欧密2022文章分类总结（EUROCRYPT 2022）

打工小熊猫

已于 2024-08-06 14:42:48 修改

阅读量232

点赞数 10

分类专栏：密码学文献分类总结文章标签：零知识证明网络攻击模型系统安全密码学

于 2024-08-05 12:51:19 首次发布

本文链接：https://blog.csdn.net/dedanddwb/article/details/140923663

版权

密码学文献分类总结专栏收录该内容

20 篇文章 1 订阅 ¥19.90 ¥99.00

订阅专栏

超级会员免费看

分类	文章标号
多方安全计算	2-19
应用系统	20-22
混淆	23-28
密码学原语	29-34
零知识证明	35-43
对称密码密钥分析	44-48
协议	49-57
同态加密	58-62
物理攻击和掩蔽	1， 63-68
后量子密码	69-80
信息理论安全	81-85

最佳论文奖演讲

1. EpiGRAM: Practical Garbled RAM,

Vladimir Kolesnikov, Rafail Ostrovsky, David Heath,

问题与挑战

现有GRAM的局限性：虽然已有多种GRAM的构造方法，但它们由于高常数开销和扩展性差，并不适用于实际应用。
非黑盒密码学的使用：先前的工作中，非黑盒密码学的使用导致效率极低，并且在每次访问中都需要重复计算。
因子κ的扩展：现有GRAM在表示每个比特时都需要κ长度的编码，导致在实际应用中κ的开销变得难以接受。
高扩展因子：现有GRAM在访问数组时，需要E执行多项对数级（或更多）次数的访问，导致乘法开销。

主要工作

EpiGRAM的设计：提出了首个适合实际应用的GRAM，EpiGRAM通过新颖且简单的技术避免了之前提到的缺点。
避免因子κ的扩展：EpiGRAM通过一种新的GC门的泛化，消除了额外的因子κ开销。
低多项式扩展：EpiGRAM展示了一种泄漏构造，但与之前的GRAM不同，它不使用现成的ORAM，而是构建了一个为GC量身定制的自定义ORAM。

创新点

无需非黑盒密码学：EpiGRAM的方法使用数组元素的新路由技术，这些技术轻量且无需非黑盒密码学。
GC语言的新颖表示：EpiGRAM在GC内部以新颖的方式表示GC语言，避免了因子κ的扩展。
自定义ORAM的构建：EpiGRAM构建了一个考虑GC特性的自定义ORAM，最小化了泄漏构造的使用。

主要贡献

实际应用的GRAM：提出了首个实用的GRAM，EpiGRAM在每次访问时只需要O(w · log2 n · κ)的通信和计算量。
安全性证明：通过将GRAM纳入混淆方案中，证明了其安全性，该方案能够处理由AND门、XOR门和数组访问组成的任意计算。
具体成本分析：展示了EpiGRAM在只有512个128位元素时，就比基于线性扫描的RAM更有优势。

结果

性能评估：通过模块化计算每个子组件的通信成本，评估了EpiGRAM的性能。
低多项式级通信开销：EpiGRAM展示了低多项式级的通信开销，即使在元素数量较少时也具有实用性。
与现有技术的比较：与简单的线性扫描GRAM相比，EpiGRAM在通信成本上有显著的减少，特别是在元素数量较大时。

多方安全计算

2. Garbled Circuits With Sublinear Evaluator,

Vladimir Kolesnikov, Rafail Ostrovsky, Steve Lu, Mehul A. Shah, David Heath, Abida Haque,

问题与挑战

现有混淆电路的局限性：传统的混淆电路（GC）在处理条件分支时存在通信瓶颈，需要发送整个电路的加密材料。
Stacked Garbled Circuit (SGC) 的改进：虽然SGC减少了通信成本，但评估器和生成器的计算成本仍然较高。

主要工作

GCWise方案的设计：提出了一种新的混淆方案，使得在条件分支中，评估器E的计算工作量成为次线性。
GCWise方案的形式化：将GCWise方案形式化为一种混淆方案，并证明了其安全性。

创新点

次线性评估器：通过将条件分支组织成桶，并在每个桶中堆叠分支，减少了评估器E的工作量。
桶表机制：设计了桶表机制来指示活跃分支，同时保持了计算的次线性特性。

主要贡献

高效的GC方案：提出了一种新的GC方案，显著减少了在线阶段的计算成本。
Garbled PIR的应用：展示了GCWise方案在构建高效的Garbled Private Information Retrieval (PIR)中的应用。
安全性证明：证明了GCWise方案在安全性多方计算中的安全性。

结果

通信和计算的次线性成本：证明了GCWise方案在通信和评估器计算上具有次线性成本。
安全性多方计算的实用性：展示了GCWise方案在实际应用中的潜力，尤其是在需要优化在线阶段计算的场景。
文章还讨论了与现有技术的比较，包括与Garbled RAM (GRAM) 的对比，以及如何通过使用Fully Homomorphic Encryption (FHE) 来实现紧凑的两方计算。此外，文章还提供了安全性证明，确保了GCWise方案满足必要的安全属性。

3. Highly Efficient OT-Based Multiplication Protocols,

Iftach Haitner, Samuel Ranellucci, Nikolaos Makriyannis, Eliad Tsfadia,

问题与挑战

两方乘法协议的安全性：现有的基于OT的乘法协议只实现了诚实但好奇（被动）的安全性，对于恶意对手的安全性需要额外的编译手段。
协议效率：历史上的两方乘法协议通常基于同态加密（HE）或OT，两者在效率和安全性假设之间存在权衡。

主要工作

新的OT-Based乘法协议：提出了一种新的两方乘法协议，该协议在不牺牲安全性的前提下，提高了协议的效率。

创新点

对抗恶意对手的安全性：新协议在不依赖于复杂编译的情况下，提供了对恶意对手的高级别安全性。
高效的批量处理：协议支持批量乘法操作，减少了OT调用的数量，提高了协议的效率。

主要贡献

安全性与效率的平衡：新协议几乎与Gilboa的半诚实协议一样高效，同时提供了对恶意对手的安全性。
通用性和实用性：协议的安全性适用于多种应用场景，并且可以在DDH假设下便宜地编译为完全安全性。
批量乘法的改进：通过批量处理，减少了OT调用的数量，显著提高了协议的效率。

结果

高效的OT-Based乘法协议：提出的协议在安全性和效率上都有显著提升，适用于需要两方乘法的安全计算场景。
批量处理的性能提升：通过批量处理，协议在执行多次乘法操作时，显著减少了所需的OT调用数量和通信复杂性。
文章还讨论了如何将新协议应用于多种场景，包括完美乘法、OLE (Oblivious Linear Evaluation)、VOLE (Vector Oblivious Linear Evaluation)、MACs (Message Authentication Codes) 和 Beaver Triplets。此外，文章还提供了安全性证明，展示了新协议在不同攻击模型下的安全性。

4. Practical Non-interactive Publicly Verifiable Secret Sharing with Thousands of Parties,

Shai Halevi, Craig Gentry, Vadim Lyubashevsky,

问题与挑战

现有PVSS方案的局限性：传统的PVSS方案在处理大规模分布式系统时，面临效率低下和通信成本高昂的问题。
区块链系统的需求：区块链系统需要能够“保守秘密”，这要求PVSS方案既要能够处理大规模的委员会，又要保证通信和计算的高效性。

主要工作

新型非交互式PVSS方案的设计：提出了一种基于学习误差（LWE）问题的新型非交互式PVSS方案，适用于大规模参与方。
方案的效率优化：通过使用特定的加密技术和证明方法，显著降低了通信和计算成本。

创新点

Peikert-Vaikuntanathan-Waters (PVW)加密方案的改进：适应多接收者环境，通过共享随机字符串来减少密钥长度。
使用bulletproofs技术：在DL群上使用bulletproofs来获取加密/解密份额正确性的紧凑证明。

主要贡献

高效的PVSS方案：提出的方案在通信和计算上都具有很高的效率，适合在大规模分布式系统中使用。
实用性验证：通过实现和测试，证明了即使在1000个参与方的规模下，该方案也是可行的，并且随着委员会规模的增加，仍然保持高效。

结果

实验结果：在1000个参与方的测试中，展示了方案的实用性和效率，与现有技术相比有显著改进。
对未来工作的展望：指出了该方案在量子攻击者面前的安全性，以及在区块链应用中的潜在重要性。
文章还详细讨论了如何将提出的PVSS方案应用于区块链系统中，以及如何通过使用lattice-based encryption和bulletproofs来构建一个既安全又高效的系统。此外，文章还提供了一个实现的开源链接，供有兴趣的研究者和开发者进一步探索和使用。

5. Round-Optimal and Communication-Efficient Multiparty Computation,

Rafail Ostrovsky, Vassilis Zikas, Michele Ciampi, Hendrik Waldner,

问题与挑战

通信复杂性与轮数的权衡：在多方计算（MPC）中，降低通信复杂性（CC）的典型方法往往以增加轮数复杂性为代价，或者依赖于特定的设置假设。
恶意对抗安全性：在没有特定设置的普通模型中，实现对恶意对手的安全性是一个挑战，尤其是在保持通信效率的同时达到轮数最优。

主要工作

轮数保持编译器：提出了一个轮数保持的黑盒编译器，将广泛的MPC协议编译成在普通模型下安全对抗恶意对手的电路可扩展MPC协议。
通信效率与安全性结合：研究了如何在不牺牲安全性的前提下，降低MPC协议的通信复杂性，特别是在对抗恶意对手的情况下。

创新点

电路可扩展性：首次提出了在普通模型下，对于恶意对手安全的MPC协议，其通信复杂性与电路的深度和输入输出长度成比例。
k-延迟输入函数MPC协议：引入了k-延迟输入函数MPC协议的概念，其中计算函数只在协议的第k轮指定。

主要贡献

轮数最优的MPC协议：提供了一个轮数保持的黑盒编译器，将各种MPC协议编译成在普通模型下对恶意对手安全的电路可扩展MPC协议。
电路独立MPC协议：提出了一个轮数保持的黑盒编译器，将各种MPC协议编译成在普通模型下对恶意对手安全的电路独立MPC协议，假设存在多密钥全同态加密（MFHE）。

结果

轮数最优与通信效率：得到了首个在普通模型下对恶意对手安全的轮数最优且电路可扩展的MPC协议。
通信复杂性最佳：当评估函数的输出大小小于输入大小时（例如布尔函数），该协议甚至在通信上是最优的。
标准多项式时间假设：所有结果都基于标准多项式时间假设，为MPC领域提供了新的理论基础和实际应用的可能性。

6. Lightweight, Maliciously Secure Verifiable Function Secret Sharing,

Antigoni Polychroniadou, Leo de Castro,

问题与挑战

恶意安全性: 在两服务器模型中，实现恶意安全性是一个关键障碍，特别是需要验证客户端输入的正确性，以确保客户端无法未经授权地获取服务器数据库的信息或以未经授权的方式修改数据库。
通用性: 现有的可验证分布式点函数(VDPF)协议主要针对特定情况设计，例如输出值为二进制或输出空间为大域的情况，缺乏对一般情况的验证能力。
效率问题: 传统的DPF验证方法在通信和计算复杂性方面存在不足，特别是在涉及多点函数(MPFs)时，效率问题尤为突出。

主要工作

轻量级可验证DPF: 提出了一种轻量级的可验证DPF方案，该方案在不牺牲安全性的前提下，显著提高了效率，并且可以处理一般性的分布式点函数。
多点函数的FSS: 针对多点函数，提出了一种有效的FSS方案，该方案不仅提高了效率，还保持了对恶意行为的安全性。

创新点

无约束的验证过程: 验证过程不受输出组大小、DPF输出结构或评估点集的限制，与以往工作形成鲜明对比。
批量验证: 提出了一种批量验证方法，使得验证多项式数量的DPF份额所需的通信量与验证一对DPF份额相同。
Cuckoo-hashing技术: 利用Cuckoo-hashing技术，提高了多点函数评估的效率，减少了服务器的计算工作量。

主要贡献

新的DPF验证协议: 提出了第一个即使在服务器恶意的情况下也能保持安全的DPF验证协议，适用于一般性的DPFs。
高效的多点函数处理: 通过Cuckoo-hashing技术，解决了多点函数评估中的效率问题，实现了与非零点数量无关的评估时间和验证通信。
两服务器安全协议: 结合提出的DPF和MPF方案，得到了即使在三方中的任何一方恶意时也能保持安全的两服务器PIR和PSI协议。

结果

性能比较: 实现了所提出的DPF和MPF方案，并通过实验与现有的非验证DPF构造进行了性能比较，显示出在计算和通信复杂性方面的优势。
安全性证明: 提供了详细的安全性证明，证明了所提出的方案能够满足恶意安全性的要求。
应用实例: 展示了如何将所提出的方案应用于PIR和PSI等两服务器模型的安全协议中，证明了方案的实用性和有效性。

7. Guaranteed Output in O(sqrt(n)) Rounds for Round-Robin Sampling Protocols,

Abhi Shelat, Ran Cohen, Yashvanth Kondi, Jack Doerner,

问题与挑战

轮数复杂性: 传统的轮流（round-robin）安全抽样协议，如配对基础多项式承诺和zkSNARKs中的“tau的力量”设置协议，以及某些可验证混合网络，由于其轮询结构，本质上需要与参与者数量成线性的广播轮数。
对抗恶意行为的鲁棒性: 需要设计一种即使在恶意行为者存在的情况下也能保障输出交付的多方安全计算（MPC）协议，同时减少必要的广播轮数。

主要工作

新编译技术: 开发了一种新技术，将具有轮流结构的协议泛化为只需要O(√n)广播轮数的协议。
对抗恶意多数的输出保证: 描述了如何将协议编译成即使在恶意多数情况下也能保障输出交付的协议。

创新点

减少轮数: 与先前技术相比，通常需要Ω(n)顺序广播，在大多数情况下，新编译的协议减少了必要的轮数。
容忍对抗性偏差: 协议允许一定量的对抗性偏差存在于输出中，这是由于Cleve的不可能性结果（STOC’86）所必须的。

主要贡献

O(√n)轮数的MPC协议: 提出了一种新技术，用于构造在容忍任意数量的腐败情况下，保证有偏输出交付的MPC协议，这些协议只需要O(√n)广播轮数。
对现有应用的适用性: 展示了在特定的应用场景中，如区块链系统所需的安全参数采样等，新协议中的偏差是无害的。

结果

实际效率: 证明了新协议在保持实际效率的同时，减少了轮数，提高了协议的实用性。
对特定函数的适用性: 证明了对于特定的函数，如配对基础多项式承诺和zk-SNARKs的参数设置，新协议可以安全地使用，并且不会引入安全漏洞。
对可验证混合网络的应用: 展示了新协议如何应用于可验证混合网络，实现了在亚线性广播轮数内完成的安全混合过程。

8. Secure Multiparty Computation with Free Branching,

Abhishek Jain, Aarushi Goel, Mathias Hall-Andersen, Aditya Hegde,

问题与挑战

通信复杂性: 在多方计算（MPC）中，对于分支电路的计算，传统方法需要对每个分支进行评估，导致通信成本与整个电路的大小线性相关。
分支电路的保密性: 在分支电路中，需要保持激活分支的身份不被协议参与者知晓，这增加了设计的复杂性。

主要工作

自由分支的MPC协议: 研究了一种支持分支电路的MPC协议，该协议允许多个子电路（即分支）存在，并且只有单个“激活”分支的输出被计算出来。
通信效率的改进: 提出了一种新的方法，减少了在MPC中分支执行的通信成本，而不需要依赖全同态加密（FHE）。

创新点

多层叠加混淆范式: 利用了Heath和Kolesnikov在CRYPTO’20中提出的多层叠加混淆范式，该范式为分支电路生成的混淆电路大小仅依赖于最大分支的大小。
隐私保护的分支选择: 设计了一种机制，允许各参与方以隐私保护的方式选择要执行的分支，并且只执行该分支。

主要贡献

通用框架: 提供了一个支持任意数量参与方的分支多方计算的通用框架。
通信复杂性与分支大小成比例: 所提出的方案的通信复杂性与最大分支的大小成比例，而计算量与整个电路的大小成线性关系。

结果

实际应用的证明: 通过实现和基准测试来展示了所提出方法的实用性。
通信和计算效率: 证明了该方法在通信和计算效率方面的实际效益，特别是在涉及大量分支时。

附加说明

对现有技术的改进: 相比于现有技术，本文提出的方法在通信复杂性方面有显著的改进，尤其是在对抗恶意对手的安全环境中。
对实际应用的推动: 这些进展为实际应用中的安全多方计算提供了更高效的解决方案，尤其是在需要处理复杂函数和大型电路的场景中。

9. Secure Multiparty Computation with Sublinear Preprocessing,

Yuval Ishai, Niv Gilboa, Elette Boyle, Ariel Nof,

问题与挑战

通信复杂性: 在恶意多数情况下，安全多方计算（MPC）的效率通常受到通信复杂性的限制，特别是在需要处理大量数据时。
预处理技术: 传统的预处理技术在生成相关随机性时通信量大，与电路大小的线性相关，这限制了MPC协议的效率。
恶意安全性: 设计能够抵抗恶意行为者的MPC协议是一个挑战，尤其是在不牺牲效率的前提下。

主要工作

新型MPC协议: 提出了一种新型的MPC协议，该协议在预处理阶段具有亚线性的通信复杂性，显著提高了效率。
亚线性通信: 实现了与电路大小平方根成比例的预处理通信，而不是传统的线性关系。

创新点

基于同态加密的预处理: 利用加性同态加密（AHE）来实现预处理阶段的通信压缩。
简化的验证协议: 提出了一种简化的验证协议，减少了通信和计算的开销。
多方联合证明: 通过多方联合证明机制，减少了对单个诚实第三方的依赖。

主要贡献

亚线性预处理MPC: 提供了首个实用的亚线性通信方法，用于生成“SPDZ风格”的相关性，实现了恶意安全性。
通用性: 协议不依赖于特定的加密假设，可以与现有的同态加密方案和伪随机相关生成器结合使用。
简洁性: 继承了Boyle等人（Crypto '21）协议的简洁相关随机性特征。

结果

效率提升: 通过实验证明，新协议在在线阶段的通信和计算效率上具有显著优势。
安全性证明: 提供了严格的安全性证明，证明了协议在恶意多数情况下的安全性。
实用性: 展示了新协议在实际应用中的潜力，尤其是在两方情况下对布尔电路的安全性。

10. On the security of ECDSA with additive key derivation and presignatures,

Jens Groth, Victor Shoup,

问题与挑战

ECDSA的变体安全性: 文章主要探讨了椭圆曲线数字签名算法（ECDSA）的两种常见变体：加性密钥派生（additive key derivation）和预签名（presignatures）。这些变体在提高效率的同时也带来了安全性的考量。
缺乏安全证明: 尽管加性密钥派生在比特币改进提案32（BIP32）中已广泛使用，但之前没有对其安全性进行过证明，尤其是结合预签名使用时的安全性。

主要工作

安全性分析: 文章对ECDSA及其变体进行了彻底的安全性分析，包括独立和组合使用的情况。
不修改ECDSA: 在分析过程中，没有对ECDSA进行修改，也没有以任何方式削弱标准的安全性概念。

创新点

椭圆曲线通用群模型（EC-GGM）: 提出了一个特定于椭圆曲线的通用群模型，更好地模拟了ECDSA的一些特性，如转换函数和可塑性。
安全漏洞发现: 在分析过程中，发现了这些变体的安全隐患，这些漏洞在之前似乎没有被报告过。

主要贡献

安全证明: 提供了ECDSA及其变体在通用群模型（GGM）下的安全性证明。
攻击方法: 展示了针对结合使用加性密钥派生和预签名的ECDSA的攻击方法，这种攻击比已知的最佳攻击方法更为高效。
缓解措施: 提出了两种缓解这些弱点的方法：重新随机化预签名和同质密钥派生，这些方法都很轻量级，并且结合使用时，安全性与普通ECDSA相当。

结果

安全性界限: 提供了具体的安全界限，展示了不同设置下攻击者伪造签名的成功率的上限。
安全性比较: 通过表格总结了不同设置下的安全定理，指出了结合使用同质密钥派生和重新随机化预签名的ECDSA与普通ECDSA具有相同的安全性。
对现有标准的分析: 对BIP32密钥派生函数进行了分析，并论证了将其作为（公共用途）随机预言模型的合理性。

11. On Building Fine-Grained One-Way Functions from Strong Average-Case Hardness,

Geoffroy Couteau, Chris Brzuska,

问题与挑战

基于平均情况复杂性的单向函数构造：长期以来，从平均情况复杂性构造单向函数一直是一个开放性问题。这个问题的正面结果将排除Pessiland（Impagliazzo '95），并确立一个非常理想的双赢局面：要么（对称）密码学无条件存在，要么所有NP问题都可以在平均情况下高效解决。

