XiaoMi-AI文件搜索系统
World File Search Systemlwe
关于KPQC回合2候选人评估的报告
2背景2 2.1通用晶格攻击。。。。。。。。。。。。。。。。。。。。。2 2.2安全假设。。。。。。。。。。。。。。。。。。。。。。4 2.2.1研究ASPPTIONS的安全级别的重要性。。。。。。。。。。。。。。。。。。。。。。。。。5 2.2.2加密系统中使用的假设。。。。。。。。。。。。。。。。。。。。。。。。。。。。6 2.2.3计算与决策LWE变量。。。。。。。7 2.2.4 LWE与LWR。。。。。。。。。。。。。。。。。。。。。7 2.2.5部分校正加密系统。。。。。。。。。。。8 2.2.6安全假设。。。。。。。。。。。。。。。。。。。8 2.2.7基本的REGEV加密系统。。。。。。。。。。。。。。10 2.3一般设计框架和可证明的安全性。。。。。。。12 2.3.1 Fujisaki Okamoto变换(有隐性拒绝)12 2.3.2安全损失。。。。。。。。。。。。。。。。。。。。。。。。13 2.3.3菲亚特 - 沙米尔变换。。。。。。。。。。。。。。。。14 2.4关于回合2 C软件的一般说明。。。。。。。。。。。。。15 2.4.1正确性。。。。。。。。。。。。。。。。。。。。。。。。15 2.4.2防止正时攻击。。。。。。。。。。。。15 2.4.3基准。。。。。。。。。。。。。。。。。。。。。。。。16 2.4.4将来的速度。。。。。。。。。。。。。。。。。。。。。。。16
使用同构加密
摘要 - 在各种现实世界情景中与隐私相关问题的解决方案是众人瞩目的焦点。但是,每个计划支持的有限类型的操作类型都是应用程序的主要缺点。尽管他基于学习 - 错误(LWE)问题的计划提供了有效的查找表(LUT)评估,但与基于RING LWE(RLWE)问题的HE计划相比,它们在算术操作和低通量方面具有不利影响。如果HE包含算术操作或其计算宽度很大,则在包含LUT的电路上的使用受到了限制。在本文中,我们提出了使用基于RLWE的HE方案在LUTS上进行批处理查询的同构算法。要查找加密查询中大小n的加密luts,我们的算法使用o(log n)同构比较和o(n)乘以。对于未加密的LUTS,我们的算法使用O(log n)比较,O(√n)Ciphertext乘法和O(n)标量乘法。我们提供基于CKKS计划的概念验证实施(ASIACRYPT 2017)。加密的摊销运行时间(分别未加密的)大小512的LUS为0。041(分别0。025)秒。我们的实施约2。4-6。0 x的吞吐量高于当前基于LWE的方案的实现,其在LUT的结构上具有更大的灵活性。
双重有效的私人信息检索和完全...
- 在最坏的情况下,在理想晶格中找到近似最短的向量。- 下一代公开加密的新NIST标准的基础。- 替代结构:近似GCD,NTRU,O(1)-Lank模块LWE
线性同态加密和私人信息检索
这两个差异仅影响我们密码文本的最低顺序位。因此,我们可以通过简单地设置我们的参数来处理这两个问题,即使误差分布稍大,可以使解密能力高。例如,如果我们设置2 B + 2 更广泛地,我们可以适当地设置参数,以允许在这些LWE密文上执行任何(多项式)的同构添加。 这种线性同态对建立对加密数据执行一些(受限制的)计算的密码系统非常有用,例如,汇总了加密的投票。 在本讲座的其余部分中,我们将看到如何使用它来构建私人信息检索。更广泛地,我们可以适当地设置参数,以允许在这些LWE密文上执行任何(多项式)的同构添加。这种线性同态对建立对加密数据执行一些(受限制的)计算的密码系统非常有用,例如,汇总了加密的投票。在本讲座的其余部分中,我们将看到如何使用它来构建私人信息检索。
分布式广播加密
