Oracle模型中的紧密键合封码机制★
摘要。键盘包裹机制可保护量子随机甲骨文模型中所选的密文攻击(Ind-CCA-Secure KEMS),已由Boneh,Dagdelen,Fischlin,Lehmann,Lehmann,Schafner和Zhandry(Crypto 2012),Crypto 2012),Targhi and Targhi and targhi and targhi(targhi and unuh and unuh(tcc and unruh and unruh and in ccc and kirfmanz and hofmanz and hofmanz)提出。 2017)。但是,所有这些构造获得的方案的安全级别尤其是其构建基块原始安全级别的一半。在本文中,我们给出了一种将弱安全的公钥加密方案紧密转换为量子随机甲骨文模型中的IND-CCA安全KEM的转换。更准确地说,我们为确定性的公钥加密(DPKE)定义了一个称为“不相关性的可模拟性”的新安全概念,我们提出了一种方法,可以将不连接的可模拟DPKE方案转换为Ind-CCA键键封闭机制方案,而无需授予相当可能的安全性降级。此外,我们还提供了DPKE方案,其差异性可显着降低为量词后假设。结果,我们获得了量子随机甲骨文模型中各种量子后假设的Ind-CCA安全性KEM。关键字:紧密的安全性,被选为ciphertext的安全性,Quantum加密后,KEM。
带关键字搜索的公钥认证加密
随着云计算的快速发展,越来越多的公司采用云存储技术来降低成本。然而,为了确保敏感数据的隐私,上传的数据需要在外包到云端之前进行加密。Boneh 等人提出了带关键字搜索的公钥加密 (PEKS) 的概念,以提供加密数据的灵活使用。不幸的是,大多数 PEKS 方案都不能抵御内部关键字猜测攻击 (IKGA),因此陷门的关键字信息可能会泄露给对手。为了解决这个问题,Huang 和 Li 提出了带关键字搜索的公钥认证加密 (PAEKS),其中接收方生成的陷门仅对经过认证的密文有效。凭借他们的开创性工作,许多 PAEKS 方案被引入以增强 PAEKS 的安全性。其中一些方案进一步考虑了即将到来的量子攻击。然而,我们的密码分析表明,事实上,这些方案无法抵御 IKGA。为了抵御量子对手的攻击并支持隐私保护搜索功能,我们首先在本文中引入了一种新颖的通用 PAEKS 构造。然后,我们进一步提出了第一个基于格的抗量子 PAEKS 实例。安全性证明表明,我们的实例不仅满足基本要求,而且还实现了增强的安全模型,即多密文不可区分和陷门隐私。此外,比较结果表明,仅需一些额外开销,所提出的实例就能提供更安全的属性,使其适用于更多样化的应用环境。
OPA:单个客户端的单发私人聚合...
我们的工作最大程度地减少了安全计算中的互动,从而解决了沟通的高昂成本,尤其是与许多客户。我们介绍了单次私人聚合OPA,使客户只能在单服务器设置中进行每个聚合评估一次。这简化了辍学和动态参与,与Bonawitz等人等多轮协议形成鲜明对比。(CCS'17)(以及随后的作品),并避免了类似于Yoso的复杂委员会选择。OPA的沟通行为紧密地模仿每个客户群只会说话一次的学习。OPA建立在LWR,LWE,班级组和DCR上,可确保所有客户的单轮通信,同时还可以在客户数量中实现次线性开销,从而使其渐近且实用。我们通过中止和投入验证实现恶意安全,以防止中毒攻击,这在联邦学习中尤其重要,在这种学习中,对手试图操纵梯度以降低模型性能或引入偏见。我们从(阈值)密钥同型PRF和(2)的种子同源性PRG和秘密共享的(2)建立了两种口味(1)。阈值关键同构PRF解决了以前依赖于DDH和LWR的工作中观察到的缺点。(加密,2013年),将其标记为对我们工作的独立贡献。我们的其他贡献包括(阈值)键合型PRF和种子塑形PRG的新结构,这些构造是在LWE,DCR假设和其他未知顺序的类组下安全的结构。
可验证的秘密共享来自对称密钥密码学,具有改善的乐观复杂性