主要工作

细粒度单向函数（FGOWF）的构造：提出了一种新的研究方向，探索弱但有意义的候选双赢结果，即要么存在FGOWF，要么可以为所有NP问题在平均情况下获得非平凡的加速。
强平均情况硬度的探索：研究了一种非常强的形式的平均情况硬度，称为块查找硬度，并展示了FGOWF的存在性。

创新点

块查找硬度：提出了一种新的平均情况硬度概念，即给定随机词语的集合，找到具有特定局部结构的语言成员身份的序列是困难的。
随机语言模型（RLM）：引入了一种用于启发式分析的工具，用于评估某些困难语言可能具有的属性。

主要贡献

FGOWF的构造：展示了如果存在具有块查找硬度的NP语言，则FGOWF存在。
启发式分析：通过RLM提供了对这种强平均情况硬度概念的启发式支持。
分离结果：提供了两个负面结果，表明从指数平均情况硬度语言到FGOWF的黑盒构造是不可能的。

结果

FGOWF的实现：证明了在特定的平均情况硬度假设下，可以构造出FGOWF。
黑盒分离：展示了即使在平均情况硬度通过平行重复以指数速率放大的情况下，也无法通过黑盒证明从指数平均情况硬度语言构造FGOWF。
技术贡献：提出了一个核心的抽象引理——打击引理（Hitting Lemma），这是一个关于两个玩家之间简单游戏的一般概率陈述，用于限制对手在给定的随机访问关系中可能找到的见证数量。

附加说明

对密码学基础的影响：这些结果对基于较弱硬度假设的密码学构造的尝试具有指导意义，表明如果存在构造，它必须依赖于所选语言的具体结构硬度属性。
对算法效率与密码学安全性的启示：正面结果暗示了构造FGOWF所需的具体类型硬度，即需要在给定的单词列表中找到具有给定模式的子向量，这需要决定大部分单词的成员身份。

12. Hiding in Plain Sight: Memory-tight Proofs via Randomness Programming,

Stefano Tessaro, Joseph Jaeger, Ashrujit Ghoshal, Riddhi Ghosal,

问题与挑战

内存限制: 在考虑内存限制的情况下，为密码学方案提供精确的安全证明是一个挑战，尤其是在需要对抗具有内存限制的对手时。
内存紧致性: 已知的技术实现内存紧致性（memory-tightness）较为有限，且先前的工作显示，即使是基本的、教科书式的还原也不能实现内存紧致性。

主要工作

内存紧致性技术: 引入了一种新的内存紧致性技术，通过在与对手的交互中利用随机字符串来隐藏状态信息，从而将内存成本转移给对手。

创新点

高效标记技术: 提出了一种称为高效标记的技术，通过使用随机函数来编码状态信息，从而在不存储本地信息的情况下实现内存紧致性。
消息编码技术: 利用随机值对消息进行编码，以便后续可以唯一地恢复隐藏的状态信息。

主要贡献

数字签名的内存紧致证明: 为允许多次伪造尝试的数字签名提供了内存紧致的安全性证明。
认证加密方案的安全性: 证明了基于Encrypt-then-PRF的认证加密方案的安全性，提供了到底层加密方案的内存紧致还原。
公钥加密的CCA安全性: 展示了两种不同版本的公钥加密CCA安全性的内存紧致证明，这些证明取决于考虑的CCA安全性概念。

结果

具体实例: 展示了几种应用标记和消息编码技术的例子，包括对特定方案或受限定义的安全性证明。
安全性证明: 提供了针对多种密码学方案的内存紧致安全性证明，这些证明考虑了随机消息分布或概率性RSA-FDH签名等具体情况。
避免通用不可能性结果: 通过考虑特定方案或受限定义，避免了Auerbach等人（CRYPTO '17）和Ghoshal等人（CRYPTO '20）提出的通用不可能性结果。

附加说明

文章还讨论了如何通过使用F-oracle对手来形式化内存紧致还原，这提供了一种更保守的方法来处理内存限制对手。
作者通过提出和倡导使用F-oracle对手，简化了对内存紧致还原的分析，并可能使其结果更加清晰。

13. Dynamic Collusion Bounded Functional Encryption from Identity-Based Encryption,

Brent Waters, Rishab Goyal, Rachit Garg, George Lu,

问题与挑战

静态界限的局限性: 传统的功能性加密（Functional Encryption, FE）系统在设置时需要声明一个固定的合谋界限（collusion bound q），这限制了系统的灵活性和适应性。
动态合谋抵抗的需求: 需要一种能够在不同情况下动态选择合谋抵抗级别的FE系统，以适应不同的安全需求和系统环境。

主要工作

动态合谋界限FE系统: 提出了一种新的FE系统，允许动态选择合谋界限，提供了比静态合谋界限FE系统更多的灵活性。

创新点

动态与静态合谋模型的对比: 引入了动态合谋模型，与静态合谋模型相比，提供了根据实时需求调整合谋抵抗级别的能力。
基于身份的加密（IBE）: 利用IBE的一般性假设来构建动态合谋界限的FE方案，保持了量子安全性、模拟安全性和通用性。

主要贡献

动态合谋FE方案: 提供了一种新的FE方案，允许加密者根据性能开销和所需的合谋抵抗力来动态选择合谋界限。
安全性证明: 在动态合谋模型中，证明了所提FE方案的安全性，包括量子安全和模拟安全。

结果

方案实现: 成功实现了一种基于IBE的动态合谋界限FE方案，该方案在保持静态合谋界限FE系统的优势的同时，提供了动态调整合谋界限的能力。
安全性与效率的平衡: 展示了如何在不牺牲安全性的前提下，根据实时需求调整系统参数，以达到性能和安全性的最佳平衡。

14. Universally Composable Subversion-Resilient Cryptography,

Jesper Buus Nielsen, Daniele Venturi, Bernardo Magri, Suvradip Chakraborty,

问题与挑战

密码协议的安全性问题: 传统的密码学协议通常假设运行在诚实方机器上的实现是完全可信的。然而，在现实生活中，存在许多情况使得这一假设不成立，尤其是当对手能够以难以察觉的方式篡改诚实方的实现时。
现有技术的局限性: 目前已知的所有设计抵抗篡改攻击的密码协议技术都不能自动保证在实际环境中的安全性，尤其是在协议会话可能与其他协议并发运行的情况下。

主要工作

提出UC框架的扩展: 扩展了通用可组合性（Universal Composability, UC）框架，以包含具有核心和防火墙的各方，以模拟不同类型的篡改攻击。
设计抵抗篡改的密码协议: 提供了一种新的方法来设计即使在存在篡改攻击的情况下也能保持安全的密码协议。

创新点

逆防火墙（Reverse Firewalls）: 引入了逆防火墙的概念，这是一种外部方，位于诚实方和网络之间，其任务是清理进出核心的通信，以消除通过篡改攻击产生的隐蔽信道。
透明性（Transparency）和强消毒（Strong Sanitation）: 提出了评估防火墙有效性的新标准，即在不改变诚实核心行为的前提下，能够隐藏篡改行为。

主要贡献

UC框架的一般化: 将UC框架推广到每个方由具有秘密输入的核心和无秘密、负责清理出入通信的防火墙组成。
消毒UC承诺和UC硬币投掷: 在决策性Diffie-Hellman（DDH）假设下，展示了如何对UC承诺和UC硬币投掷进行消毒，以抵抗隐蔽篡改。
GMW编译器的消毒: 展示了如何对经典的GMW编译器进行消毒，以便将具有半诚实对手安全的多方计算（MPC）转换为具有恶意对手安全的MPC。

结果

安全性证明: 提供了在UC框架下，对于具有不同腐败模式的各方的安全性证明。
模块化设计方法: 通过组合定理，允许以模块化的方式设计抵抗篡改的协议，通过消毒不同子组件。
透明性和强消毒的证明: 证明了所有消毒协议的透明性，即与经过消毒的核心通信与与诚实核心通信无法区分。

未来工作

其他理想功能的UC逆防火墙: 设计能够抵抗篡改攻击的UC逆防火墙，用于其他理想功能，如盲传输和零知识证明。
去除信任设置假设: 探索去除或部分去除信任设置的方法，以增强协议的安全性。
自适应腐败下的UC抵抗篡改MPC: 定义在自适应腐败存在下，能够抵抗篡改攻击的UC多方计算。

15. Asymptotically Quasi-Optimal Cryptography,

Vinod Vaikuntanathan, Yuval Ishai, Carmit Hazay, Muthuramakrishnan Venkitasubramaniam, Leo de Castro,

问题与挑战

密码学计算开销: 密码学原语实现中的一个关键问题是最小化计算开销，尤其是在安全参数λ较小的情况下。
亚线性效率: 实现密码学原语时，常数计算开销协议可能包含依赖于安全参数λ的多项式项，这在问题规模n较小时导致效率非最优。

主要工作

亚线性准最优(AQO)密码学: 提出了一种新的目标，即在问题规模n和安全参数λ的所有选择上实现最优效率，直到多项对数因子。

创新点

AQO半诚实批量OLE协议: 实现了首个AQO半诚实批量Oblivious Linear Evaluation (BOLE)协议，该协议适用于小域上的OLE，并且依赖于环学习误差(RLWE)假设的近指数安全性。
AQO零知识证明系统: 设计了首个AQO零知识证明系统，用于布尔电路的可满足性，该系统结合了新的AQO ZK-PCP构造和通过OLE反转将统计保密性转换为声音的技术。

主要贡献

AQO安全计算协议: 结合了上述结果，得到了在RLWE下对恶意方安全的布尔电路AQO安全计算协议。
实践相关性: 展示了AQO batch-OLE协议在实践中的竞争力，尤其是在实例尺寸和域较小的情况下。

结果

AQO协议实现: 提供了AQO协议的实现，并与现有方法进行了比较，显示出在通信和/或计算开销方面的优势。
安全性证明: 为所提出的AQO协议提供了严格的安全性证明，并讨论了其在不同安全模型下的性能。

附加说明

文章还讨论了AQO密码学的理论动机和实际动机，并提出了一些开放性问题，为未来的研究提供了方向。

16. A Complete Characterization of Game-Theoretically Fair, Multi-Party Coin Toss,

Kaijie Wu, Elaine Shi, Gilad Asharov,

问题与挑战

多方掷币协议的公平性: 在多方掷币协议中实现游戏理论公平性是一个挑战，特别是在存在腐败多数派的情况下。Cleve的下界（STOC’86）表明，在两方掷币中，强大的公平性概念是不可能的。

主要工作

游戏理论公平的多方掷币协议: 研究了在多方设置中实现游戏理论公平性的可行性，即使在存在腐败多数派的情况下。

创新点

CSP公平性: 提出了一种新的概念，即合作策略证明性（CSP）公平性，要求诚实的协议形成对联盟攻击有抵抗力的纳什均衡。
Maximin公平性: 引入了另一种概念，即Maximin公平性，要求没有联盟能够损害任何诚实方的预期效用。

主要贡献

CSP公平性的完整特征: 提供了一个完整的特征描述，包括在何种参数条件下CSP公平性是可能的，给出了匹配的上下界。
Maximin公平性的完整特征: 展示了Maximin公平性在何种条件下是可能的，并提供了完整的特征描述。

结果

CSP公平性的协议: 设计了一个新的协议，证明了在广泛的参数范围内，CSP公平性是可能的，并且在存在多数派腐败的情况下，该协议是安全的。
Maximin公平性的协议: 对于特殊情况（当n0 = 1且n1为奇数时），提供了一个Maximin公平的协议，该协议可以容忍恰好一半或更少的恶意腐败。

附加说明

公共可验证性: 正面结果在允许公共可验证性的模型中实现，即协议的输出可以从广播介质（例如公共区块链）发送的消息中计算出来，外部观察者也可以学习输出。
与现有工作的比较: 展示了在特定条件下，提出的协议优于现有工作，并提供了与Chung et al. [14]工作的比较，指出了在何种条件下，提出的协议能够实现更好的公平性。

17. Round-Optimal Byzantine Agreement,

Vipul Goyal, George Ghinea, Chen-Da Liu-Zhang,

问题与挑战

拜占庭协议的轮复杂性: 在分布式计算和密码学中，拜占庭协议（Byzantine Agreement, BA）是允许一组n个参与方在至多t个参与方可能违反协议时达成共同值的基本工具。降低其轮复杂性至关重要，但现有协议在失败概率上存在限制。

主要工作

轮最优化的拜占庭协议: 提出了一种新的拜占庭协议，该协议在轮数上达到了最优化，即在r轮协议中，失败概率至少达到(c·r)^-r，其中c是某个常数。

创新点

扩展和提取技术: 引入了一种新的Proxcensus协议，该协议通过三步“扩展和提取”迭代范式，实现了在3r轮内将输入位扩展到(c·r)^r个值。
作弊限制机制: 设计了一种机制，限制了恶意参与者在迭代过程中对诚实参与者值产生分歧的能力。

主要贡献

常数因子内的最优协议: 提供了第一个协议，其失败概率每轮降低超过常数因子，匹配了已知的下界，直到常数因子。
对强敌的安全性: 证明了该协议在(强赶超)自适应敌手下，可以抵御高达(1-ε)n/2个参与方的腐败。

结果

降低失败概率: 展示了该协议在3r+1轮内，对抗强赶超自适应敌手时，可以将失败概率降低到超常数因子每轮。
实际应用: 该协议在需要高可靠性和安全性的分布式系统中具有潜在的应用价值。

附加说明

文章还讨论了与之前协议的比较，指出在诚实参与者数量较高时，新协议在失败概率上优于先前的协议。
提出了一些开放性问题，包括改进常数、减少设置假设、实现早期终止和降低通信复杂性等。

18. Round-Optimal Multi-Party Computation with Identifiable Abort,

Michele Ciampi, Luisa Siniscalchi, Divya Ravi, Hendrik Waldner,

问题与挑战

多派对计算（MPC）的安全性: 在诚实多数模型中，MPC协议能够抵抗不诚实的多数派，但现有技术无法保证在并发环境中的安全性。
可识别中止（Identifiable Abort）: 需要在MPC中引入一种安全概念，使得当计算中止时，诚实方能够识别导致中止的不诚实方。

主要工作

引入有界重绕安全（Bounded-Rewind Security）: 提出了一种新的MPC安全概念，即使在面对重绕攻击时也能保持安全。
四轮MPC协议: 设计了一个四轮的MPC协议，该协议即使在不诚实的多数派存在的情况下也能安全地实现任何功能，并具有可识别中止的特性。

创新点

延迟输入零知识证明（Delayed-Input Zero-Knowledge Proofs）: 在MPC协议中引入了延迟输入零知识证明，以确保在计算过程中消息的生成是按照协议描述进行的。
非可塑承诺（Non-Malleable Commitments）: 使用非可塑承诺来防止在模拟过程中可能出现的恶意行为。

主要贡献

四轮MPC协议的构造: 利用标准密码学假设，构造了一个四轮的MPC协议，该协议在不诚实的多数派存在的情况下也能安全地实现任何功能，并具有可识别中止的特性。
新的安全概念: 提出了有界重绕安全的MPC概念，并证明了其在并发环境中的有效性。

结果

四轮MPC协议的实现: 成功实现了一个四轮的MPC协议，该协议在不诚实的多数派存在的情况下也能安全地实现任何功能，并具有可识别中止的特性。
安全性证明: 对所提出的MPC协议进行了安全性分析，并证明了其在面对重绕攻击时的安全性。

未来工作

简化协议: 研究是否可以在减少通信轮数的同时保持MPC协议的安全性。
提高效率: 探索提高MPC协议效率的方法，特别是在大规模分布式系统中。
实际应用: 将所提出的MPC协议应用于实际场景，如区块链技术、安全多方数据分析等。

19. Round-Optimal Black-Box Protocol Compilers,

Amit Sahai, Yuval Ishai, Dakshita Khurana, Akshayaram Srinivasan,

问题与挑战

圆复杂性最小化：在恶意参与者存在的情况下，最小化密码协议的轮次复杂性是近年来研究的主要课题。尽管大多数可行性问题已经得到解答，但在已知的轮次最优协议和针对半诚实对手的最佳协议之间，仍然存在显著的效率差距。
半诚实与恶意安全性之间的差距：研究旨在填补特别情况下半诚实安全性与恶意安全性之间的效率差距，提出了许多创新想法，但这些想法通常需要针对底层原语的结构进行精心定制。
黑盒构造的局限性：大多数先前的黑盒构造无法用于获得两轮协议，因为它们本质上增加了轮次复杂性。

主要工作

黑盒协议编译器：提出了一种黑盒协议编译器，该编译器能够从半诚实安全性到恶意安全性进行转换，且保持轮次数最优化。
两轮恶意安全协议：在随机预言模型（ROM）中，提出了一种两轮、两方协议，该协议针对恶意对手安全，并且是黑盒使用了两轮半诚实安全协议。
三轮多党安全计算协议：在随机预言模型中，提出了一种三轮多党安全计算协议，该协议基于黑盒使用两轮半诚实OT，并且与已知的轮次复杂性下界相匹配。

创新点

消除自适应安全性需求：在两轮协议中，消除了对自适应安全性的需求，这是之前IPS编译器的一个限制。
简化外部协议：通过加强外部MPC协议而非内部协议，简化了协议的外部部分，这可能具有独立的兴趣。
随机预言模型的适应：在随机预言模型中，提出了一种新颖的Fiat-Shamir范式适应，以执行看板功能，从而产生新的轮次最优恶意安全协议。

主要贡献

新的变体IPS编译器：提供了IPS编译器的一个新变体，它在两轮设置中放宽了对IPS“内部协议”的要求，通过加强“外部协议”。
统计安全性的两轮多党安全计算协议：在1-out-of-2 OT关联模型中，提出了一种两轮多党安全计算协议，该协议针对恶意对手安全，并且黑盒使用了密码学。
对底层字段的黑盒使用：在OLE关联模型中，为计算算术分支程序提供了新的轮次最优协议，这些协议在统计上是安全的，并且黑盒使用了底层字段。

结果

两轮恶意安全OT/OLE：实现了基于黑盒使用两轮半诚实（批量）OT/OLE的随机预言模型中的两轮恶意安全OT/OLE。
三轮多党安全计算协议：实现了基于黑盒使用两轮半诚实OT的随机预言模型中的三轮多党安全计算协议，符合已知的轮次复杂性下界。
两轮多党安全计算协议：在1-out-of-2 OT关联模型中实现了两轮多党安全计算协议，该协议针对恶意对手安全，并且黑盒使用了密码学。

实际应用系统

20. CoCoA: Concurrent Continuous Group Key Agreement,

Joël Alwen, Krzysztof Pietrzak, Michael Walter, Benedikt Auerbach, Karen Klein, Guillermo Pascual-Perez, Miguel Cueto Noval,

问题与挑战

大规模群组通信的密钥管理：在大规模群组通信平台（如Signal）中，如何高效地进行密钥轮换以保持安全是一个挑战。
现有协议的局限性：目前的群组密钥协商（CGKA）协议在处理大量用户时面临性能瓶颈，尤其是在用户需要频繁更新密钥以实现妥协后的前向安全性（PCFS）时。

主要工作

CoCoA方案的设计：提出了一种新的CGKA方案，允许多个用户同时更新密钥，而不会显著增加通信或计算成本。

创新点

并发更新的允许：CoCoA允许T个用户同时进行更新，这些更新既不损害未来的操作，也不会增加成本。
通信复杂度的降低：通过服务器辅助的CGKA，CoCoA减少了每个用户需要通信的信息量，同时保持了低通信复杂度。

主要贡献

高效的群组密钥更新：CoCoA通过增加完成所有更新所需的轮数（最多log(n)轮），显著减少了每个用户在每轮中的通信量。
安全性证明：证明了CoCoA在“部分活跃设置”中的安全性，即使在服务器不可信的情况下，也能确保协议的安全性。

结果

实际部署的可行性：通过实现和测试，证明了CoCoA即使在有1000个成员的群组中也是可行的，并且随着群组规模的增加，其效率仍然保持。
与现有技术的比较：CoCoA在通信复杂度和更新成本方面，相比现有的TreeKEM和其他CGKA协议有显著的改进。
文章还讨论了CoCoA在不同设置下的性能，包括在知道或不知道哪些用户被妥协的情况下的通信复杂度，以及与现有CGKA方案的比较。此外，文章还提供了安全性分析，并讨论了CoCoA在实际应用中的潜在优势。

21. Efficient Schemes for Committing Authenticated Encryption,

Mihir Bellare, Viet Tung Hoang,

问题与挑战

认证加密（AE）的效率与安全性：对称加密作为密码学的基础，其发展过程中隐私保护方案的失败导致了对认证加密的需求。然而，现有的AE方案在隐私和认证性上存在局限性，特别是在多用户环境下的安全性尚未完全解决。
密钥承诺安全性：在某些应用中，如基于密码的加密方案，缺乏密钥承诺安全性可能导致安全漏洞。因此，需要一种新的加密方案，能够在不牺牲效率的情况下提供密钥承诺。