广播加密方案允许用户将消息加密给𝑁接收者,其大小用𝑁缩尺寸缩放。广播加密启用了简洁的加密广播,但它也引入了强大的信任假设和单个失败点;也就是说,有一个中央机构为系统中的所有用户生成解密密钥。分布式广播加密提供了一种吸引人的替代方案,其中有一个(可信赖的)设置过程生成一组公共参数。此后,用户可以独立生成自己的公共钥匙并将其发布到公钥目录。此外,任何人都可以使用密码的任何子集向任何子集广播加密的消息,其大小的大小与广播集的大小相同。与传统的广播加密不同,分布式广播加密中没有长期秘密,用户可以随时加入系统(通过将其公钥发布到公钥目录中)。以前,分布式广播加密方案是从基于标准配对的假设或功能不可区分性混淆或证人加密等强大工具中知道的。在这项工作中,我们从可伪造的晶格假设提供了第一个分布式广播加密方案。具体来说,我们依赖于Wee(Crypto 2024)引入的错误(LWE)假设的cuccinct学习(LWE)。一路上,我们还描述了从格子上更直接地构造广播加密。以前,唯一基于晶格的分布式广播加密候选者会经过通用证人加密,而这又是从私人胶卷回避LWE假设中知道的,这是一个强大而不可划分的晶格假设。
使用小深度量子电路进行量子性测试
最近,Brakerski、Christiano、Mahadev、Vazirani 和 Vidick (FOCS 2018) 展示了如何基于带错学习 (LWE) 假设构建量子性测试:该测试可以由量子计算机有效解决,但在 LWE 假设下无法由经典多项式时间计算机解决。该测试已导致多种加密应用。具体而言,它已应用于从单个不受信任的量子设备产生可证明的随机性、对单个量子设备进行自我测试以及独立于设备的量子密钥分发。在本文中,我们表明,这种量子性测试以及基本上所有上述应用实际上都可以通过一类非常弱的量子电路来实现:恒定深度量子电路与对数深度经典计算相结合。这揭示了这种基本量子性测试的新颖复杂性理论特性,并为小深度量子电路优于经典计算提供了新的具体证据。
如何构建量子 FHE
[ Mah20 , Bra18 ] 的 QFHE 构造建立在可从 LWE 假设构建的经典 FHE 方案之上。然而,他们的方案使用了特定 FHE 方案的非常特殊的属性。例如,[ Mah20 ] 使用了对偶 GSW FHE 方案 [ GSW13 ] 以及从 LWE 构建的噪声陷门无爪函数。该构造利用了这样一个事实:位 b 的对偶 GSW 加密可以转换为对该位“编码”的无爪函数对 ( f 0 , f 1 ) 的描述,对于两个原像 x 0 和 x 1 ,使得 f 0 ( x 0 ) = f 1 ( x 1 ) ,x 0 和 x 1 的第一位与 b 异或。类似地,[ Bra18 ] 关键性地使用了 GSW 加密方案和与给定密文一致的所有随机字符串集合的离散高斯结构。换句话说,这两种方案都使用了底层原语的特定实例,并利用了它们复杂的相互作用。这引出了一个自然的问题,这也是我们工作的起点:
Quantum Stealth地址协议
隐身地址协议(SAP)允许用户接收资产 - 隐身地址,这些地址与其隐身元地址不可链接。最广泛使用的SAP,双键SAP(DKSAP)和最具有椭圆形的椭圆形曲线配对双键SAP(ECPDKSAP)的基于椭圆曲线密码学,这容易受到量子量的影响。这些协议取决于椭圆曲线离散对数问题,可以使用Shor算法在足够强大的Quantum计算机上有效解决。在本文中,提出了基于基于晶格的密码学的三个新颖的量子SAPS:LWE SAP,RING-LWE SAP和Module-Lwe SAP。这些协议利用错误(LWE)问题利用学习来确保抗量子的效率。基于Kyber密钥封装机制的Module-Lwe SAP在短暂的公共密钥注册表的扫描时间内实现了最佳性能,并超过了ECPDKSAP约为66.8%。
零量子电路的不可区分混淆及应用
虽然第一个假设是标准的,第二个假设在某种程度上似乎是必要的,但双模式 CVQC 是我们在本文中引入的非标准加密构建块。粗略地说,如果存在一个标准模式,其中方案是正确的,以及一个模拟模式,其中不存在任何接受无实例的证明(尽管在此模式下,方案对于是实例可能不一定正确),则 CVQC 协议是双模式的。即使给定验证密钥,这些模式也必须在计算上无法区分。实际上,我们不知道任何满足此双模式属性的 CVQC 构造,因此我们将该属性放宽为“陷门”变体,其中存在一个满足双模式属性的陷门设置算法(在计算上与原始算法无法区分)。我们表明,这种放宽足以构建量子零 iO(以及经典电路的 LWE 和后量子 iO)。为了确定该构建块的可行性,我们提出了一种安全的陷门双模 CVQC 构造,假设量子随机预言模型 (QROM) 中的带错误学习 (LWE) 问题的难度。