摘要。在本文中,我们提出了可验证的秘密共享(VSS)方案,以确保同步模型中的任何诚实多数,并且仅使用对称键的加密工具,因此具有明显的后量词安全性。Compared to the state-of-the-art scheme with these features (Atapoor et al., Asiacrypt ‘23), our main improve- ment lies on the complexity of the “optimistic” scenario where the dealer and all but a small number of receivers behave honestly in the sharing phase: in this case, the running time and download complexity (amount of information read) of each honest verifier is polylogarithmic and the total amount of broadcast information by the经销商是对数;在Atapoor等人的上述工作中,所有这些复杂性都是线性的。同时,我们就“悲观”案件的先前工作保留了这些复杂性,在这种情况下,经销商或O(n)接收者会积极作弊。新的VSS协议在多方计算中引起了人们的关注,在多方计算中,各方以经销商的身份运行一个VSS,例如分布式关键生成协议。在Boneh等人的模型中,我们的主要技术手柄是多项式低度的分布式零知识证明。(加密’19),如果说明(在这种情况下为证人多项式评估)分布在几个验证者之间,则每个验证者都知道一个评估。使用类似于星期五的折叠技术(Ben-Sasson等,ICALP '18),我们构建了这样的证明,每个验证者都会接收到聚类信息并在Polylogarithmictim中运行。
公共密钥加密的量子不可区分性
摘要。在这项工作中,我们研究了公钥加密方案(PKE)的量子安全性。Boneh和Zhandry(Crypto'13)启动了该研究领域的PKE和对称密钥加密(SKE),仅限于经典的无法区分性阶段。Gagliardoni等。(Crypto'16)通过给出量子性阶段的第一个定义,提出了量子安全性的研究。对于PKE而言,另一方面,不存在具有量子性不可区分阶段的量子安全性概念。我们的主要结果是具有量子不可分性阶段的PKE的新型量子安全概念(QIND-QCPA),它缩小了上述差距。我们展示了针对基于代码的方案和具有某些参数的基于LWE的方案的区别攻击。我们还表明,即使不是基本的PKE方案本身不是,规范混合PKE-SKE加密结构也是QIND-QCPA-SECURE。最后,我们根据我们的安全概念的适用性对抗量子的PKE方案进行了分类。我们的核心思想遵循Gagliardoni等人的方法。使用所谓的2型操作员加密挑战消息。首先,2型操作员对于PKE来说似乎是不自然的,因为构建它们的规范方式需要秘密和公共密钥。但是,我们确定了一类PKE计划(我们称之为可恢复的计划),并表明对于此类类型2运算符仅需要公钥。更重要的是,可恢复的方案即使违反了解密失败,也可以实现2型操作员,这通常会阻止2型操作员规定的可逆性。我们的工作表明,包括大多数NIST PQC候选者和规范的混合构造在内的许多现实世界中的Quantum Quantum Peke方案确实是可回收的。
论量子随机预言模型中时间锁难题的(不)可能性