主要工作

提出高效的承诺认证加密（CAE）方案：这些方案在保持加密效率的同时，增强了密钥的安全性。
设计新的加密模式：基于GCM和AES-GCM-SIV的改进版本，提供了对密钥、随机数、关联数据和消息的承诺。

创新点

零开销承诺：提出的方案在不增加密文大小的前提下，实现了对所有加密输入的承诺。
多用户安全性：新方案在多用户环境下保持了良好的安全性，即使在随机数重用的情况下也能提供保护。
通用性与实用性：方案不仅适用于特定的加密算法，还可以广泛应用于现有的密码学软件库或标准化过程中。

主要贡献

定义了新的安全模型：系统地定义了不同的密文承诺概念，包括CMT-1和CMT-4。
提出了新的加密方案：包括CAU-C1和CAU-SIV-C1，这些方案在保持原有加密效率的同时，增加了密钥承诺安全性。
提供了安全性证明：为新方案提供了严格的安全性分析和证明，包括多用户环境下的安全性。

结果

实现了高效的CAE方案：新方案在不增加密文大小和计算复杂度的情况下，提供了额外的安全保障。
保持了与传统加密算法的兼容性：通过在现有加密算法基础上进行小幅度修改，实现了新的安全特性。
提供了对现有加密方案的改进建议：包括对GCM和AES-GCM-SIV等现有加密算法的改进版本，以增强其在多用户环境下的安全性。

22. On the Concrete Security of TLS 1.3 PSK Mode,

Tibor Jager, Felix Günther, Denis Diemert, Hannah Elizabeth Davis,

问题与挑战

TLS 1.3 PSK模式的安全性: TLS 1.3的预共享密钥(PSK)握手模式在Web和资源受限设备上广泛使用，但需要严格的安全证明来确保性能和理论上的健全性。
现有安全证明的局限性: 先前对TLS 1.3的安全性分析存在差距，特别是在模拟整个密钥调度或其组成部分时，忽略了TLS 1.3密钥调度中的现有相互依赖性。

主要工作

TLS 1.3 PSK模式的紧密安全性证明: 提供了TLS 1.3 PSK握手模式的首次紧密安全性证明，考虑了协议的所有方面，包括密钥调度和握手过程。

创新点

新的密钥调度抽象: 提出了一种新的TLS 1.3密钥调度的抽象方法，通过多随机预言模型来简化安全分析。
解决已知问题: 针对先前工作中忽略的密钥调度中的相互依赖性问题，提出了一种新的解决方案，并通过不可区分性框架证明了其安全性。

主要贡献

紧密安全性证明: 为TLS 1.3 PSK握手模式提供了紧密的安全性界限，这些界限比之前的分析更精确，为实际部署提供了理论上的支持。
改进的安全性分析: 通过新的抽象和分析方法，显著提高了TLS 1.3 PSK模式的安全性，确认了标准化参数，并使部署更加合理。

结果

安全性界限的显著提高: 在所有评估的参数中，与之前的分析相比，PSK-only握手的安全性提高了15到53位，PSK-(EC)DHE握手的安全性提高了60到131位。
对TLS协议的具体见解: 指出了在设计协议时需要考虑的特定配置（如PSK-only模式与SHA-384哈希函数结合使用时）的域分离问题。

未来工作

进一步优化: 继续寻找提高TLS 1.3 PSK模式安全性的方法，同时保持协议的性能。
扩展分析: 将这种紧密安全性分析的方法应用于TLS 1.3的其他方面，以及其他密码学协议。

混淆

23. Cryptanalysis of Candidate Obfuscators for Affine Determinant Programs,

Yu Yu, Yilei Chen, Li Yao,

问题与挑战

Indistinguishability Obfuscation (iO) 的构建难题：iO 是一种强大的密码学原语，尽管其在密码学和复杂性理论中有广泛的应用，但构建既有效又可证明安全的 iO 仍然是一个长期存在的难题。
基于传统密码学假设的依赖性：多数 iO 候选方案依赖于传统的密码学假设，如离散对数或错误学习等，这限制了它们在特定情况下的适用性，例如量子计算攻击。
ADP 程序模型的安全性：Bartusek 等人提出的基于仿射行列式程序 (ADP) 的 iO 候选方案，虽然不依赖于传统密码学假设，但其安全性尚未得到充分的密码分析和证明。

主要工作

对 Bartusek 等人提出的 iO 候选方案的密码分析：本文展示了针对 Bartusek 等人提出的基于 ADP 的 iO 候选方案的密码分析攻击。
攻击方法的提出：利用候选方案中随机化步骤的弱点，提出了一种攻击方法，该方法适用于相当广泛的程序类别。

创新点

“mod 4 attack”的变体：展示了一种针对 ADP 随机化步骤的攻击，该攻击是对“mod 4 attack”的一种变体，能够绕过引入的随机局部替换 (RLS) 层。
对 RLS 随机化步骤的深入分析：深入分析了 RLS 步骤对 ADP 矩阵的随机化效果，并找出了使得攻击可行的条件。

主要贡献

对特定 iO 候选方案的有效攻击：提出了一种有效的攻击方法，能够区分经过 obfuscation 的 ADP 和功能等价的 ADP。
对攻击适用范围的详细描述：详细描述了攻击适用的必要条件和充分条件，为理解攻击的范围和限制提供了理论基础。
对可能的防御措施的讨论：在文末讨论了可能的对策，以抵御本文提出的攻击，包括对 RLS 随机化步骤的改进。

结果

攻击成功的可能性分析：展示了在特定条件下，攻击者可以以至少 3/4 的概率猜测 ADP 的随机选择。
对 RLS 随机化步骤的改进建议：提出了对 RLS 步骤的改进，以增加随机性并可能防止本文描述的攻击。
对未来研究方向的展望：指出了对 RLS 随机化步骤进行进一步研究的必要性，以确保 iO 方案能够抵御已知的攻击。

24. Incompressible Cryptography,

Daniel Wichs, Mark Zhandry, Jiaxin Guan,

问题与挑战

安全性泄露问题：文章讨论了即使在解密密钥泄露后，如何确保加密信息的安全性。传统的前向保密性（Forward Secrecy）需要多轮协议或密钥更新，这在许多场景中可能不可取。
不可压缩加密：作者提出了一个问题，即是否可以迫使潜在的“稍后保存对手”实际上存储整个密文，从而增加存储难度和成本。

主要工作

不可压缩加密方案：文章提出了一种即使在解密密钥泄露后，也能保持消息隐私的加密方案，该方案通过人为增加密文大小来迫使对手使用更多的存储空间。
不可压缩签名：文章还提出了一种签名方案，该方案通过使签名变得任意大，确保对手无法在不存储签名的情况下产生有效签名。

创新点

流式解密与验证：文章提出的加密和签名方案支持流式解密和验证，即使密文或签名很大，也能以低存储成本进行处理。
高比率方案：作者扩展了他们的构造，实现了最优的“比率”，即大密文（或签名）可以包含几乎同样大的消息，这是通过更强的假设来实现的。

主要贡献

简化构造：文章提供了在最小假设下简单构造的不可压缩公钥加密和签名方案。
低存储流式使用：诚实用户在发送和接收通信时可以以低存储要求进行，即使对于对手而言通信量可能过大。

结果

实验证明：通过一系列混合论证，文章证明了所提出的加密和签名方案的安全性。
实现细节：文章还提供了实现这些方案所需的功能性加密（Functional Encryption, FE）的具体构造，包括设置、密钥生成、加密和解密算法。

25. COA-Secure Obfuscation and Applications,

Ran Canetti, Manoj Prabhakaran, Dakshita Khurana, Suvradip Chakraborty, N. Nalla Anandakumar, Oxana Poburinnaya,

问题与挑战

程序混淆的安全性问题：程序混淆虽然可以保护软件不被分析，但带来了安全性的挑战，如难以验证混淆程序的属性，可能隐藏恶意行为等。
软件水印的局限性：现有的软件水印技术主要集中于检测与原始程序功能非常接近的非法副本，但无法有效防止更一般形式的软件盗版。
公钥加密的完全CCA安全性：传统的公钥加密方案在面对强大的解密预言机时，难以保证完全的非可塑性。

主要工作

提出新的程序混淆范式：引入了一种新的程序混淆概念，称为COA（Chosen Obfuscation Attacks）安全，旨在增强混淆程序的可验证性并减轻可塑性攻击。
构建COA安全的混淆机制：在子指数安全的IO（Indistinguishability Obfuscation）和单向函数的假设下，构建了满足COA安全的混淆机制。
应用COA混淆于软件水印和加密：利用COA混淆技术实现了一种新型的软件水印机制和完全CCA安全的公钥加密方案。

创新点

COA安全定义：提出了一种新的混淆安全定义，该定义结合了有意义的保密性、可验证性和非可塑性保证。
软件水印新方法：提出了一种新的软件水印方法，能够公开检测与水印程序存在预定关系的任何程序，即使这些程序未标记或带有不同标记。
完全CCA安全公钥加密：提出了一种新的公钥加密安全概念，即使在存在强解密预言机的情况下，也能保持加密方案的安全性。

主要贡献

定义了COA混淆：提出了一种新的混淆方案，该方案通过结合可验证性和非可塑性，增强了程序混淆的安全性。
构建了COA混淆的实例：在合理的密码学假设下，构建了COA混淆的具体实例，展示了该概念的实用性。
实现了新型软件水印和加密方案：利用COA混淆，实现了一种新型的软件水印机制和一种完全CCA安全的公钥加密方案，这些应用展示了COA混淆的广泛适用性。

结果

COA混淆的安全性证明：证明了在特定假设下，构建的混淆机制满足COA安全定义，包括正确性、可验证性和COA安全性。
软件水印和加密方案的有效性：展示了基于COA混淆构建的软件水印机制和公钥加密方案的有效性，证明了它们在特定场景下的安全性和实用性。
密码学应用的拓展：通过COA混淆，拓展了密码学应用的范围，为软件保护和加密通信提供了新的工具和方法。

26. Indistinguishability Obfuscation from LPN over F_p, DLIN, and PRGs in NC^0,

Amit Sahai, Huijia Lin, Aayush Jain,

问题与挑战

构建最小假设集：研究构建不可区分混淆（Indistinguishability Obfuscation, iO）所需的最小假设集，以简化iO构造并减少对复杂假设的依赖。
去除对LWE的依赖：探索不依赖于学习误差（Learning With Errors, LWE）假设的iO构造方法，以降低密码学构造的复杂性。
提高效率：寻求在保持安全性的同时提高iO构造的效率，特别是通过减少计算和存储需求。

主要工作

假设集的简化：证明了基于三个假设：带噪声的线性学习（LPN）假设、NC0中的布尔伪随机生成器（PRG）以及对称双线性群上的决策线性（DLIN）假设，可以构建出对所有多项式大小电路的（次指数安全）iO。
公钥功能加密：提出了一种抗合谋的公钥功能加密方案，适用于所有多项式大小的电路，这是在仅依赖多项式安全性假设的情况下实现的。

创新点

预处理随机编码（Preprocessing Randomized Encoding, PRE）：引入了一种新的编码概念，允许在指数时间内计算配对群的指数，与现有技术相比，大大简化了iO的构造。
简化的iO构造：通过新的技术，如PRE，简化了iO的构造过程，减少了对复杂变换的依赖，从而降低了整体架构的复杂性。

主要贡献

基于LPN、DLIN和PRG的iO：提出了一种新的iO构造方法，该方法基于LPN、DLIN和NC0中的PRG，不依赖于LWE假设。
首个不依赖格基假设的全同态加密方案：作为结果，得到了第一个不依赖于任何基于格的难度假设的全同态加密方案。
技术简化：通过提出PRE概念，简化了iO的构造过程，减少了对复杂变换的依赖。

结果

次指数安全的iO：证明了在上述假设的次指数安全性下，可以为所有多项式大小的电路存在iO。
功能加密：在假设仅有多项式安全性的情况下，证明了存在对所有多项式大小电路具有多项式安全性的功能加密。
全同态加密和属性基加密：作为iO的直接结果，证明了全同态加密和属性基加密的存在，为密码学提供了新的构造途径。

27. Unclonable Polymers and Their Cryptographic Applications,

Eran Tromer, Tal Malkin, Ran Canetti, Ghada Almashaqbeh, Yaniv Erlich, Jonathan Gershoni, Itsik Pe’er, Anna Roitburd-Berman,

问题与挑战

数据存储与安全性：传统的数据存储介质如DNA易于复制，不适合需要限制读取次数的加密应用。蛋白质作为一种难以复制的生物大分子，其自毁性数据检索特性在数据存储中既是挑战也是潜在的优势。
密码学应用：如何利用不可克隆的蛋白质来实现k次程序等密码学应用，这需要解决蛋白质序列的精确合成和读取难题。
技术实现：现有技术难以实现“一对一”记忆装置，需要探索新的技术手段来创建这种装置。

主要工作

蛋白质数据存储：研究了基于蛋白质的数据存储技术，探讨了其在密码学中的应用潜力。
密码学应用开发：开发了基于不可克隆蛋白质的密码学应用，包括安全存储和有限次数执行的程序。
技术框架构建：构建了一个技术框架，用于分析和实现基于蛋白质的密码学系统。

创新点

蛋白质作为存储介质：首次提出使用蛋白质作为数据存储介质，并探讨其在密码学中的应用。
条件可检索存储：提出了一种条件可检索的存储方案，通过特定的抗体来检索信息，增加了存储的安全性。
有限次数执行程序：设计了一种程序，允许在有限次数内执行特定功能，之后自动销毁，增加了程序的安全性。

主要贡献

密码学模型：提出了一种新的密码学模型，用于描述和分析基于蛋白质的存储技术。
安全应用实例：展示了如何利用该技术构建安全的密码学应用，如一次性程序和有限次数的程序执行。
安全性分析：基于明确的假设，对所提出的密码学应用进行了严格的安全性分析。

结果

技术可行性：证明了基于蛋白质的数据存储和密码学应用在理论上是可行的。
安全性能：展示了所提出的系统能够抵抗一定程度的敌手攻击，具有预定的安全性能。
应用潜力：指出了该技术在实际应用中的潜力，尤其是在需要限制程序执行次数的场景中。

28. Distributed (Correlation) Samplers: How to Remove a Trusted Dealer in One Round,

Peter Scholl, Sophia Yakoubov, Damiano Abram,

问题与挑战

随机性在密码学协议中的重要性：许多密码学协议依赖于随机性，但在交互成本高昂的场景下，高效生成所需的随机性是一个挑战。
减少通信轮数：理想情况下，通过单轮通信就能生成所需的结构化随机字符串（SRS）或相关随机性。

主要工作

分布式采样器（Distributed Samplers）：提出了一种分布式采样器，允许多方在单轮通信中从任何有效可采样的分布中采样出单个公共值（SRS）。
公钥伪随机相关函数（Public-key PCFs）：构建了一种公钥PCF，它可以在单轮通信中为每个参与方生成一个私有的随机值，这些值满足某种相关性。

创新点

抗冲刺者（Anti-Rusher）技术：引入了一种技术，能够将任何具有半恶意安全性的单轮协议，通过使用可编程随机预言机，转换为具有主动安全性的类似单轮协议。
避免使用随机预言机：探讨了避免使用随机预言机的方法，但需要依赖于次指数安全性的不可区分混淆。

主要贡献

半恶意安全性的分布式采样器：在普通模型中构建了一种半恶意分布式采样器，并使用它来构建半恶意公钥PCF。
主动安全性的分布式采样器和公钥PCF：通过抗冲刺者技术，在随机预言机模型中实现了具有主动安全性的分布式采样器和公钥PCF。

结果

安全性证明：通过一系列混合论证，证明了所提出的分布式采样器和公钥PCF方案的安全性。
效率与实用性的权衡：讨论了在不同假设下实现的PCF构造的效率和实用性，包括对反向可采样相关性的限制，以及如何在不使用随机预言机的情况下实现更通用的相关性。

密码学原语

29. Single-Server Private Information Retrieval with Sublinear Amortized Time,

Henry Corrigan-Gibbs, Dmitry Kogan, Alexandra Henzinger,

问题与挑战

单服务器私有信息检索（PIR）的计算成本：传统的PIR协议要求服务器响应查询时必须进行与数据库大小线性相关的计算，这限制了PIR在实际应用中的广泛使用。
多查询PIR的效率问题：现有技术在处理多查询PIR时面临效率低下的问题，尤其是在单服务器环境下，每条查询的服务器端成本仍然很高。

主要工作

构建新的单服务器PIR协议：提出了新的PIR协议，允许客户端从服务器私密地获取数据库记录序列，同时服务器平均响应时间与数据库大小成次线性关系。
引入次线性摊销服务器时间的PIR方案：首次提出单服务器PIR方案，其摊销服务器时间、额外存储空间和客户端查询都是次线性的。

创新点

客户端自适应查询支持：新协议允许客户端自适应地进行查询，而不是在单一批次中完成所有查询，这在现有PIR方案中是不常见的。
利用线性同态加密和完全同态加密：通过使用这些加密技术，研究者能够在不牺牲安全性的前提下，减少服务器端的计算和存储需求。

主要贡献

理论上的可行性证明：证明了在理论上，单服务器PIR可以具有次线性摊销时间，为未来更高效的PIR协议的开发提供了理论基础。
最优的存储/在线时间权衡证明：展示了基于完全同态加密的PIR方案，实现了客户端存储和服务器在线时间之间的最优权衡。

结果

高效的PIR协议实例：研究者构建了具体的PIR协议实例，这些实例在保持隐私的同时，显著降低了服务器的计算和通信成本。
安全性和效率的平衡：新协议在安全性和效率之间取得了平衡，尽管客户端的计算和存储成本有所增加，但服务器端的成本得到了显著降低。
为未来研究铺平道路：这些成果不仅在理论上具有重要意义，也为将PIR技术更接近实际应用提供了推动力，尽管当前的方案可能还未完全准备好投入实践。

30. Optimal Tightness for Chain-Based Unique Signatures,

Willy Susilo, Fuchun Guo,
bibinfo

问题与挑战

链式基础唯一签名的安全性降低问题：大多数唯一签名方案在存在非交互性难度假设下的安全性降低中存在自然降低损失（在针对选定消息攻击的不可篡改性，即EUF-CMA安全模型下）。
优化链式唯一签名方案的降低损失：在Crypto 2017中提出的链式唯一签名方案，尽管在特定条件下达到了对数级紧密性，但目前尚不清楚是否存在更好的降低损失。

主要工作

分析链式基础唯一签名方案的最优紧密性：研究了Guo等人提出的链式唯一签名方案的最优降低损失。
提出新的安全性降低方法：使用元降低方法证明了在EUF-CMA安全模型下，对于任何非交互性计算难度假设，降低损失q1/n是必要的。

创新点

元降低方法的应用：在EUF-CMA安全模型下，使用元降低来证明降低损失的下限，这同样适用于随机预言模型。
非均匀编程的核心降低思想：为链式基础唯一签名构造特别发明的非均匀编程，完美适合链式构造。

主要贡献

证明了链式BLS方案的最优紧密性：展示了任何针对链式BLS方案的安全性降低证明必须至少有q1/n的降低损失，这与签名查询的次数q有关。
改进了先前的降低损失：提出了一种新的安全性降低，将先前的降低损失从n·q1/n H显著降低到4·q1/n。

结果

理论上的最优性证明：证明了在EUF-CMA安全模型下，对于链式基础唯一签名方案，降低损失q1/n是最优的。
实际应用的改进：新的安全性降低方法不仅在理论上具有重要意义，还适用于Shacham的紧密安全和短RSA唯一签名方案，提高了计算效率。
对现有方法的补充：这项工作补充了现有关于唯一签名方案的安全性研究，并为未来在这一领域的研究提供了新的视角和工具

31. On the Multi-User Security of Short Schnorr Signatures with Preprocessing,

Jeremiah Blocki, Seunghoon Lee,

问题与挑战

Schnorr签名方案的安全性: Schnorr签名方案因其简洁、高效和短小的签名长度而被广泛使用。然而，证明其安全性，尤其是在多用户环境下的安全性，一直是一个挑战。
短Schnorr签名的安全性: Schnorr提出可能通过截断哈希值来实现更短的签名，但这种做法的安全性尚未得到充分证明。

主要工作

短Schnorr签名的多用户安全性证明：证明了在通用群模型和可编程随机预言模型下，短Schnorr签名（3k位长度）能够提供k位的安全性。
针对预处理攻击的安全性分析：研究了带有密钥前缀的短Schnorr签名在预处理攻击下的安全性，并提出了能够抵抗这种攻击的安全签名方案。

创新点

多用户安全性的证明：首次在多用户环境下对短Schnorr签名的安全性进行了严格的数学证明。
预处理攻击下的安全性分析：提出了一种新的分析方法，考虑了预处理攻击者在签名方案中的潜在威胁，并给出了相应的安全模型和证明。

主要贡献

短Schnorr签名的安全性证明：证明了在单用户和多用户环境下，短Schnorr签名方案都能提供与原始Schnorr签名相当的安全性。
多用户环境下的安全性界限：提出了一种方法来量化在多用户环境下破解短Schnorr签名的难度，并给出了安全性界限。
对其他Fiat-Shamir签名方案的安全性分析：将技术扩展到其他基于Fiat-Shamir变换的签名方案，如Chaum-Pedersen签名和Katz-Wang签名。

结果

短Schnorr签名的3k位安全性：证明了短Schnorr签名在3k位长度下能够提供k位的安全性，无论在单用户还是多用户环境下。
密钥前缀短Schnorr签名的安全性：展示了即使在预处理攻击下，通过适当的参数设置，密钥前缀短Schnorr签名也能保持k位的安全性。
对签名长度和安全性的量化：提出了一种量化方法来确定在给定安全性要求下，签名的最小长度，并对不同情况下的签名长度进行了具体计算。

32. Multi-Designated Receiver Signed Public Key Encryption,

Christopher Portmann, Ueli Maurer, Guilherme Rito,

问题与挑战

多接收者加密：在传统的公钥加密系统中，通常只考虑单个接收者。但现实应用中，经常需要向多个指定接收者发送消息，同时确保消息的机密性和真实性。
增强安全性需求：除了基本的加密需求，还需要防止不诚实的发送者或接收者破坏通信的完整性和匿名性。
去中心化信任：传统的加密系统可能依赖于可信第三方来分发密钥和管理身份隐私，但去中心化系统需要去除对可信第三方的依赖。

主要工作

多指定接收者签名公钥加密（MDRS-PKE）：提出了一种新型的公钥加密方案，允许发送者选择一组指定的接收者，并加密和签名消息，确保只有这些接收者能够读取和验证消息。
广播加密（PKEBC）：作为MDRS-PKE的一个子类型，提供了对不诚实发送者的一致性保证。

创新点

签名与加密结合：MDRS-PKE结合了签名和加密的功能，提供了消息的完整性、机密性和真实性。
匿名性和不可伪造性：方案提供了匿名性，即使在不诚实接收者的情况下，也能防止伪造和身份泄露。
标准假设下的构造：基于标准假设而非特定复杂构造，提高了方案的实用性和安全性。

主要贡献

MDRS-PKE方案的构造：提出了一种在标准假设下安全的MDRS-PKE方案，增强了通信的安全性和隐私保护。
PKEBC方案的构造：提出了一种新型的PKEBC方案，它在不牺牲匿名性的情况下，提供了对不诚实发送者的一致性保护。

结果

安全性证明：通过将MDRS-PKE方案分解为PKEBC和多指定验证者签名（MDVS）的组合，证明了其在标准假设下的安全性。
应用场景扩展：MDRS-PKE方案可以应用于安全消息传递，尤其是安全群组消息传递，提供了强于传统加密方案的安全性和隐私保护。

33. Property-Preserving Hash Functions for Hamming Distance from Standard Assumptions,

Nils Fleischhacker, Mark Simkin, Kasper Green Larsen,

问题与挑战

对抗性环境中的哈希函数安全性：在对抗性环境中，需要保证哈希函数在面对恶意选择的输入时，仍能正确地输出结果。
哈希函数的压缩效率：在保持哈希函数安全性的同时，如何有效压缩长输入到短哈希值，以提高效率。
基于标准假设的安全性：构建哈希函数时，需要确保其安全性基于被广泛研究和接受的难度假设。

主要工作

构建鲁棒的属性保持哈希函数：针对精确汉明距离谓词，提出了一种新的哈希函数构造方法。
基于标准格基假设：与之前工作相比，新构造的安全性基于格密码学中一个单一且被深入研究的难度假设。
提高计算效率：新构造在计算上更为高效，仅需要少量的模加操作，而之前的方法需要多次指数运算和高次多项式的插值与求值。

创新点

新哈希函数构造：提出了一种新的哈希函数构造方法，该方法在保持安全性的同时，显著减少了计算量。
压缩哈希函数描述：新构造允许哈希函数的描述被压缩，这在之前的工作中是不可行的。
接近最优的输出大小：证明了任何属性保持哈希函数在汉明距离谓词上的输出大小的下界，显示了新构造的输出大小接近最优。

主要贡献

基于标准假设的安全性：证明了新构造的哈希函数的安全性基于格基密码学中的一个标准难度假设。
计算效率的显著提升：新构造在计算上更为高效，减少了指数运算和高次多项式的计算需求。
输出大小的优化：展示了新构造的输出大小与已知下界接近，表明了其在压缩效率上的优势。

结果

鲁棒性证明：证明了新构造的哈希函数在对抗性环境中的鲁棒性，即面对恶意输入时仍能保持正确性。
压缩效率的实证：通过实例化新构造，展示了其在压缩效率上的优势，包括较小的哈希值大小和可压缩的哈希函数描述。
接近最优的输出大小证明：通过证明输出大小的下界，展示了新构造在输出大小上的最优性。

34. A Fast and Simple Partially Oblivious PRF, with Applications,

Thomas Ristenpart, Stefano Tessaro, Nicholas T. Sullivan, Nirvan Tyagi, Sofía Celi, Christopher A. Wood,

问题与挑战

开发不依赖于双线性配对的部分遗忘伪随机函数（POPRF）：创建一个不依赖于双线性配对的POPRF，以提高性能并简化部署。
新假设的安全性证明：建立对新提出的假设——一对多强迪菲-赫尔曼（one-more strong Diffie-Hellman, OM-Gap-SDHI）逆问题的安全性信心，需要新的证明技术。
提高效率与灵活性：开发与现有标准OPRF 2HashDH协议速度相当的POPRF，同时提供更大的灵活性，以适应多种应用场景。

主要工作

3HashSDHI POPRF的构建：提出了一个新的POPRF，称为3HashSDHI，它结合了2HashDH OPRF和Dodis-Yampolskiy PRF的元素。
安全性分析：通过新的交互式离散对数（DL）假设，分析了3HashSDHI的安全性，并将这一新假设的安全性归结为q-DL假设。

创新点

不依赖双线性配对：3HashSDHI不依赖于双线性配对，这简化了性能并减少了部署的复杂性。
新的安全性证明方法：开发了新的证明技术，以证明新假设的难度，并将其归结为q-DL假设。
形式化安全性定义：为POPRFs提供了新的形式化安全性定义，包括伪随机性、请求隐私和可验证性。

主要贡献

3HashSDHI POPRF方案：提出了一种新的POPRF方案，该方案在性能上与2HashDH相当，但提供了更多的灵活性。
安全性证明：提供了3HashSDHI的安全性证明，包括在随机预言模型下的归约证明。
新假设的提出与分析：提出了OM-Gap-SDHI假设，并通过代数群模型（AGM）分析了其安全性。

结果

与现有标准兼容的性能：3HashSDHI在不牺牲性能的情况下提供与现有OPRF相当的计算速度。
安全性归约：证明了3HashSDHI的安全性归约到q-DL假设，为实际部署提供了安全性保证。
应用场景的扩展：展示了POPRFs在多种应用中的潜力，包括Privacy Pass、OPAQUE密码认证密钥交换协议和密码泄露警报服务。

零知识证明

35. Families of SNARK-friendly 2-chains of elliptic curves,

Aurore Guillevic, Youssef El Housni,

问题与挑战

零知识SNARKs的效率和安全性：现有的零知识SNARKs需要配对友好的椭圆曲线和可信的设置假设，但这些设置对于不同的NP语句是特定的，限制了其在多种应用中的适用性。
递归零知识证明：实现递归零知识证明在技术上具有挑战性，尤其是在保持证明大小和验证成本的亚线性关系的同时。
配对友好曲线的优化：为Groth’16和KZG基于SNARKs的不同需求优化曲线，需要分别关注G1和G2操作以及配对计算，或者只关注G1和配对。

主要工作

2-chain曲线族的构建：提出了基于BLS12和BLS24内曲线的SNARK友好的2-chain曲线族。
配对公式和群操作的推广：将曲线构造、配对公式和群操作推广到任何BW6曲线上。
安全性和性能比较：比较了BW6与Cocks-Pinch曲线在128位安全级别下的性能。

创新点

BW6曲线的新家族：提出了一个基于任何BLS12曲线的BW6曲线的新家族，并为这些曲线导出了通用的配对公式和群操作。
优化的配对计算：通过新的端点映射优化了BW6曲线上的多配对计算。
SNARK友好链的定义：定义了SNARK友好链，并提出了相应的椭圆曲线属性。

主要贡献

曲线参数和性能的优化：为Groth’16和KZG基于SNARKs推荐了优化的曲线参数，并提供了性能基准。
软件库和工具：提供了SageMath库来推导这些曲线并验证公式，以及Golang中短列表曲线的优化实现。
安全性分析：对所提出的2-chain曲线族进行了安全性分析，并与现有的Cocks-Pinch曲线进行了比较。

结果

性能提升：证明了BLS12-377/BW6-761对在Groth’16设置中是优化的，而BLS24-315/BW6-672（或更保守的BW6-633）在KZG基础的SNARK设置中是优化的。
实用性验证：通过在Golang中实现和基准测试，验证了所选曲线在实际Groth’16和PlonK设置中的效率。
未来工作：提出了在SNARK电路中优化配对算法的未来研究方向，以及将当前工作与其他允许证明组合的技术（如Plookup）结合的可能性。

36. Gemini: elastic SNARKs for diverse environments,

Alessandro Chiesa, Jonathan Bootle, Michele Orrù, Yuncong Hu,

问题与挑战

计算效率与资源分配：在多种执行环境中，如何有效地分配计算资源（如内存和时间）以适应不同的需求，同时保持证明系统的有效性。
SNARKs的局限性：现有的SNARKs实现往往在证明者算法的运行时间上存在瓶颈，尤其是在处理大量约束的大规模实例时。

主要工作

弹性SNARKs（Elastic SNARKs）：提出了一种新的简洁性证明系统，允许证明者根据执行环境和待证明语句的不同，分配不同的资源。
多模式证明：实现了时间效率和空间效率两种模式的证明者，它们可以相互转换，并产生相同最终证明，而不受证明者配置的影响。

创新点

资源分配的灵活性：证明者可以根据可用资源和性能需求，在时间效率和空间效率之间做出选择。
流式模型的扩展：扩展了流式范式，为弹性多项式交互式预言机证明（PIOP）提供了定义框架。

主要贡献

Gemini构造：提出了一种新的FFT-free预处理证明系统，证明了其安全性，并通过Rust语言的arkworks框架实现了概念验证。
性能与效率的平衡：在不同的计算环境中，根据资源的可用性，实现了证明者算法的时间和空间复杂度的平衡。

结果

大规模实例的证明：在单个机器上，成功为数十亿门的R1CS实例提供了基准测试。
经济效率：与DIZK相比，在Amazon EC2上运行Gemini的预处理协议可以节省约82%的费用。
简洁的证明和快速的验证：对于2^35大小的实例，证明大小约为27KB，验证时间低于30毫秒。

37. SNARGs for P from Sub-exponential DDH and QR,

Dakshita Khurana, Akshayaram Srinivasan, James Hulett, Ruta Jawale,

问题与挑战

构建公开可验证的简洁非交互式论证（SNARGs）：需要从标准群假设出发，不依赖配对，为任意确定性计算和有界空间非确定性计算构造SNARGs。
提高验证效率：在SNARGs中，需要保证验证者运行时间远小于实际计算所需时间。
满足密码学安全性：在不牺牲安全性的前提下，实现对计算正确性的简洁验证。

主要工作

开发新的折叠技术：用于交互式简洁论证，通过递归方式将时间复杂度为T的计算分解为更小的子计算，并为每个子计算提供批量证明。
利用Fiat-Shamir范式：将互动论证转换为非互动论证，不依赖于随机预言机模型（ROM）。
实现SNARGs的构建：为特定计算类别构造SNARGs，包括非确定性时间T和空间S内可决定的语言。

创新点

基于DDH和QR假设的SNARGs：在不牺牲安全性的前提下，利用决策性Diffie-Hellman（DDH）和二次剩余（QR）假设构建SNARGs。
提高通信和验证效率：提出的SNARGs在通信复杂性和验证者运行时间上具有更优的性能。
扩展到非确定性计算：将SNARGs的应用范围从确定性计算扩展到非确定性计算。

主要贡献

构造了基于标准假设的SNARGs：证明了从DDH和QR假设可以构造出满足特定条件的SNARGs。
实现了对有界空间非确定性计算的SNARGs：为非确定性计算提供了一种新的简洁验证方法。
提供了通用的FS兼容性概念：抽象出了一种适用于多种论证系统的Fiat-Shamir兼容性概念。

结果

实现了对任意确定性计算的SNARGs：证明了对于任何可以在确定性时间T内决定的语言，存在具有通信复杂度和验证者运行时间为n·To(1)的SNARGs。
实现了对有界空间非确定性计算的SNARGs：对于任何在非确定性时间T和空间S内可决定的语言，存在具有相应通信复杂度和验证者运行时间的SNARGs。
提供了对SNARGs安全性的证明：证明了所构造的SNARGs在给定的密码学假设下是安全的。

38. Zero-Knowledge IOPs with Linear-Time Prover and Polylogarithmic-Time Verifier,

Alessandro Chiesa, Jonathan Bootle, Siqi Liu,

问题与挑战

零知识证明的效率问题：在零知识证明中，证明者、验证者的时间复杂度和它们之间交换的信息量是主要的效率指标。研究者们致力于设计更高效的零知识协议。
线性时间证明者与多项式时间验证者：现有研究集中于证明者的时间复杂度，但验证者的时间复杂度和通信复杂度也随之线性增长，这在许多应用中是不理想的。

主要工作

零知识IOP的构建：提出了一种新型的交互式预言证明（IOP），它同时具备零知识性、线性时间证明和多项式对数时间验证的特性。
零知识论证系统的改进：通过已知转换，获得了一种零知识论证系统，其中证明者运行时间为线性，验证者运行时间为多项式对数时间。

创新点

多项式对数时间验证：在全息设置中，对于任何电路，验证者都可以实现多项式对数时间的验证。
黑盒密码学应用：构造的零知识论证系统仅使用轻量级密码学原语（如抗碰撞哈希函数），并且可能是后量子安全的。

主要贡献

零知识IOP：提出了一种零知识IOP，它对于任何N门电路的可满足性，证明者使用O(N)场操作，验证者使用多项式对数(N)场操作。
零知识论证系统：基于上述IOP，构建了一种零知识论证系统，该系统在黑盒使用密码学的情况下，具有线性时间证明和多项式对数时间验证。

结果

零知识论证系统：证明了一种零知识论证系统，其中证明者的时间复杂度为线性，验证者的时间复杂度为多项式对数，并且通信复杂度也为多项式对数。
后量子安全性：论证系统使用了可能抵抗量子攻击的密码学原语，因此具有后量子安全性。

39. Non-Interactive Zero-Knowledge Proofs with Fine-Grained Security,

Jiaxin Pan, Yuyu Wang,

问题与挑战

非交互式零知识证明（NIZK）：在有限资源的敌手和诚实用户之间实现有效的NIZK系统，需要解决现有系统对敌手资源限制不足的问题。
细粒度安全性：在NC1细粒度设置下，实现NIZK系统，要求敌手资源受限，而诚实用户拥有的资源不超过敌手。

主要工作

NC1细粒度NIZK系统：构建了首个在NC1细粒度设置下的非交互式零知识证明系统。
电路可满足性（SAT）：针对电路可满足性问题，提出了NIZK系统，基于最坏情况假设。

创新点

无需随机预言机：与Fiat-Shamir转换不同，提出的两种构建方法都从简单的Σ-协议开始，无需随机预言机即可转换为NIZK。
全同态加密（FHE）：首次在细粒度设置中提出了全同态加密方案，作为构建NIZK系统的一个构建块。

主要贡献

两种构建方法：提出了两种在NC1细粒度设置下构建NIZK的方法，一种使用DVV加密方案，另一种使用新提出的FHE方案。
证明系统：得到了两种NIZK系统，一种支持常数乘法深度的电路，另一种证明大小与语句电路大小无关。
非交互式ZAP：扩展了方法，得到了两种非交互式ZAP（非交互式见证不可区分性证明系统）。

结果

系统性能：证明了所提出的NIZK系统在Groth16和KZG基于SNARK的设置中的优化性能。
安全性证明：基于NC1 ⊊ ⊕L/poly的假设，证明了系统的安全性。
实用性：提供了SageMath库来推导曲线和验证公式，以及Golang中短列表曲线的优化实现和基准测试。

40. On Succinct Non-Interactive Arguments in Relativized Worlds,

Alessandro Chiesa, Nicholas Spooner, Megan Chen,

问题与挑战

透明性与效率的平衡：现有的SNARKs（简洁非交互式论证）在拥有透明性（public-coin setup）的同时，往往需要在效率上做出妥协。特别是，具有透明设置的SNARKs通常依赖于随机预言机模型（ROM），而在实际应用中需要启发式地实例化预言机，这带来了理论和实践上的挑战。
递归组合的复杂性：SNARKs的一个重要应用是递归证明组合，这涉及到使用SNARK来证明其自身的验证者。然而，现有的方法在递归时面临效率和安全性的双重限制。

主要工作

低度随机预言机模型（LDROM）：文章提出了一个新的预言机模型，即低度随机预言机模型，在这个模型中可以构建具有透明设置的SNARKs，用于证明所有NP计算。
线性码随机预言机模型（LCROM）：为了分析LDROM，作者引入了更一般的线性码随机预言机模型，研究了其结构和密码学属性。

创新点

透明SNARKs的构造：文章展示了在LDROM中，假设存在（标准模型中的）抗碰撞哈希函数，可以构造出针对所有NPO语言的透明SNARKs。
低度随机预言机的特殊应用：利用低度随机预言机的特性，文章提出了一种新型的SNARK构造方法，这种方法允许直接证明关于其自身验证者的计算。

主要贡献

透明SNARKs的可行性证明：文章证明了在低度随机预言机模型中，存在一种透明的SNARK构造方法，这在密码学领域是一个重要的突破。
积累方案（Accumulation Scheme）：提出了一种新的积累方案，用于有效地存储和验证对预言机的查询，这是实现SNARKs的关键技术之一。

结果

SNARKs的通用构造：文章提供了一种在任何预言机模型下，从非预言机计算的SNARK和预言机查询的积累方案构造SNARK的通用方法。
安全性证明：通过发展新的工具和技术，文章为提出的积累方案和SNARK构造提供了严格的安全性证明。
灵活性与效率：新提出的模型和构造方法在保持灵活性的同时，提供了更高的效率，尤其是在处理递归证明组合时。

41. Fiat-Shamir Bulletproofs are Non-Malleable (in the Algebraic Group Model),

Claudio Orlandi, Daniel Tschudi, Chaya Ganesh, Akira Takahashi, Mahak Pancholi,

问题与挑战

Fiat-Shamir Transform 安全性: 尽管Fiat-Shamir变换在实际中被广泛用于构造非交互式零知识证明，但关于其安全性的正式证明一直缺乏，特别是在多轮证明系统中。
Bulletproofs 的抗变形性（Non-Malleability）: Bulletproofs作为一种高效的零知识证明系统，已经被部署在多个实际系统中。然而，对于使用Fiat-Shamir变换实现的Bulletproofs的抗变形性，之前没有确凿的证据表明它们能够抵御变形攻击。

主要工作

Bulletproofs 的抗变形性证明: 本文首次展示了Bulletproofs（以及任何其他类似的多轮证明系统，满足某种形式的弱唯一响应属性）在代数群模型中实现了simulation-extractability，从而证明了Fiat-Shamir Bulletproofs的抗变形性。

创新点

代数群模型（Algebraic Group Model, AGM）: 作者在代数群模型中对Bulletproofs进行了安全性分析，这是一个只考虑受限类别对手的模型，这些对手输出的群元素与其之前所见的所有群元素的表示有关。
弱唯一响应属性（Weak Unique Response Property）: 提出了一种新的弱唯一响应属性定义，用于证明非交互式证明系统的抗变形性。

主要贡献

形式化定义与证明: 对于simulation-extractability在AGM中的正式定义，以及证明Bulletproofs满足这一属性。
通用定理: 提供了一个通用定理，表明如果一个多轮公共硬币交互协议满足特定的条件，那么通过Fiat-Shamir变换得到的非交互式版本在AGM和随机预言机模型中是online simulation-extractable。