时间锁谜题 (TLP) 允许谜题生成器 Gen 高效地为解决方案 s 生成谜题 P ,这样,即使对手使用多台计算机并行运行,将谜题 P 解回 s 也需要更多的时间 。TLP 允许“向未来发送消息”,因为它们只在解算器花费大量时间时才允许“打开信封” P 。Rivest、Shamir 和 Wagner [RSW96] 的工作都提出了时间锁谜题的构造,并介绍了此类原语的应用。它们的构造基于这样一个假设:即使使用并行计算,也无法加快对 RSA 合数模整数的重复平方,除非知道合数的因式分解,在这种情况下他们可以加快该过程。因此,谜题生成器可以通过捷径“解决谜题”来找到解决方案,而其他人则被迫遵循顺序路径。 [ RSW96 ] 的工作还建议将 TLP 用于其他应用,如延迟数字现金支付、密封投标拍卖和密钥托管。Boneh 和 Naor [ BN00 ] 通过定义和构造定时承诺并展示其在公平合约签署等应用中的用途,进一步证明了此类“顺序”原语的实用性。最近,时间锁谜题有了更多的应用,如非交互式非可延展承诺 [ LPS17 ]。尽管它们很有用,但我们仍然不知道如何基于更标准的假设(尤其是基于“对称密钥”原语)构建 TLP。人们可能会尝试使用单向函数的求逆(比如,指数级困难)作为解谜的过程。然而,具有 k 倍并行计算能力的对手可以通过将搜索空间仔细分成 k 个子空间,将搜索过程加快 k 倍。将对称基元视为其极端(理想化)形式,人们可以问随机预言是否可用于构建 TLP。预言模型(尤其是随机预言模型)的优点在于,人们可以根据向其提出的查询总数轻松定义信息论时间概念,还可以根据算法向预言提出的查询轮数定义并行时间概念。这意味着,向预言并行提出 10 个查询只算作一个(并行)时间单位。Mahmoody、Moran 和 Vadhan [MMV11] 的工作通过排除仅依赖随机预言的构造,为从对称基元构建 TLP 提供了强大的障碍。具体而言,已经证明,如果谜题生成器仅向随机预言机提出 n 个查询,并且该谜题可以通过 m 个预言机查询(诚实地)解决,那么总有一种方法可以将解决过程加快到仅 O(n) 轮查询,而总查询次数仍然是 poly(n, m)。请注意,查询总数的多项式极限是使此类攻击有趣所必需的,因为总是有可能在一轮中提出所有(指数级的) oracle 查询,然后无需任何进一步的查询即可解答谜题。 [ MMV11 ] 的攻击实际上是多项式时间攻击,但如果有人愿意放弃该特性并只瞄准多项式数量的查询(这仍然足以排除基于 ROM 的构造)他们也可以在 n 轮中实现它。受量子密码学领域发展的启发,密码系统的部分或所有参与方可能会访问量子计算,我们重新审视了在随机 oracle 模型中构建 TLP 的障碍。Boneh 等人的工作 [ BDF + 11 ] 正式引入了具有量子访问的 ROM 扩展。因此,我们可以研究量子随机预言模型中 TLP 的存在,其中谜题生成器或谜题解决器之一(或两者)都可以访问量子叠加中的随机预言。这引出了我们的主要问题:
有效地基于批次的基于身份的加密...
我们提出了一种新的加密原始性,称为“基于批处理的加密”(批处理IBE)及其阈值版本。新的原始性允许使用具有特定身份和批处理标签的消息加密消息,例如,后者可以表示区块链上的块号。给出了特定批次的任意子集,我们的原始性可以有效地发布单个解密密钥,该密钥可用于解密所有具有标识的密文,同时保留所有Ciphertext在子集中排除的标识的隐私。我们建筑的核心是一种新技术,可以实现公共聚合(即在没有任何秘密的任何一个子集的情况下,成为简洁的摘要。此摘要用于通过主秘密密钥来得出该批次中消化的所有身份的罪恶简洁解密密钥。在阈值系统中,主密钥在多个当局之间作为秘密股份分发,我们的方法大大降低了当局的通信(在某些情况下,在某些情况下是计算)开销。它通过将其用于关键发行的成本独立于批处理大小来实现这一目标。我们根据Kate等人的KZG多项式承诺方案提出了批处理IBE方案的具体实例化。(ASIACRYPT'10)和BONEH等人的BLS签名方案的修改形式。(Asiacrypt'01)。在通用组模型(GGM)中证明了构造安全。在区块链设置中,新结构可通过将交易加密到块来实现Mempool隐私,仅打开给定块中包含的交易并隐藏未包含的交易。使用阈值版本,多PLE当局(验证器)可以协作管理解密过程。其他可能的应用程序包括通过区块链进行可扩展的支持,以公平地为多数MPC,以及有条件的批处理阈值解密,可用于实施安全的荷兰拍卖和隐私保留期权交易。