结果

Bulletproofs 的非交互式版本安全性: 证明了使用Fiat-Shamir变换的Bulletproofs在AGM中是非变形的，这对于已经在使用的基于Bulletproofs的系统具有重要意义。
具体安全界限: 为Fiat-Shamir Bulletproofs提供了具体的安全界限，这有助于理解和量化潜在的安全风险

42. Stacking Sigmas: A Framework to Compose Sigma-Protocols for Disjunctions,

Matthew Green, Aarushi Goel, Mathias Hall-Andersen, Gabriel Kaptchuk,

问题与挑战

Zero-Knowledge Proofs for Disjunctive Statements: 研究者们长期致力于零知识证明（Zero-Knowledge Proofs, ZKP）在析取性陈述（disjunctive statements）上的应用。传统的方法在通信复杂度上存在问题，因为它们通常与证明析取中的所有子句的复杂度成比例。
Communication Complexity: 现有技术在证明多个子句时，通信量会显著增加，这在实际应用中是一个重要的瓶颈。
Generalization of Techniques: 尽管存在一些针对特定情况优化的技术，但这些技术往往无法泛化到更广泛的协议族中。

主要工作

Design of a General Framework: 本文提出了一个通用框架，用于编译大量未经修改的Σ-协议（Σ-protocols），以证明这些陈述的析取。
Handling of Different Σ-Protocols: 框架不仅适用于使用相同Σ-协议证明每个子句的情况，也适用于对不同子句使用不同的Σ-协议。
Efficiency and Communication Complexity: 所提出的Σ-协议在通信复杂度上非常高效，与最大子句所需的通信量成比例，并且只增加对数级的附加项。

创新点

Stacking Techniques: 引入了一种新技术，称为堆叠技术（stacking techniques），允许在不修改底层Σ-协议的情况下，减少证明的通信复杂度。
Non-Interactive Vector Commitments: 提出了一种新型的承诺方案，称为部分绑定的非交互向量承诺（partially-binding noninteractive vector commitment schemes），允许承诺者对值的子集进行隐瞒和修改。
Application to Multiple Well-Known Σ-Protocols: 展示了编译器可以应用于许多已知的Σ-协议，包括经典协议和现代MPC-in-the-head协议。

主要贡献

Generic Treatment for Minimizing Communication: 提供了一种通用方法来最小化Σ-协议在析取陈述中的通信复杂度。
Identification of Special Properties: 确定了Σ-协议的“特殊属性”，使得它们适合进行堆叠。
Compiler for Stackable Σ-Protocols: 提出了一个编译器，可以将任何可堆叠的Σ-协议编译成新的、通信高效的Σ-协议。

结果

Concrete Efficiency: 证明了所开发的编译器在实际应用中非常高效，克服了通常在协议编译器中牺牲效率以换取泛用性的限制。
Non-Interactive Zero-Knowledge Protocol: 通过使用Fiat-Shamir变换，结果产生了首个通用的非交互式零知识协议，其通信量仅依赖于最大子句的大小。
Application to Practical Systems: 展示了编译器在实际系统中的应用，例如在随机预言机模型中实现非交互式零知识证明。

43. One-Shot Fiat-Shamir-based NIZK Arguments of Composite Residuosity and Logarithmic-Size Ring Signatures in the Standard Model,

Benoît Libert, Moti Yung, Thomas Peters, Khoa Nguyen,

问题与挑战

标准模型下的 Fiat-Shamir 转换安全性：Fiat-Shamir 转换是一种将交互式协议转换为非交互式证明系统的方法，但其在标准模型下的安全性一直是密码学研究中的一个挑战。
特定语言的紧凑证明/论证：基于 LWE 假设的现有协议通过并行重复基本协议来实现声音性，但需要找到一个能够为特定语言（如子群成员资格）提供紧凑证明/论证的方法。

主要工作

一次性陷阱门 Σ-协议：提出了一种新型的陷阱门 Σ-协议，它在一次性执行中通过指数级大的挑战空间提供声音性，类似于 Schnorr 原始 Fiat-Shamir 协议在随机预言机模型中的改进。
相关不可行（CI）哈希函数的应用：使用 CI 哈希函数范式，获得了模拟声音的 NIZK 论证，证明了 Z∗ N2 中的元素是复合残余。

创新点

指数大挑战空间的陷阱门 Σ-协议：首次提出在一次性协议执行中实现指数级大挑战空间的陷阱门 Σ-协议，避免了多次重复以实现可忽略的声音性误差。
基于 LWE 假设的多定理统计 NIZK：构建了基于 LWE 假设的多定理统计 NIZK 论证，并且能够基于 LWE 和 DCR 假设升级为不受限制的模拟声音 NIZK 论证。

主要贡献

紧凑的 NIZK 论证：提供了空间效率高的 NIZK 论证，证明了 Paillier 加密或 Damg˚ard-Jurik 加密的文本解密为 0，这些论证可以扩展以处理 Paillier 加密之间的乘法关系。
基于 DCR 和 LWE 假设的环签名：构建了具有对数大小的环签名，假设存在共同参考字符串，具有标准模型下基于标准假设的最短签名长度。

结果

模拟声音的 NIZK 论证：实现了在标准模型下与随机预言机模型中的论证几乎一样短的 NIZK 论证。
环签名的安全性证明：证明了环签名方案在 DCR 和 LWE 假设下是不可伪造的，并且对于不受限制的对手保持匿名性。
无需擦除的环签名方案：提出了一种无需依赖于擦除的环签名方案，通过使用基于 DCR 的 R-Lossy PKE 方案来实现。

对称密码密钥分析

44. Key Guessing Strategies for Linear Key-Schedule Algorithms in Rectangle Attacks,

Xiaoyun Wang, Xiaoyang Dong, Siwei Sun, Lingyue Qin,

问题与挑战

无效四元组问题：在生成四元组（quartets）的过程中，许多四元组满足特定的差异关系，但并不会导致任何密钥候选项的产生。
早期终止技术（early abort technique）的局限性：在猜测大量密钥单元时，可能会失去早期终止技术的优势，导致整体复杂度增加。

主要工作

文章提出了一种新的矩形攻击框架，旨在通过以下方式降低整体复杂度或攻击更多轮数：

密钥猜测策略：在生成四元组之前，对特定的密钥单元进行猜测，以减少无效四元组的数量。
自动化工具开发：构建了一个自动化工具，以SKINNY密码为例，用于确定攻击参数，包括最优的矩形鉴别器、密钥猜测单元的数量和位置等。

创新点

新的矩形攻击框架：提出了一种考虑多种因素的通用框架，以实现更有效的密钥恢复攻击。
自动化搜索模型：开发了一种自动化模型，用于搜索SKINNY密码的矩形鉴别器，该模型综合了密钥恢复阶段和鉴别器搜索阶段。

主要贡献

SKINNY密码的32轮密钥恢复攻击：在相关密钥设置下，通过新框架对SKINNY-128-384实现了32轮的密钥恢复攻击，比之前的最佳攻击多出2轮。
对其他密码算法的改进攻击：使用新的矩形攻击框架对ForkSkinny、Deoxys-BC-384和GIFT-64进行了改进的攻击，取得了更好的复杂度。
单密钥设置下的攻击：讨论了将矩形攻击框架从相关密钥设置转换为单密钥设置，并给出了Serpent密码的10轮单密钥矩形攻击。

结果

SKINNY密码的攻击效果：成功实现了对SKINNY-128-384的32轮密钥恢复攻击，并在其他SKINNY版本的攻击中多出1轮。
其他密码算法的攻击效果：在ForkSkinny、Deoxys-BC-384和GIFT-64上的应用证明了新框架的有效性，攻击复杂度得到了显著降低。
自动化工具的有效性：开发的自动化工具能够高效地识别最优参数，为密码分析提供了有力的支持。

45. A Correlation Attack on Full SNOW-V and SNOW-Vi,

Lin Ding, Chenhui Jin, Tingting Cui, Zhen Shi, Jiyan Zhang, Yu Jin,

问题与挑战

安全性问题：SNOW-V和SNOW-Vi作为5G移动通信系统的加密算法，需要满足256位的安全等级。然而，现有的安全评估尚未发现能够比穷举密钥搜索更快的攻击方法。
技术挑战：寻找SNOW-V和SNOW-Vi的线性近似表达式是一个挑战，因为它们涉及到对非线性函数的分析，需要高效的搜索技术和方法。

主要工作

线性近似搜索：基于复合函数技术的线性近似搜索方法，用于寻找SNOW-V和SNOW-Vi的高相关性线性轨迹。
自动化搜索模型：利用SAT/SMT技术构建自动化搜索模型，以搜索具有高线性相关的一系列轨迹。

创新点

复合函数技术：首次将复合函数技术应用于SNOW-V和SNOW-Vi的线性近似分析，简化了相关性计算过程。
自动化搜索框架：开发了一个自动化搜索框架，显著提高了搜索效率，能够评估特定类型的二元线性近似的准确相关性。

主要贡献

新攻击方法：提出了一种新的相关性攻击方法，针对SNOW-V和SNOW-Vi，其时间复杂度低于穷举密钥搜索。
安全性评估：对SNOW-V和SNOW-Vi进行了深入的安全性评估，指出了它们在特定条件下无法保证256位安全等级的问题。

结果

攻击效果：成功实现了对SNOW-V和SNOW-Vi的相关性攻击，具有较低的时间复杂度2246.532246.53，内存复杂度2238.772238.77，并且只需要237.5237.5个密钥流字。
安全性启示：研究结果表明，如果忽略设计约束，SNOW-V和SNOW-Vi在单次密钥和IV对下，密钥流长度最大为264264的限制，那么它们可以被以低于密钥穷举的复杂度攻击。

46. Refined Cryptanalysis of the GPRS Ciphers GEA-1 and GEA-2,

Itai Dinur, Dor Amzaleg,

问题与挑战

GPRS Ciphers GEA-1 和 GEA-2 的安全性分析：GPRS（通用分组无线服务）加密算法 GEA-1 和 GEA-2 在移动数据保护中发挥着重要作用。尽管 GEA-1 使用了 64 位会话密钥，但先前的研究表明，只需知道 65 位密钥流，就可以在时间复杂度为 240 的情况下恢复密钥。
初始化过程中的弱点：GEA-1 的初始化过程中存在一个弱点，这个弱点可能被设计者有意隐藏，以降低其安全性。

主要工作

GEA-1 和 GEA-2 的改进分析：本文对 GEA-1 和 GEA-2 进行了进一步的分析和改进，提出了新的攻击方法，降低了恢复会话密钥的时间和内存复杂度。

创新点

内存复杂度的优化：对于 GEA-1，提出了一种新的攻击方法，将内存复杂度从 44 GiB 降低到约 4 MiB，而时间复杂度保持在 240。
针对 GEA-2 的新攻击方法：描述了两种针对 GEA-2 的新攻击方法，一种针对连续密钥流的情况，另一种针对密钥流碎片化的情况。

主要贡献

GEA-1 攻击的内存优化：提出了一种内存优化的攻击方法，显著降低了攻击的资源需求，使攻击更易于在现代笔记本电脑上实现。
GEA-2 攻击的改进：提出了两种新的攻击方法，一种在连续密钥流长度较短时提供了更好的时间复杂度，另一种在密钥流碎片化时显著降低了内存复杂度。

结果

GEA-1 攻击的实际执行：作者在现代笔记本电脑上实现了对 GEA-1 的攻击，平均在 2.5 小时内恢复会话密钥。
GEA-2 攻击的效率提升：对于 GEA-2，提出的攻击方法在特定条件下比之前的攻击方法有显著的效率提升，尤其是在密钥流碎片化的情况下。
技术贡献：本文的技术贡献在于对 GEA-1 和 GEA-2 的深入分析和新攻击方法的开发，这些方法结合了流密码分析技术和在其他上下文中使用的算法技术。

47. Revamped Differential-Linear Cryptanalysis on Reduced Round ChaCha,

Santanu Sarkar, Sumit Kumar Pandey, Hirendra Kumar Garai, Nitin Kumar Sharma,

问题与挑战

ChaCha 流密码安全性分析: ChaCha 是一种基于 ARX (Addition, Rotation, XOR) 设计的流密码算法，拥有 20 轮结构。研究者们一直在寻求提高其安全性的分析方法，尤其是在量子计算机时代背景下。
现有差分-线性攻击的局限性: 先前的研究在攻击 ChaCha 时面临一些挑战，包括在 3.5 轮时观察到的差分，以及实现正确配对所需的平均迭代次数较高。

主要工作

改进差分-线性攻击: 论文提出了对现有差分-线性攻击的多项改进，包括使用列表技术来找到正确的配对，改进 PNB (Probabilistic Neutral Bits) 构造策略，修改复杂度计算方法，并提出使用两个输入-输出对的替代攻击方法。

创新点

列表技术: 提出了一种技术，通过列出来帮助找到正确的配对，降低了实现正确配对所需的迭代次数。
PNB 构造的三阶段策略: 提出了一种系统的方法来找到更好的 PNB 集合，相比传统方法，需要的计算量大大减少。
时间复杂度的重新计算: 提供了一种新的复杂度计算公式，使得对攻击复杂度的估计更为准确。

主要贡献

ChaCha128 和 ChaCha256 的攻击改进: 对 6 轮和 6.5 轮 ChaCha128 以及 7 轮 ChaCha256 的攻击进行了改进，显著降低了时间复杂度。
首次攻击 6.5 轮 ChaCha128: 提供了首次针对 6.5 轮 ChaCha128 的攻击，具有重要的学术和实践意义。
结果
时间复杂度的显著降低: 对于 256 位版本的 ChaCha，时间复杂度从 Beierle 等人报告的 2230.86 降低到了 2221.95。对于 128 位版本的 ChaCha，6 轮的攻击复杂度提高了超过 11 百万倍，并且对 6.5 轮的攻击具有时间复杂度 2123.04。
理论和实践的验证: 通过实验验证了理论估计的正确性，包括在随机密钥上进行的统计实验，以及对复杂度计算公式的检验。

结论

论文提出的方法不仅提高了对 ChaCha 流密码的攻击效率，也为 ARX 设计的其他密码算法的安全性分析提供了新的思路和工具。

48. A Greater GIFT: Strengthening GIFT against Statistical Cryptanalysis,

Bart Preneel, Meiqin Wang, Wei Wang, Ling Sun,

问题与挑战

轻量级密码学需求：随着小型计算设备（如RFID标签、工业控制器、体内传感器）的扩展部署，对轻量级密码学的需求日益增长。
GIFT-64安全性分析：GIFT-64作为一种轻量级密码算法，需要面对差分攻击和线性攻击的安全性挑战，并与现有的轻量级算法如PRESENT、PHOTON和SPONGENT等竞争。

主要工作

差分和线性特性分析：对GIFT-64算法进行了详细的差分和线性攻击分析。
混合分析方法：结合了自动搜索方法和手动分析，以发现最佳的差分和线性特性。

创新点

理论解释与新属性：在差分设置中，理论上解释了每轮具有两个活动S-box的差分特性的存在，并推导出这些特性的一些新属性。
简化的自动搜索框架：通过简化的自动搜索框架，显著提高了搜索效率，并评估了特定类型的二元线性近似的准确相关性。

主要贡献

差分特性的显式公式：提出了差分概率的显式公式，用于计算最优差分特性的概率。
GIFT-64的最优差分特性：证明了所有覆盖超过七轮的最优差分特性必须每轮激活两个S-box，并且可以手工构造所有最优特性。
GIFT-64变体的识别：识别了24个GIFT-64变体，在保持相似的线性攻击安全级别的同时，提高了对差分攻击的抵抗力。

结果

变体的安全性评估：通过自动搜索方法，发现GIFT-64的变体在抵抗统计密码分析方面得到了加强，提出了可以将轮数从28减少到26的变体。
能效优化：基于对GIFT-64变体的分析，创造了一个比GIFT-64能效更高的密码算法，适用于低能耗场景。
相关密钥安全性考虑：尽管GIFT-64的设计者没有宣称相关密钥安全性，但研究了在相关密钥差分攻击设置下24个变体的性能，并发现它们在这方面的性能不如GIFT-64。

协议

49. Short Pairing-Free Blind Signatures with Exponential Security,

Stefano Tessaro, Chenzhi Zhu,

问题与挑战

配对自由盲签名方案的实用性：现有的盲签名方案往往依赖于配对（pairing）操作，这在某些应用场景中可能不太实用或效率低下。
安全性与效率的平衡：在设计盲签名方案时，需要在保证安全性的同时，确保方案的效率和实用性，包括签名的短小和签名过程的快速。

主要工作

提出新的盲签名方案：本文提出了首个实用的配对自由三轮盲签名方案，这些方案不仅能够并发安全，还能在不牺牲随机预言机（ROM）的情况下产生短签名。

创新点

引入新的安全模型：方案的安全性在通用群模型（GGM）或代数群模型（AGM）下得到了证明，这些模型提供了对密码方案更为严格的安全性保证。
提出加权分数ROS（WFROS）问题：为了证明安全性，作者提出了一个新的问题WFROS，并证明了其无条件指数下界。

主要贡献

实用性与安全性的结合：提出的盲签名方案在保持实用性的同时，提供了在GGM和AGM下的安全性证明。
短签名与三轮交互：方案产生的签名简短，并且只需要三轮交互，这在盲签名方案中是较为高效的。

结果

方案的安全性证明：证明了所提出的盲签名方案在GGM和AGM下，基于离散对数假设（DL）或更多离散对数假设（OMDL）的安全性。
对比现有方案：与Abe的签名方案相比，提出的方案在保持相同安全等级的同时，签名长度更短，效率更高。
部分盲签名方案：提出了一种部分盲签名方案，允许签名依赖于一些公开输入，适用于需要这种特性的应用场景。

技术贡献

WFROS问题的提出与证明：WFROS问题及其指数下界的证明为新的盲签名方案提供了坚实的安全性基础。
盲签名方案的实现：在GGM和AGM模型下，成功实现了既满足并发安全性又具有短签名的盲签名方案，这些方案不依赖于ROS或mROS问题的难度。

50. Batch-OT with Optimal Rate,

Zvika Brakerski, Nico Döttling, Pedro Branco, Sihang Pu,

问题与挑战

1-out-of-2 Oblivious Transfer (OT) 的通信复杂性: 传统的1-out-of-2 OT协议在消息数量上存在限制，尤其是在批量执行时，需要更多的消息来完成协议。
信息论下界与实际实现的差距: 尽管信息论提供了通信量的下界，但之前的方法并未能实现这一理论最优值，尤其是在使用Fiat-Shamir变换实现批量OT (Batch-OT) 时。

主要工作

实现最优率的Batch-OT: 作者展示了在两消息内完成n个独立1-out-of-2 OT副本的可能性，且通信复杂性达到n(1 + o(1))，匹配了信息论的下界。

创新点

利用LPN假设: 通过使用具有小逆多项式噪声率的LPN（Learning Parity with Noise）假设，结合DDH、QR或LWE假设，实现了接收方和发送方的通信复杂性均为n(1 + o(1))。
避免昂贵的自举操作: 与基于FHE的解决方案相比，本文的协议仅依赖于线性同态，避免了昂贵的自举操作。

主要贡献

通信复杂性的改进: 在保持计算效率的同时，显著降低了Batch-OT的通信复杂性。
Oblivious Linear Evaluation (OLE) 的结果: 展示了与Batch-OT相似的结果，用于在环上的线性函数评估。

结果

高效的Batch-OT协议: 提出的协议在效率上与现有的Batch-OT协议相比具有优势，同时在通信复杂性上达到了更优的结果。
DDH基础上的新技术: 开发了一种新技术，用于在大素数阶群中以函数私密的方式“模拟”二元群Z2的操作。

结论

论文展示了如何构建具有最优通信复杂性的Batch-OT协议，并且这些协议在计算效率上具有优势。作者还提出了一种新技术，用于在DDH基础上实现函数私密的同态评估，这可能对其他应用也有帮助。

51. A PCP Theorem for Interactive Proofs and Applications,

Alessandro Chiesa, Eylon Yogev, Gal Arnon,

问题与挑战

交互证明的复杂性: 交互证明（IP）和交互预言证明（IOP）是计算复杂性理论中的关键概念，但其在超越NP语言的领域中的应用尚未充分探索。
IOP的潜力: IOPs允许验证者与证明者进行多轮交互，同时只读取每条消息中的少量比特，但其真正的能力尚未完全理解。

主要工作

IOP的一般化定理: 提出了一个IOP的一般化定理，表明任何由k(n)轮IP决定的语言都有一个k(n)轮的公共硬币IOP，其中验证者只读取每个（多项式长）证明者消息中的O(1)比特。
新技术和应用: 展示了结果和底层技术的几个应用，包括随机可满足性问题的新的近似难度结果，IOP到IOP的转换，以及在随机预言模型中为非确定性计算获得承诺和证明SNARK的新概念。

创新点

IOP的扩展: 将PCP定理扩展到交互证明，允许在几乎不听取任何信息的情况下通过对话获得信念。
随机可满足性问题的难度: 证明了一个关于随机可满足性问题（SSAT）的新近似难度结果。
IOP的转换: 展示了IOP到IOP的转换，这些转换以前只在IP中已知。

主要贡献

IOP的一般化定理: 证明了任何语言，如果可以通过k(n)轮IP来决定，那么它也可以通过一个k(n)轮公共硬币IOP来决定，其中验证者从每个证明者消息和它自己的每个（随机）消息中读取O(1)比特。
新的近似难度结果: 对k-SSAT问题的近似难度进行了研究，并证明了其对于每个k都是AM[k]-完全的。
IOP的转换和SNARKs: 提出了一种新的PCP概念（索引可解码PCP），使得能够在随机预言模型中为非确定性计算获得承诺和证明SNARK。

结果

IOP的效率: 展示了IOP可以与IP一样有效地决定语言，同时减少验证者需要读取的信息量。
k-SSAT问题的近似难度: 证明了对于每个k，区分k-SSAT实例的值是1还是最多1 - 1/O(k)是AM[k]-完全的。
SNARKs的实现: 利用索引可解码PCPs实现了一种新的SNARK类型，即CaP-SNARK，它允许证明者对之前承诺的数据进行证明。

结论

本文通过提出IOP的一般化定理，扩展了PCP定理到交互证明，并探索了IOP在近似难度和SNARKs中的应用。这些结果不仅加深了对IOP能力的理解，也为未来的密码学和计算复杂性研究提供了新的工具和方向

52. Embedding the UC Model into the IITM Model,

Céline Chevalier, Daniel Rausch, Ralf Kuesters,

问题与挑战

通用可组合性（Universal Composability, UC）模型的多样性: 自Canetti提出原始的UC模型以来，出现了多种不同的UC模型，包括IITM模型、GNUC、CC等，它们在表达能力、易用性或对先前模型的修正方面存在差异。
模型间的比较和转换问题: 不同模型之间的概念和结果如何关联，它们是否能够捕捉相同的攻击类别，以及在一个模型中证明的安全结果是否可以在另一个模型中复用。

主要工作

研究UC模型与IITM模型的关系: 论文的目标是解决对模型间关系理解的缺乏，巩固模型空间，并使密码学家能够在不同模型中复用结果。
将UC模型嵌入到IITM模型: 通过技术贡献，展示了所有UC协议、安全性和组合结果都可以转换到IITM模型中。

创新点

UC模型到IITM模型的映射: 提供了一种方法，将UC模型中的协议和安全结果映射到IITM模型中，同时保持了它们的功能、安全性和复杂性。
证明UC模型的局限性: 展示了通常不能将完整的IITM模型嵌入到UC模型中。

主要贡献

协议映射: 将UC模型中的协议映射到IITM模型，并证明了映射的保真性，即原始协议和映射协议在所有上下文中的行为相同。
安全性结果的转换: 证明了UC模型中的安全性结果可以转换为IITM模型中的安全性结果。
组合结果的转换: 展示了UC模型中的组合结果可以转换为IITM模型中的组合结果，并提供了直接使用IITM组合定理获得相同结果的方法。

结果

UC模型与IITM模型的兼容性: 论文证明了UC模型中的协议和结果可以无缝转换到IITM模型中，从而为协议设计者提供了更多的灵活性和功能。
UC模型的局限性: 论文展示了IITM模型在某些方面比UC模型更强大，尤其是在处理动态生成的机器代码和更广泛的环境类别方面。

结论

论文提供了对UC和IITM模型的深入理解，阐明了模型间的关系，并揭示了不同模型中获得的安全结果的相对强度。主要结果表明，UC模型中的所有协议、安全性和组合结果都可以转换到IITM模型中。论文还讨论了将IITM模型嵌入到UC模型中的限制，并指出了未来工作的方向。

53. Asymmetric PAKE with low computation and communication,

Stanislaw Jarecki, Hugo Krawczyk, Paulo C. F. dos Santos, Yanqi Gu,

问题与挑战

降低计算和通信成本: 研究的核心问题是如何设计出计算成本与对称密码认证密钥交换(PAKE)和未认证密钥交换(KE)相当的非对称密码认证密钥交换(aPAKE)协议。
减少通信轮数: 现有最小成本aPAKE协议的通信轮数未能达到最优化，需要减少通信轮数以提升效率。

主要工作

提出新的aPAKE协议: 文章提出了两种新的aPAKE协议，称为OKAPE和aEKE，它们是基于密钥隐藏一次性密钥认证密钥交换(otkAKE)的通用编译器。
实现理想密码加密: 利用理想密码加密方法，通过密码加密密钥交换协议的消息来构建aPAKE。

创新点

优化计算和通信: 提出的协议在保持计算成本最低的同时，实现了最优的通信轮数。
变体EKE编译器: 通过密码加密单方面认证的密钥交换(ua-KE)消息，构建了aPAKE，这是对Bellovin和Merritt提出的EKE编译器的一种变体。

主要贡献

提出两种新协议: OKAPE和aEKE两种协议，它们在计算成本和通信轮数上都达到了最优化。
安全性分析: 在理想密码(IC)模型下对提出的aPAKE协议进行了安全性分析，并以ua-KE的形式进行了模块化构造。
实现一次性密钥认证: 展示了3DH和HMQV的单次变体能够安全地实现otk-AKE。

结果

最小化计算和通信成本: aEKE-HMQV协议实现了单次通信流程，与PAKE和KE在计算和通信复杂度上达到了最低成本。
安全性证明: 提供了在随机预言机模型(ROM)下，基于otkAKE的安全性证明，证明了协议的安全性。
具体实例化协议: 提供了基于单次HMQV的OKAPE-HMQV和aEKE-HMQV两种具体的aPAKE方案实例。

54. Adaptively Secure Computation for RAM Programs,

Rafail Ostrovsky, Muthuramakrishnan Venkitasubramaniam, Oxana Poburinnaya, Laasya Bangalore,

问题与挑战

通信复杂性：在安全多方计算（MPC）中，特别是在对手能够最终适应性地破坏所有参与方的情况下，理解在将底层函数建模为随机存取存储器（RAM）程序时的通信复杂性。
适应性安全模型：在适应性安全模型下，研究如何在最小假设下设计出通信复杂性较低的MPC协议，特别是当计算以布尔电路形式表达时。

主要工作

两轮两方计算协议：开发了首个两轮两方计算协议，即使在所有参与方都被适应性破坏的情况下，也能保持通信复杂度与RAM复杂度的平方成比例。
适应性安全的ORAM编译器：提出了一种适应性安全的Oblivious RAM（ORAM）编译器，能够在不知道实际程序输入的情况下，提供内存访问序列及一些状态信息。

创新点

RAM-高效的加密方案：构建了一个与RAM高效的功能上等价的加密（REE）方案，该方案结合了适应性安全的ORAM，用于获得主要定理。
适应性零知识证明：设计了首个RAM-高效的适应性零知识证明系统，这在之前只对电路已知，并且需要非常数轮数。

主要贡献

安全两方计算协议：提出了首个在适应性安全模型下，能够抵抗主动对手的两方计算协议。
通信复杂度与RAM复杂度的关系：证明了在适应性安全模型下，可以实现通信复杂度与RAM复杂度成比例的两方计算协议。
适应性安全的ORAM和REE方案：提出了适应性安全的ORAM编译器和REE方案，为构建适应性安全的两方计算协议提供了基础。

结果

通信复杂度的量化：明确给出了通信复杂度的量化结果，即与RAM复杂度的平方成正比，直到多项对数因子。
安全性证明：提供了在随机预言机模型（ROM）下，基于otkAKE的安全性证明，证明了协议的安全性。
具体实例化协议：提供了基于单次HMQV的OKAPE-HMQV和aEKE-HMQV两种具体的aPAKE方案实例，展示了协议的具体应用。

55. Group Signature and More from Isogenies and Lattices: Generic, Simple, and Efficient,

Shuichi Katsumata, Ward Beullens, Federico Pintore, Yi-Fu Lai, Samuel Dobson,

问题与挑战

构建高效的群签名: 文章面临的主要挑战是如何从同态和格基假设中构造出既安全又高效的动态群签名（或更一般的可问责环签名）。
满足理想安全属性: 作者们关注构造出满足Bootle等人[11]提出的理想的安全属性的高效后量子群签名。
处理现有技术的局限性: 现有技术在实现基于同态的高效群签名方面存在困难，且先前工作没有满足所有期望的安全属性。

主要工作

提出通用构造方法: 文章提出了一个基于同态和格基假设的简单通用构造方法，用于实现动态群签名或更一般的可问责环签名。
实现基于CSIDH和MLWE的实例化: 作者们展示了如何基于CSIDH群作用或基于MLWE的群作用来实例化这些构造。
构建高效的零知识证明系统: 文章基于Beullens, Katsumata和Pintore在Asiacrypt’20中的工作，进一步构建了高效的非交互零知识证明系统。

创新点

在线可提取的零知识证明: 文章提出了一种新颖的在线可提取的零知识证明，该证明允许证明密码文本的有效性，并且在安全性上取得了显著改进。
紧凑的安全证明: 通过Katz-Wang技术，实现了比以往工作更紧密的安全证明，减少了证明中的损失。
混合使用不同的群作用: 创新地提出了混合使用CSIDH和MLWE群作用的方法，以实现更强的匿名性和更小的用户公钥及签名。

主要贡献

首次实现基于同态的高效群签名: 作者们首次实现了基于同态的高效群签名，并且提供了基于格基的构造。
满足所有理想安全属性: 提出的群签名方案满足了包括动态性和完全CCA匿名性在内的所有理想安全属性。
实现紧密安全性: 通过技术改进，实现了比现有工作更紧密的安全性证明，减少了安全性证明中的损失。

结果

签名尺寸显著减小: 基于同态构造的群签名尺寸比所有已知的后量子群签名小一个数量级（例如，64个成员时为6.6 KB）。
高效的实现: 提出的方案不仅在理论上具有吸引力，而且在实际应用中也显示出高效的实现潜力。
安全性和效率的平衡: 在保持较小签名尺寸的同时，实现了与之前构造相比更强的安全属性。

56. Optimal Broadcast Encryption and CP-ABE from Evasive Lattice Assumptions,

Hoeteck Wee,

问题与挑战

广播加密（Broadcast Encryption）: 文章研究了广播加密（Broadcast Encryption, BE）和基于属性的加密方案（Attribute-Based Encryption, ABE），特别是针对N个用户的广播加密，目标是实现参数尺寸为poly(log N)的方案，同时确保安全性。
后量子安全性: 目前基于格（lattice）的密码学取得了巨大进展，但尚未有基于LWE（Learning With Errors）的广播加密方案实现参数尺寸小于N的线性级别。
零化攻击（Zeroizing Attacks）: 需要避免零化攻击，这类攻击能够从低范数的秘密值中恢复出有用的信息。

主要工作

新的广播加密方案: 提出了一种新的、简单的广播加密候选方案，该方案具有poly(log N)尺寸的参数，并且证明了在一种非标准变体的LWE假设下的安全性。
避免零化攻击: 引入了一种非标准的LWE变体，称为“逃避LWE”（evasive LWE），它在区分器额外接收短高斯预图像的同时避免了零化攻击。
CP-ABE方案: 作为次要贡献，提出了一种针对先验有界多项式深度电路的候选CP-ABE方案，其参数尺寸独立于电路尺寸，并在额外的非标准假设下证明了安全性。

创新点

逃避LWE假设: 提出了一种新的假设，允许在不违反安全性的前提下，接收短高斯预图像，同时避免了零化攻击。
张量随机化: 通过与随机高斯（行）向量张量化来随机化秘密密钥，这种方法在保持正确性和安全性的同时，避免了对双线性映射的依赖。
简化的安全证明: 安全证明通过两个步骤进行，首先依赖逃避LWE将安全性简化为没有短高斯的更简单陈述，然后从LWE证明这一陈述。

主要贡献

后量子安全的广播加密: 提供了首个可能是后量子安全的最优广播加密候选方案，并且具有简单假设下的安全归约。
与先前工作的比较: 通过图1比较了与先前工作的差别，展示了本工作在参数尺寸和安全性假设上的优势。
CP-ABE方案的改进: 提供了一种改进的CP-ABE方案，该方案对于有界深度的电路，其参数尺寸与电路尺寸无关。

结果

安全性证明: 成功证明了所提出的广播加密方案和CP-ABE方案在特定假设下的安全性。
选择性安全性: 证明了所有提出的方案具有非常选择性安全性，这意味着对于广播加密，选择性安全性得到了保证。
实用性考量: 尽管方案在理论上具有吸引力，但实际应用中的复杂性和实用性仍需进一步研究和评估。

57. Anamorphic Encryption: Private Communication against a Dictator,

Giuseppe Persiano, Moti Yung, Duong Hieu Phan,

问题与挑战

文章探讨了在强权政府或独裁者的压力下，如何保护通信的私密性。在这种情境下，传统的加密系统假设接收方的密钥安全且发送方自由选择消息的前提被挑战。独裁者可能要求访问密钥和消息内容，使得传统的加密方法失效。文章面临的主要挑战是如何在不依赖于这些假设的情况下实现私密通信。

主要工作

提出了“Anamorphic Encryption”（变形加密）的概念，这是一种即使在独裁者获得密钥和消息内容的情况下，也能隐藏消息的技术。
研究了如何在现有的公钥密码体系内实现变形加密，使得通信即使在强权监控下也能保持私密。

创新点

提供了一种即使在密钥被强制公开的情况下，也能保护通信内容不被独裁者发现的方法。
展示了即使在发送方的自由选择权受限时，也能通过加密技术隐秘地传达信息。

主要贡献

定义了接收方变形加密（Receiver-Anamorphic Encryption）和发送方变形加密（Sender-Anamorphic Encryption）的概念，并提供了相应的安全性定义。
证明了一些现有的加密方案（如基于格的密码体系）具有变形加密的属性，即使在没有共享密钥的情况下也能实现私密通信。

结果

文章提出了一种技术方案，即使在独裁者强制要求访问密钥的情况下，也能有效地保护通信的私密性。
展示了即使在发送方被强制发送特定消息时，也能通过变形加密技术隐秘地传达真实的意图。
通过理论分析和构造性的例子，证明了所提出加密方案的有效性和安全性。
文章的这些贡献对于理解和应对政府对加密技术的控制尝试具有重要意义，为保护个人隐私和通信自由提供了新的技术途径。

同态加密

58. Sine Series Approximation of the Mod Function for Bootstrapping of Approximate HE,

Charanjit S. Jutla, Nathan Manohar,

问题与挑战

模函数逼近的难点：在同态加密（HE）中，模函数的逼近对于小区间内的模数倍数具有挑战性，尤其是当需要在这些区间内实现高精度的逼近时。
收敛速率问题：传统的正弦波函数傅里叶级数虽然收敛，但其收敛速率并不适合模函数在小区间的逼近。
误差与精度的平衡：在CKKS-HE方案中，需要在保证计算效率的同时，实现足够小的误差，以支持高精密的同态计算。

主要工作

新的正弦级数逼近方法：文章提出了一种新的正弦级数逼近方法，用于改善模函数在小区间内的逼近精度。
泰勒级数的应用：利用泰勒级数对正弦函数进行近似，通过这种方法，可以在保持系数较小的同时，实现对模函数的高精度逼近。

创新点

正弦级数的改进：改进了正弦级数的系数，使其在逼近模函数时具有更快的收敛速率和更小的误差。
系数的小幅度：证明了正弦级数的系数可以保持在较小的幅度内，这有助于在同态加密中实现高效的多项式评估。
避免基础误差：通过新方法避免了传统正弦函数逼近中固有的基础误差，实现了在特定区间内几乎任意精度的逼近。

主要贡献

高精度同态加密方案：提出了一种能够实现几乎任意精度的CKKS-HE同态加密方案。
实现验证：通过实现验证了新方法的有效性，并在100位的精度下实现了同态加密的自举（bootstrapping）。
性能改进：与先前的工作相比，在较低精度下也取得了性能上的提升。

结果

实现高精度自举：成功实现了100位精度的自举，这在同态加密领域是一个显著的成果。
效率与精度的双重提升：不仅提高了精度，同时也提升了同态加密操作的效率，这对于隐私保护机器学习等应用至关重要。
广泛的应用前景：该方法的提出为需要高精度计算的应用场景，如隐私保护的机器学习算法，提供了一种新的解决方案。

59. High-Precision Bootstrapping for Approximate Homomorphic Encryption by Error Variance Minimization,

Joseph Lano, Young-Sik Kim, Joon-Woo Lee, Yongwoo Lee, Yongjune Kim, HyungChul Kang,

问题与挑战

高精确度的Bootstrapping方法：在CCKS（Cheon-Kim-Kim-Song）同态加密（HE）方案中，Bootstrapping是最具挑战性的部分，需要在保持隐私的同时进行高效的计算。
模块化约简的同态评估：在CCKS方案中，模块化约简不是由复数的加法和乘法表示的，因此需要使用近似多项式进行同态评估，这增加了实现的复杂性。

主要工作

直接多项式近似：提出了一种直接多项式近似方法用于CCKS Bootstrapping，这种方法在误差方差和深度上是最优的。
懒惰Baby-Step Giant-Step（BSGS）算法：提出了一种有效的算法，用于同态评估近似多项式，利用懒惰重线性化/重缩放技术，减少了计算复杂度。

创新点

误差方差最小化：提出以误差方差而非最大误差作为近似度量，尤其适用于Bootstrapping的场景。
懒惰重线性化技术：通过延迟重线性化和重缩放操作，减少了这些操作的总数，从而降低了误差传播。

主要贡献

最优近似多项式的发现：提出了一种方法，能够找到在信号噪声比（SNR）方面最优的近似多项式。
懒惰BSGS算法的提出：提出了一种新的变体BSGS算法，减少了重线性化的次数，提高了高阶多项式评估的效率。

结果

实现精度与效率的平衡：通过提出的算法，实现了在保持计算效率的同时，显著提高了CCKS方案的Bootstrapping精度。
高准确度的Bootstrapping：展示了所提出方法在实现高准确度Bootstrapping方面的能力，例如，在11次乘法深度内达到93位的精度。
安全性增强：由于高精确度Bootstrapping的实现，可以直接应用噪声淹没技术来提高CCKS方案对已知攻击的安全性。

60. Limits of Polynomial Packings for Z(pk) and F(pk),

Jung Hee Cheon, Keewoo Lee,

问题与挑战

多项式打包方法: 文章首先对在密码学不同领域中使用的多项式打包方法进行了统一定义和研究，包括同态加密(HE)打包和逆乘法友好嵌入(RMFE)在信息论安全的多方计算(MPC)中的应用。
Zpk和Fpk消息的打包限制: 探讨了将Zpk或Fpk消息打包到Zpt[x]/f(x)中的多项式打包方法的限制，这些限制涉及打包密度、层次一致性和满射性。

主要工作

统一定义: 提供了多项式打包方法的统一定义，将不同密码学背景下的概念统一起来。
打包方法的系统化研究: 对现有的打包方法进行了搜集和整理，包括RMFE、传统的HE打包方法以及在基于HE的Z2k MPC协议中的最新发展。
分解引理: 提供了分解引理，简化了对一般打包情况的研究，转而关注特定情况下的打包方法。

创新点

打包密度的上界: 提供了多项式打包方法的打包密度上界，量化了在给定的同态特性下可以多高效地打包消息。
层次一致性的不可能性结果: 证明了在大多数情况下，构建有效的层次一致打包方法是不可能的。
满射性的不可能性结果: 证明了在大多数情况下，设计满足满射性的打包方法也是不可能的。

主要贡献

上界和不可能性证明: 证明了关于Zpk或Fpk消息打包方法的多个上界和不可能性结果，这些结果对理解打包方法的潜力和局限具有重要意义。
对HE和MPC的影响: 结果对基于HE的MPC在Z2k上的发展提供了新的见解，并为RMFE提供了新的上界证明。
对密码学工具的改进: 通过分析打包方法的极限，为设计更有效的密码学工具提供了理论基础。

结果

理论分析: 提供了对多项式打包方法的深入理论分析，包括其效率和安全性的界限。
对现有方法的评估: 对现有打包方法，如HELib打包、Overdrive2k打包和MHz2k打包进行了评估，并讨论了它们的优缺点。
对未来研究方向的指导: 研究结果为未来的研究方向提供了指导，特别是在设计新的打包方法和改进现有密码学协议方面。

61. Rubato: Noisy Ciphers for Approximate Homomorphic Encryption,

Jooyoung Lee, ByeongHak Lee, Seongkwang Kim, Jincheol Ha, Mincheol Son,

问题与挑战

文章讨论了在客户端计算和通信负载较重的情况下，如何有效支持同态加密（HE）的数据近似计算。现有的同态加密方案，如CKKS加密方案，虽然在效率上有所提升，但仍面临计算和内存过载的问题，尤其是在处理大量数据加密时。此外，同态加密固有的密文扩展问题，使得其在实际应用中仍存在局限性。

主要工作

提出了一种新的带噪声的对称密码体系Rubato，该密码体系通过在低代数度的对称密码中引入噪声，显著降低了密码的乘法复杂度，同时不降低整体安全性。
展示了Rubato如何在RtF（Round-Trip Framework）转录框架中有效工作，该框架支持近似计算，并且与现有的HE友好密码相比较，提供了更好的客户端和服务器端吞吐量。

创新点

Rubato密码体系的设计策略新颖，通过引入噪声来降低乘法复杂度，同时保持了较低的密文扩展率。
通过实验比较，证明了Rubato在RtF框架下相比于现有的HE友好密码（如HERA）在客户端和服务器端性能上的提升。

主要贡献

提供了Rubato密码体系的详细规范和参数选择，包括密钥调度、线性层、非线性层和截断函数的定义。
对Rubato进行了全面的安全性分析，包括对称密码分析和基于LWE（Learning With Errors）的密码分析，为不同应用场景推荐了参数集合。
实现了Rubato并与RtF转录框架结合，公开了客户端和服务器端的实现代码，展示了其在实际应用中的性能提升。

结果

Rubato在RtF框架下相比于HERA，客户端和服务器端的吞吐量分别提高了22.9%和32.2%，仅以1.6%的密文扩展为代价。
通过性能评估，证明了Rubato在客户端和服务器端的性能优势，尤其是在处理近似同态加密时。
提供了与现有技术（包括LWEs-to-RLWE转换和CKKS本身）的比较，展示了Rubato在不同方面的性能改进和潜在的应用优势。
文章的这些贡献对于推动同态加密技术在实际应用中的部署和发展具有重要意义，特别是在需要处理近似计算的场景中。

62. Field Instruction Multiple Data,

Huaxiong Wang, Sze Ling Yeo, Khin Mi Mi Aung, Benjamin Hong Meng Tan, Enhui Lim, Jun Jie Sim,

问题与挑战

高阶扩展域的利用：在全同态加密（FHE）中，如何有效利用高阶扩展域进行同态计算，特别是在小素数情况下，存在 SIMD 平整文本向量过短和高阶扩展域的问题。

主要工作

FIMD 方法：提出了一种新的编码方法，即 Field Instruction Multiple Data (FIMD)，通过在 SIMD 基础上应用 Reverse Multiplication Friendly Embedding (RMFE) 来对 FHE 进行编码，从而在单个 FHE 密文中编码更多的数据。

创新点

RMFE 应用：将 RMFE 方法应用于 FHE，通过特定的线性变换，在 FHE 重编码操作期间免费评估编码向量。
r-fold RMFE：提出了 r-fold RMFE，允许在重新编码之前进行多达 2^r 个编码向量的乘积，以减少重编码操作的开销。

主要贡献

FIMD 性能提升：实验表明，FIMD 在执行相同数量数据的同态乘法时，相比于 FHE，具有超过 2 倍的更好的（平均）乘法时间，同时使用的密文数量几乎减少了 k/2 倍。
优化技术：提出了两种针对高阶扩展域的优化技术，包括 r-fold RMFE 和复合 RMFE 的三阶段重编码过程。

结果

实验验证：通过实验评估了从不同 RMFE 变体得到的 FIMD 与标准 SIMD 操作相比的有效性。结果表明，FIMD 在小素数情况下能够提高 FHE 的性能，尤其是在乘法时间上。
重编码操作的改进：展示了三阶段重编码过程在减少所需的 Frobenius 自同态数量方面的优势，相比于标准重编码过程，能够降低计算复杂性。

结论与未来工作

小素数的 FHE 实现：展示了如何使用小素数实现 FHE，同时保持密文中可打包的数据量。
未来研究方向：提出了将 RMFE 应用于 FHE 的方法，为 FHE 的下游应用提供了潜在的改进；同时指出了适应 RMFE 于 Galois 环、开# 发其他代数函数类的 RMFE 等未来研究方向。

物理攻击和掩蔽

63. Mitaka: A Simpler, Parallelizable, Maskable Variant of Falcon,

Pierre-Alain Fouque, Mehdi Tibouchi, Thomas Espitau, Yang Yu, Alexandre Wallet, Mélissa Rossi, Akira Takahashi, François Gérard,

问题与挑战

Falcon签名方案的局限性: Falcon作为NIST第三轮签名算法决赛选手之一，具有速度快、带宽要求低的优点，但存在结构复杂、参数选择不灵活、对浮点运算依赖性强和抵抗侧信道攻击能力弱等问题。

主要工作

Mitaka方案的提出: 提出了一种基于NTRU格的新型签名方案Mitaka，作为Falcon的一个变体，旨在保持Falcon的优势，同时克服其缺点。

创新点

简化的结构: Mitaka在算法和实现上更为简单，有利于提高实现的可靠性。
参数选择的灵活性: 支持更广泛的参数设置，涵盖所有NIST安全级别。
避免浮点运算: 通过MitakaZ采样器，可以在不依赖浮点运算的情况下实现。
侧信道攻击防护: 提供了有效的侧信道攻击防护措施，如提出的掩蔽技术。

主要贡献

性能提升: Mitaka在保持与Falcon相当或更优的性能的同时，降低了带宽需求。
安全性分析: 对Mitaka进行了详细的安全性分析，证明了其安全性基于与Falcon相同的假设。
实现的简便性: 由于结构简化，Mitaka更易于正确实现，并且支持在线/离线结构，有利于并行化处理。

结果

实际性能测试: 通过初步的纯C语言实现，Mitaka表现出了有希望的性能结果，大约是Falcon的两倍速度。
安全性证明: 提供了Mitaka的详细安全分析，包括具体安全性评估和渐进安全性分析。
掩蔽技术的具体实现: 描述了如何在Mitaka中实现高效的掩蔽技术，以保护签名过程免受侧信道攻击。

未来工作

签名尺寸的减小: 探索减小Mitaka签名尺寸的可能性。
安全性的进一步提升: 研究是否可以通过改进陷门生成技术来提高Mitaka的安全性。
性能优化: 在特定架构上进行Mitaka的优化实现，以评估其在不同环境下的性能表现。

64. A Novel Completeness Test for Leakage Models and its Application to Side Channel Attacks and Responsibly Engineered Simulators,

Elisabeth Oswald, Si Gao,

问题与挑战

本文针对的是现代复杂设备中侧信道攻击的目标，这些设备通常处理32位数据字并行指令，导致泄漏状态不仅庞大而且由于多种微架构因素难以预测。安全评估通常基于最坏情况攻击或模拟器，这些评估明确依赖于底层状态：一个可能不完整的状态很容易导致错误的结论。

主要工作

提出了一种新的“完整性”概念，用于评估假设状态的完整性，并提出了一种基于“崩溃模型”的高效统计测试方法。
展示了这种新测试如何用于指导侧信道攻击，并揭示现有实现中的新攻击向量。
证明了该测试在泄漏建模方面对泄漏模拟器的应用，并确认即使是最新的泄漏模拟器也没有捕捉到它们各自目标设备的所有可用泄漏。

创新点

提出了一种新颖的统计方法，使用嵌套的F检验来测试泄漏模型的完整性。
展示了如何通过“崩溃的F-检验”来识别和构建更全面的泄漏模型，这在以往的研究中是难以实现的。
强调了在构建泄漏模拟器时负责任地工程化的重要性，并提出了朝着这一方向迈出的第一步。

主要贡献

明确了实际状态识别的基本问题，并讨论了它对攻击和泄漏模拟器的影响。
提出了模型“完整性”的新概念，并通过统计测试方法来衡量。
展示了如何使用新方法发现容易被忽视的泄漏，这对于全面安全评估至关重要。
讨论了完整性在泄漏模拟器中的重要性，并展示了如何通过新方法实现更好的模拟模型。
讨论了负责任地工程化泄漏模拟器的重要性，并提出了一个有希望的初步步骤。

结果

通过实验验证了新方法在ARM Cortex M3处理器上的有效性，并展示了如何发现更有效的非剖面攻击策略。
证明了现有的泄漏模拟器（如ELMO和MAPS）在模型完整性方面存在不足，并提出了改进的方法。
强调了在侧信道攻击和安全评估中使用完整泄漏模型的重要性，并提出了负责任地开发和使用泄漏模拟器的建议。
文章的这些贡献对于理解和改进侧信道攻击的防御措施，以及开发更加精确和负责任的泄漏模拟器具有重要意义。

65. Towards Micro-Architectural Leakage Simulators: Reverse Engineering Micro-Architectural Leakage Features is Practical,

Elisabeth Oswald, Daniel Page, Si Gao,

问题与挑战

侧信道泄露模拟的准确性：现有的侧信道泄露模拟器在模拟微架构泄露方面存在不足，无法准确反映实际硬件上的泄露情况。
微架构泄露的复杂性：微架构泄露特性在商业处理器中普遍存在，但缺乏公开信息，难以在“灰盒”设置中进行描述和模拟。

主要工作

微架构泄露的逆向工程：首次展示了使用最新的泄露建模技术，对商业处理器的微架构泄露进行逆向工程的可行性。
增强型泄露模拟器的开发：基于逆向工程得到的泄露特性，开发了流行的泄露模拟器ELMO的增强版本。

创新点

新的泄露建模技术：利用Gao和Oswald在先前工作中提出的方法，扩展了泄露模型的复杂性，以捕捉更多微架构泄露。
微架构泄露元素的识别：通过实验和统计测试，识别了ARM Cortex-M3架构中的微架构泄露元素，包括流水线的各个阶段和已知产生毛刺的元素。

主要贡献

微架构泄露模型的建立：建立了一个详细的微架构泄露模型，包括了处理器的各个流水线阶段和内存子系统。
提高泄露模拟的准确性：通过将逆向工程得到的微架构泄露特性集成到ELMO模拟器中，提高了泄露模拟的准确性。
对现有模拟器的改进：通过实际硬件测试，展示了现有模拟器（如ELMO和MAPS）在泄露检测方面的不足，并提出了改进方案。

结果

更准确的泄露模拟：通过集成新的微架构泄露模型，µELMO模拟器能够更准确地模拟实际硬件上的泄露行为。
实际攻击的可行性分析：利用新的泄露模型，分析了在实际硬件上可能的侧信道攻击，包括对现有加密算法实现的潜在威胁。
对模拟器开发的指导意义：这项工作为开发更准确的侧信道泄露模拟器提供了一种新的方法和工具，对于提高密码算法在实际硬件上的安全性具有重要意义。

66. Approximate Divisor Multiples - Factoring with Only a Third of the Secret CRT-Exponents,

Alexander May, Santanu Sarkar, Julian Nowakowski,

问题与挑战

RSA安全性问题：在常数公钥指数e下，已知一半的dp或dq的秘密比特足以通过Coppersmith的提示分解算法来分解RSA模数N。
扩展到非恒定e：将已知的分解方法扩展到非恒定的公钥指数e，探索在这种情况下的安全性。

主要工作

新攻击方法：提出了一种新的两步方法来分解RSA模数N，首先在多项式时间内恢复k和ℓ，然后利用这些参数来构造一个单变量多项式，其根可以用来分解N。
技术实现：在已知最高有效位（MSB）或最低有效位（LSB）的情况下，提出了一种新颖的两步攻击方法，该方法在多项式时间内分解N。

创新点

近似除数倍数：提出了近似除数倍数的概念，这在已知k的倍数的情况下，可以更有效地恢复未知的k倍数。
两步分解方法：在MSB情况下，完全基于初等方法；在LSB情况下，使用Coppersmith的格基方法。

主要贡献

扩展了已知攻击：将Coppersmith的提示分解算法扩展到非恒定的公钥指数e，发现当e大小为N^(1/12)时，RSA最容易受到部分密钥暴露攻击。
提出了新的攻击方法：提出了一种新的两步攻击方法，该方法在多项式时间内分解N，并且只需要知道dp和dq的三分之一的比特。

结果

实验验证：通过实验验证了提出的启发式方法，证明了在实践中，即使使用小的格维度，也能实现渐近界限。
高效率：攻击方法在已知MSB的情况下是完全严格的，而在LSB情况下依赖于标准的Coppersmith启发式方法。

结论与未来工作

对RSA安全性的影响：研究表明，当公钥指数e约为N^(1/12)时，RSA在部分密钥暴露攻击面前最为脆弱，这可能需要对当前的RSA实现进行进一步的安全性评估。
未来研究方向：提出了进一步研究的必要性，包括对提出的攻击方法的深入分析，以及开发更有效的防御策略来抵御这类攻击。

67. Information-Combining Differential Fault Attacks on DEFAULT,

Maria Eichlseder, Christoph Dobraunig, Marcel Nageler,

问题与挑战

差分故障攻击（DFA）: 对称密码学实现中的强大攻击手段，能够通过物理故障来恢复密钥。
现有对策的局限性: 大多数对策都是在实现层面上进行的，而不是在密码算法设计层面上提供固有的抗DFA特性。

主要工作

DEFAULT密码算法分析: 研究了DEFAULT密码算法，这是一种旨在通过使用具有线性结构的S-boxes来提供抗DFA特性的密码算法。
信息组合差分故障攻击: 提出了一种新的攻击方法，通过结合多轮信息来恢复密钥，从而推翻了DEFAULT密码算法的安全声明。

创新点

多轮信息组合: 观察到密码算法中存在大量等价密钥的类别，这些类别可以在规范化形式下有效表示，并利用这些信息组合攻击来恢复密钥。
针对强密钥调度的攻击: 展示了如何针对具有强密钥调度的DEFAULT密码算法进行攻击，即使在理想化的独立轮密钥情况下也有效。

主要贡献

对DEFAULT密码算法的安全性的重新评估: 证明了即使在DEFAULT密码算法的强密钥调度下，攻击者也能通过结合多轮信息来恢复完整的密钥。
优化的攻击策略: 提出了优化的攻击策略，减少了所需的故障计算数量，并在可忽略的时间内完成密钥恢复。
实验验证: 在模拟环境中实验验证了所提出的攻击，并提供了源代码。

结果

密钥恢复: 证明了通过少于100次的故障计算可以恢复DEFAULT-LAYER的等价密钥。
安全性声明的无效性: 展示了DEFAULT密码算法的设计策略在防止信息组合攻击方面的局限性。
对密码算法设计的启示: 讨论了如何改进密码算法设计以提供更有效的抗DFA特性，并指出了需要进一步研究的问题。

未来工作

进一步降低故障复杂性: 探索是否可以通过改进攻击方法来进一步减少所需的故障计算数量。
密码算法设计的改进: 研究如何设计出能够更有效抵御差分故障攻击的密码算法。

68. Private Circuits with Quasilinear Randomness,

Vipul Goyal, Yuval Ishai, Yifan Song,

问题与挑战

文章针对的主要问题是在需要保护嵌入式设备免受侧信道攻击的情况下，如何减少私有电路（private circuits）的随机性复杂度。私有电路是一种随机化布尔电路，它能够在保护输入的同时计算函数输出，但其生成新鲜随机性的成本较高。现有技术在减少私有电路所需的随机比特数方面存在限制。

主要工作

提出了一种新的私有电路构建方法，该方法显著减少了所需的随机性复杂度。
改进了现有最佳上界，将随机比特数从O(t^2 · log(ts))降低到O(t · log(ts))，包括输入编码器使用的随机性，并将此界限扩展到私有电路的状态化变体。

创新点

引入了一种新颖的设计策略，通过在具有低代数度的对称密码中引入噪声，显著降低了电路的乘法复杂度，而不降低整体安全性。
提出了一种半显式的构造方法，该方法具有高效的随机算法，可以从计算函数f的布尔电路生成私有电路C，且失败概率可忽略不计。

主要贡献

提出了一种新的私有电路模型，该模型在保持安全性的同时减少了所需的随机性。
展示了如何将此模型应用于减少输入编码器的随机性复杂度。
扩展了模型以支持泄漏容忍电路和状态化私有电路。
提供了一种有效的算法，用于生成具有所需属性的私有电路。

结果

实现了一种私有电路，其随机性复杂度为O(t · log(ts))，显著优于现有技术。
证明了该电路在不同的安全模型下（包括泄漏容忍模型和状态化模型）的有效性。
展示了如何通过使用强t-wise独立伪随机生成器来构建所需的电路组件。
文章的这些贡献对于提高私有电路在实际应用中的效率和安全性具有重要意义，尤其是在需要保护嵌入式设备免受侧信道攻击的场景中。

后量子密码

69. Beyond quadratic speedups in quantum attacks on symmetric schemes,

André Schrottenloher, Ferdinand Sibleyras, Xavier Bonnetain,

问题与挑战

量子计算对对称密码体系的威胁：量子计算机能够破解目前广泛使用的公钥密码体系，如RSA和ECC。对称密码体系虽然受影响较小，但其安全性仍需重新评估。
量子攻击的效率：现有的量子攻击方法，如Grover算法，最多只能提供二次方的速度提升。研究者们探索是否能够超越这个限制。

主要工作

量子密码分析的新方法：提出了一种新的量子密码分析方法，该方法在某些特定结构的对称密码体系上能够实现超过二次方的速度提升。
2XOR-Cascade结构的研究：研究了2XOR-Cascade结构，这是一种密钥长度扩展技术，旨在提高n位块密码的安全性。

创新点

超越二次方加速的量子攻击：首次展示了一种量子密钥恢复攻击，该攻击在时间复杂度上比最佳经典攻击快2.5倍。
量子攻击的一般化：将离线Simon算法扩展到更一般的对称密码结构上，证明了量子攻击可以在特定情况下超越二次方加速。

主要贡献

量子攻击的新理论：提出了一种新的理论框架，用于分析和实现对对称密码体系的量子攻击。
2XOR-Cascade结构的安全性分析：分析了2XOR-Cascade结构在量子攻击下的安全性，并证明了它不能提供比基本块密码更高的安全性。
量子攻击算法的优化：展示了如何使用量子搜索和Simon算法的结合来优化量子攻击算法，实现了对特定密码结构的更有效攻击。

结果

量子攻击的实际应用：证明了量子攻击不仅在理论上可行，而且在实际的密码体系中也能实现超越经典攻击的性能。
对称密码体系的安全性再评估：研究结果提示需要重新评估对称密码体系在量子计算时代的安全性，并考虑增加密钥长度以抵御量子攻击。
量子攻击算法的进一步研究：提出了关于量子攻击算法能否实现更高速度提升的问题，并探讨了可能的方向。

70. Post-Quantum Security of the Even-Mansour Cipher,

Jonathan Katz, Gorjan Alagic, Christian Majenz, Chen Bai,

问题与挑战

量子安全性: Even-Mansour密码算法在面对量子攻击者时的安全性存在疑问，特别是在攻击者能够量子访问公开的随机置换P，但仅经典访问密钥置换E的情况下。

主要工作

量子安全性证明: 提供了Even-Mansour密码算法在“后量子”设置下的安全性证明，即攻击者对E有经典访问权，对P有量子访问权。

创新点

新的安全模型: 在量子攻击者模型中，考虑了攻击者对某些密码学原语有量子访问能力，而对其他原语仅有经典访问能力的情况。
技术引理: 提出了“任意重编程引理”和“重采样引理”，这些引理在量子安全性证明中发挥了关键作用。

主要贡献

量子攻击下界: 证明了在后量子设置下，攻击Even-Mansour密码算法需要的量子和经典查询次数的下界。
安全性分析: 对Even-Mansour密码算法的安全性进行了详细的分析，并提出了新的技术结果，这些结果可能对其他研究也有独立的价值。

结果

安全性证明: 证明了Even-Mansour密码算法在特定的后量子设置下是安全的。
技术引理的应用: 展示了如何使用新的技术引理来加强量子安全性证明。

未来工作

进一步降低安全界限: 研究是否存在更高效的量子攻击方法，以及是否可以进一步降低安全界限。
扩展到其他密码算法: 探索这些技术引理是否可以应用于分析其他密码算法在量子攻击下的安全性。

71. Non-malleable Commitments Against Quantum Attacks,

Huijia Lin, Nir Bitansky, Omri Shmueli,

问题与挑战

文章主要解决的是在量子攻击下，如何构建安全的不可篡改承诺（non-malleable commitments）。在量子计算的背景下，现有的密码学原语，包括不可篡改承诺，需要重新评估和设计，以确保它们能够抵抗量子算法的攻击。不可篡改承诺是一种密码学原语，它允许发送方对某个值进行承诺，在之后的某个时刻可以公开该值，但在承诺期间，该值是隐藏的，且不能被篡改。

主要工作

提出了在标准硬度假设下，首个能够抵御量子攻击的不可篡改承诺方案。
构建了一个统计上具有约束力（statistically binding）的承诺方案，并满足针对量子非同步（non-synchronizing）中间人攻击的标准不可篡改性。

创新点

提出了一种新的技术，可以从任何可提取（extractable）承诺协议中模块化地获得不可篡改承诺，而与底层提取策略（无论是黑盒还是非黑盒）或轮复杂度无关。
该技术可能在经典设置中也具有应用价值。

主要贡献

提出了“完整性”（completeness）的新概念，用于评估假设状态是否包含了所有相关信息。
提出了一种基于“崩溃模型”（collapsed models）的新型统计测试方法，使用嵌套F检验来测试模型的完整性。
展示了这种方法如何帮助指导侧信道攻击，并揭示现有实现中的新攻击向量。
证明了该测试在泄露建模方面的应用，确认即使是最新的泄露模拟器也没有捕捉到它们各自目标设备的所有可用泄露。
讨论了负责任地工程化泄露模拟器的重要性，并提出了朝着这个方向的第一步。

结果

构建了一个具有统计约束力的不可篡改承诺方案，即使面对量子非同步中间人攻击，也能够保持隐藏性和不可篡改性。
证明了该方案的轮复杂度为log⋆(λ)，假设存在后量子单向函数。
展示了如何通过使用后量子可提取承诺来实现后量子不可篡改承诺，从而在量子时代保护密码学系统免受攻击。
文章的这些贡献对于在量子计算时代构建安全的密码学系统具有重要意义，特别是在需要确保承诺的不可篡改性的应用场景中。

72. On the Lattice Isomorphism Problem, Quadratic Forms, Remarkable Lattices, and Cryptography,

Léo Ducas, Wessel P. J. van Woerden,

问题与挑战

基于格的密码学难题：传统的基于格的密码学方法，如McEliece方案，依赖于具有出色解码能力的格，但这些方法在安全性和效率上存在局限。
微架构泄露问题：在“灰盒”设置中，如何处理微架构元素未知的情况，尤其是在商业处理器上实现的密码算法。

主要工作

基于格同构问题（LIP）的密码学：提出了一种新的密码学框架，基于格同构问题，提供了一种通用的方法来构建密码学方案。
零知识证明：提出了一种零知识证明方法，用于证明格同构的存在，从而允许构建基于搜索-LIP（sLIP）的识别方案。

创新点

最坏情况到平均情况的规约：通过扩展Haviv和Regev的技术，为搜索-LIP和区分-LIP提供了最坏情况到平均情况的规约。
基于LIP的密码学方案：提出了基于区分-LIP的密钥封装机制（KEM）方案和基于哈希然后签名的签名方案。

主要贡献

LIP的密码学应用：首次展示了如何将LIP应用于密码学，提供了一种新的密码学构建方法。
识别方案和KEM：基于sLIP的识别方案和基于区分-LIP的KEM方案，为密码学提供了新的工具和方法。
密码学方案的安全性：基于LIP的密码学方案提供了新的安全性保证，尤其是在量子计算威胁下。

结果

实验验证：通过实验验证了基于LIP的密码学方案的有效性，尤其是在处理微架构泄露方面。
安全性分析：对基于LIP的密码学方案进行了安全性分析，证明了其在特定条件下的安全性。
密码学方案的实现：展示了如何从具有显著解码能力的格中实例化KEM和签名方案，提供了密码学应用的新途径。

73. Quantum Algorithms for Variants of Average-Case Lattice Problems via Filtering,

Mark Zhandry, Yilei Chen, Qipeng Liu,

问题与挑战

平均情况格基问题: 文章针对的是格基问题在平均情况下的变体，特别是当公开矩阵非常宽、模数是多项式大素数，以及无穷范数的界限设置为模数的一半减去一个常数时的短整数解（SIS）问题。
学习带噪声问题（LWE）: 考虑了具有多项式大模数和特定误差分布（包括有界均匀分布和拉普拉斯分布）的LWE问题。
外推二面体陪集问题（EDCP）: 讨论了具有特定参数的EDCP问题，并指出这些问题的标准形式与解决最坏情况的格基问题一样困难。

主要工作

量子算法开发: 作者展示了多项式时间量子算法，用于解决上述提到的SIS、LWE和EDCP问题变体。
量子归约利用: 算法利用了现有的量子归约，将这些问题归约到LWE问题，更具体地说，是给定LWE样量子状态的LWE解决。
参数选择: 专注于解决那些参数设置不与已知的最坏情况格基问题等价的变体问题。

创新点

过滤技术: 使用过滤技术解决具有有趣参数的LWE样量子状态问题。
多项式时间算法: 提供了已知变体问题的首个多项式时间量子算法，这些变体问题之前没有已知的经典或量子多项式时间算法。
量子态构造: 提出了一种新的方法来构造和解决与LWE相关的量子态问题。

主要贡献

SIS问题的量子算法: 提供了一种新的量子算法，用于解决具有非常宽的公开矩阵和大模数的SIS问题变体。
LWE问题的量子算法: 针对具有特定误差分布的LWE问题，提出了一种有效的量子算法。
EDCP问题的量子算法扩展: 对EDCP问题的量子算法进行了扩展，稍微扩展了Ivanyos等人（2018年）的结果。

结果

算法效率: 展示了针对特定参数设置的SIS、LWE和EDCP问题的多项式时间量子算法。
理论证明: 提供了算法的正确性证明，并通过理论分析展示了算法的效率。
量子计算与密码学联系: 强调了量子计算在解决密码学问题中的潜力，尤其是在处理LWE问题上。
这篇文章在量子计算和密码学领域做出了重要贡献，特别是在解决平均情况格基问题变体方面取得了显著进展。通过开发新的量子算法和利用过滤技术，文章不仅推动了量子算法的研究，也为密码学中的问题提供了新的解决途径。

74. Orientations and the supersingular endomorphism ring problem,

Benjamin Wesolowski,

问题与挑战

端点环问题: 文章研究了超奇异椭圆曲线的端点环问题(EndRing)，这是一个在同源密码学中具有基础重要性的计算问题，其难度被假定为必要条件，用于保障几乎所有基于同源的密码系统的安全性。
类群作用问题: 研究了类群在定向超奇异曲线上的作用，以及如何反转这些作用，这与密码系统中的安全性紧密相关。

主要工作

问题关联性证明: 证明了端点环问题与类群作用问题之间通过多项式时间归约紧密相关，假设广义黎曼猜想(GRH)成立。
问题等价性识别: 确定了两个本质上等价的问题类别，其中一个与定向曲线的端点环计算问题相关，另一个与可定向曲线的端点环计算问题相关。

创新点

多项式时间归约: 提供了多项式时间归约的方法，这在之前的研究中被认为是不太可能的。
O-Twists引入: 引入了O-Twists的概念，这是一种类似于二次扭曲的泛化，用于扩展某些技术。

主要贡献

安全性等价性证明: 证明了CSIDH密码系统的安全性实际上等同于端点环问题，这是通过多项式时间归约得到的，绕过了之前认为这种归约不太可能的论证。
量子算法改进: 对于某些密码系统，如CSIDH，提出了量子算法的改进，这些算法在次指数时间内运行。

结果

归约总结: 文章总结了在特定条件下，不同问题之间的归约关系，如图1所示，包括概率多项式时间归约和量子多项式时间归约。
安全性分析: 对CSIDH和其他基于同源的密码系统的安全性进行了分析，指出了它们与端点环问题的等价性。
算法效率: 提供了解决端点环问题和类群作用问题的一些已知或简单算法的效率分析，包括启发式算法和量子算法。

75. Watermarking PRFs against Quantum Adversaries,

Ryo Nishimaki, Fuyuki Kitagawa,

问题与挑战

量子对手的软件水印问题：文章探讨了在量子对手的威胁下，如何保护软件不被非法复制或篡改的问题。量子对手可以通过生成量子态作为盗版软件，这使得从量子盗版软件中提取嵌入的消息变得困难，因为测量可能会不可逆地改变量子态。
现有水印PRFs的安全性：尽管现有的水印伪随机函数（PRFs）可能使用量子安全的构建块，但它们是否能够抵抗量子对手的攻击仍然不清晰，需要全新的技术来实现量子对手下的软件水印。

主要工作

定义量子对手下的安全水印PRFs：文章提出了量子对手下不可移除性（unremovability）的定义，并构建了相应的安全模型。
构建量子对手下的水印PRFs：文章提出了两种水印PRFs的构造方法，一种是私有提取的，另一种是公开提取的，两者均能抵抗量子对手的攻击。

创新点

量子提取技术：开发了一种量子提取技术，能够在不过多破坏量子态的情况下从量子态中提取信息。
无提取水印PRFs的概念：引入了无需提取（extraction-less）水印PRFs的概念，这是一种通过结合量子提取技术实现上述结果的关键构建块。

主要贡献

定义了量子对手下的安全水印PRFs：为量子对手情形下的安全水印PRFs提供了明确的定义和安全模型。
提出了两种水印PRFs的实现方法：提供了两种不同的水印PRFs实现方案，一种是依赖于量子困难问题的学习误差（LWE）问题的私有提取方法，另一种是结合了不可区分性混淆（IO）和LWE问题的公开提取方法。

结果

实现了量子安全的软件水印：文章成功实现了能够抵抗量子对手攻击的软件水印技术，这在量子计算快速发展的背景下具有重要意义。
扩展了水印技术的应用范围：通过将水印技术与量子密码学结合，文章扩展了水印技术在量子密码学中的应用，例如安全软件租赁方案。

76. Practical Post-Quantum Signature Schemes from Isomorphism Problems of Trilinear Forms,

Willy Susilo, Antoine Joux, Thomas Plantard, Youming Qiao, Thai Duong, Gang Tang,

文章提出了一种基于三线性形式等价问题（ATFE）的实用签名方案，并探讨了其在后量子密码学中的潜在应用。

问题与挑战

后量子密码学需求: 随着量子计算的发展，设计能够抵抗量子攻击的密码学方案变得迫切。
现有签名方案的局限性: 传统的基于图同构的零知识证明方案（如GMW方案）在实践中存在安全隐患。

主要工作

提出基于ATFE的签名方案: 该方案受到Goldreich-Micali-Wigderson零知识协议的启发，并适应了三线性形式的等价问题。
安全性理论支持: 提供了ATFE在密码学中的安全性理论证据，特别是在后量子密码学背景下。

创新点

ATFE问题的应用: 首次将ATFE问题用于构建后量子密码学中的实用签名方案。
理论到实践的转换: 将理论密码学中的难题转化为实际可用的密码学工具。

主要贡献

ATFE问题的复杂性分析: 研究了ATFE问题的难度，并提供了密码学应用的理论基础。
后量子签名方案的构建: 提出了一种基于ATFE问题的签名方案，并在随机预言模型（ROM）中证明了其安全性。
量子随机预言模型（QROM）中的安全性讨论: 提供了在QROM中证明方案安全性的初步证据。
算法研究与参数选择: 基于对CFI、QFMI和pGpI算法的研究，提出了设置参数的标准以实现固定安全级别。

结果

原型实现: 实现了一个原型，并在常见的笔记本电脑上展示了其性能。
性能报告: 提供了具体方案的公钥大小、签名大小和运行时间的详细数据。
与NIST第三轮候选方案的比较: 与其他后量子签名方案进行了比较，显示出在关键尺寸和运行时间方面的竞争力。
文章还讨论了与多变量密码学、基于群作用的密码学和其他研究领域的联系，并指出了未来工作的方向，包括进一步优化实现和探索ATFE问题的更多算法细节。作者相信，他们提出的数字签名方案具有实用性，并可以作为后量子签名的替代候选方案。

77. Anonymous, Robust Post-Quantum Public Key Encryption,

Kenneth G. Paterson, Paul Grubbs, Varun Maram,

问题与挑战

后量子匿名性和健壮性: NIST PQC竞赛主要关注IND-CCA安全性，但其他应用要求公钥加密(PKE)方案提供匿名性和健壮性，例如匿名加密货币、可搜索加密和拍卖协议。目前对于如何构建提供这些安全属性的后量子PKE方案知之甚少。
NIST PQC候选方案的匿名性和健壮性: 目前尚不清楚NIST PQC候选方案在匿名性和健壮性方面的表现如何。

主要工作

系统性研究: 对后量子PKE方案的匿名性和健壮性进行了系统性研究。
隐式拒绝的识别: 识别了大多数后量子密钥封装机制(KEM)共有的隐式拒绝设计选择，并展示了它如何使得先前关于KEM-DEM PKE的匿名性和健壮性结果不再适用。

创新点

FO变换的分析: 分析了Fujisaki-Okamoto(FO)变换如何将基础PKE的健壮性和匿名性提升到后量子PKE方案中。
NIST候选方案的分析: 对NIST PQC竞赛中的三个KEM决赛选手Saber、Kyber和Classic McEliece以及一个备选方案FrodoKEM的匿名性和健壮性进行了研究。

主要贡献

理论结果: 提供了关于隐式拒绝KEM的匿名性和健壮性的理论结果，并对FO变换进行了深入分析。
安全性分析: 对Saber、Kyber、Classic McEliece和FrodoKEM的安全性进行了分析，为Saber、Kyber和FrodoKEM提供了积极的健壮性结果，但对Classic McEliece给出了消极结果。

结果

Classic McEliece的局限性: 发现Classic McEliece的KEM-DEM PKE方案不具有强健壮性，对于任何消息m，可以构造单一的混合密文c，在任何Classic McEliece私钥下解密得到选定的m。
Saber和Kyber的匿名性问题: 确定了证明Saber、Kyber匿名性的障碍，并发现这些障碍导致了它们IND-CCA安全性声明的问题。与Saber和Kyber团队合作修复了这些问题，但它们仍未解决。
FrodoKEM的匿名性证明: 证明了FrodoKEM以及由D’Anvers等人引入的一种Saber变体的匿名性，并在分析中发现了它们的IND-CCA安全声明中的技术缺陷，但成功修复了它们。

78. Anonymity of NIST PQC Round 3 KEMs,

Keita Xagawa,

问题与挑战

NIST PQC Round 3 KEMs 的匿名性：研究所有NIST PQC第三轮KEM候选方案的匿名性，包括Classic McEliece、Kyber、NTRU、Saber、BIKE、FrodoKEM、HQC、NTRU Prime和SIKE。
量子随机预言模型（QROM）下的安全性：在QROM下，现有KEMs的匿名性和健壮性尚未完全解决，特别是Kyber和Saber在IND-CCA安全性证明中存在缺陷。

主要工作

NIST PQC Round 3 KEMs 安全性分析：对所有第三轮KEM候选方案进行匿名性和健壮性分析。
强伪随机性和平滑性/稀疏性研究：研究KEM的强伪随机性，并引入平滑性和稀疏性的概念，以帮助证明混合PKE的匿名性。

创新点

强伪随机性的新定义：提出了强伪随机性的概念，并证明了如果底层PKE具有强联合可模拟性，则KEM具有强伪随机性。
平滑性和稀疏性的定义：定义了KEM的平滑性和稀疏性，这些属性有助于证明混合PKE的匿名性。

主要贡献

匿名性和健壮性的结果：展示了NTRU、BIKE、FrodoKEM、HQC、NTRU LPRime和SIKE在QROM下是匿名和健壮的。
解决开放问题：回答了Grubbs, Maram和Paterson在EUROCRYPT 2022上提出的关于NIST PQC Round 3 KEMs匿名性和健壮性的开放问题。

结果

Classic McEliece的匿名性：证明了如果底层PKE具有强联合可模拟性，则Classic McEliece在QROM下是匿名的。
NTRU的匿名性和健壮性：证明了NTRU在QROM下是匿名和防碰撞的，并且由NTRU作为KEM和适当DEM构成的混合PKE方案是匿名和健壮的。
技术障碍的发现：发现了Streamlined NTRU Prime在QROM下IND-CCA安全性证明的另一个技术障碍。
开放问题：将Kyber、Saber和Streamlined NTRU Prime在QROM下的匿名性和IND-CCA安全性证明作为重要的开放问题。

79. On IND-qCCA security in the ROM and its applications: CPA security is sufficient for TLS 1.3,

Serge Vaudenay, Loïs Huguenin-Dumittan,

问题与挑战

TLS 1.3 安全性: TLS 1.3 标准形式仅支持传统的 Diffie-Hellman (DH) 密钥交换，面对量子计算机攻击时可能变得不安全。
后量子密码学集成: 随着 NIST 后量子公钥密码学标准化进程的推进，如何将这些新方案集成到现有协议中成为一个热门话题。

主要工作

IND-qCCA 安全性研究: 研究了一种类似于传统 IND-CCA 安全性的新概念，限制了对手在解密/解封装查询的次数。
高效转换方法: 提出了一种从被动安全 PKE 到 IND-qCCA KEM 的高效转换方法，无需 Fujisaki-Okamoto (FO) 转换中的重新加密或随机化步骤。

创新点

简化的转换方法: 提供了一种简化的方法来获得 IND-1CCA KEM，该方法比现有的 FO 转换更高效。
TLS 1.3 握手安全性证明: 使用相似的证明技术，展示了 TLS 1.3 握手的安全性可以基于 CPA 安全的 KEM，解决了 ROM 中的开放问题。

主要贡献

IND-qCCA KEM 构建: 展示了如何从 OW-CPA PKE 在 ROM 中构建有效的 IND-qCCA KEM。
TLS 1.3 安全性证明: 证明了 CPA 安全的 KEM 足以保证 TLS 1.3 握手的安全性，这意味着原始的 PRF-ODH 假设不是必要的。

结果

KEMTLS 协议改进: 证明了 IND-1CCA KEM 可用于 KEMTLS 协议，提高了效率并减少了客户端的计算负担。
TLS 1.3 握手安全性: 证明了使用 CPA 安全的 KEM，TLS 1.3 握手在 ROM 中是安全的，解决了之前基于 PRF-ODH 假设的局限性。
量子随机预言模型 (QROM) 中的安全性: 证明了 TCH 转换在 QROM 中也是安全的。

影响

KEMTLS 和 TLS 1.3 握手: 提供了一种更高效的密钥封装机制，可以减少客户端的延迟和计算成本。
量子抗性: 展示了在量子抗性协议中，如何利用 CPA 安全的 KEM 来构建安全的握手协议。
安全协议设计: 为设计具有前向安全性的通信协议和棘轮原语提供了新的见解和方法。

80. McEliece needs a Break – Solving McEliece-1284 and Quasi-Cyclic-2918 with Modern ISD,

Alexander May, Andre Esser, Floyd Zweydinger,

问题与挑战

文章面临的主要问题是在后量子算法时代，为基于代码的密码学（如McEliece和准循环方案BIKE/HQC）提供精确的比特安全估计变得日益重要。尽管过去十年在信息集解码（ISD）算法上取得了显著进展，但目前尚不清楚这些进展在多大程度上影响了当前的密码学安全估计。

主要工作

实现了基于表示的ISD算法（如MMT和BJMM）的首次具体实现，这些实现针对McEliece和准循环设置进行了参数优化。
展示了这些算法在对中等大小实例（约60位）进行实际密码分析时，相较于传统的ISD算法，如Prange算法，能够带来显著的速度提升。
提供了McEliece-1284和准循环设置下长达2918的代码长度的记录计算数据。

创新点

提出了一种新的解码技巧，称为“Parity Bit Trick”，在已知错误向量权重的情况下，通过增加信息集的大小来加速ISD算法。
在准循环设置中，提出了一种改进的Decoding-One-Out-of-Many (DOOM) 技术，用于MMT/BJMM算法，实现了比传统DOOM技术更大的加速效果。

主要贡献

提供了一种快速的枚举主导型ISD实现，该实现在密码学重量范围内表现优于其他现有的（第一代）枚举主导型ISD算法实现。
通过实际密码分析中等大小的实例，为密码实例的比特安全水平提供了稳定数据点，从而更可靠地推断出高安全级别的密码参数。
对于McEliece和BIKE/HQC的提议参数，基于记录计算和广泛的基准测试，进行了比特安全级别的外推估计。

结果

基于记录计算，文章对外推的McEliece第三轮192位和两个256位参数集的安全性水平进行了评估，发现这些实例的安全性可能被高估了大约20位和10位。
对于BIKE/HQC，文章的估计确认了提议的第三轮实例的比特安全级别相当准确。
实验结果表明，内存访问成本在计算比特安全性时必须被考虑，但其成本可能比建议的要低。

信息理论安全

81. Online-Extractability in the Quantum Random-Oracle Model,

Serge Fehr, Christian Schaffner, Christian Majenz, Jelle Don,

问题与挑战

文章主要探讨了量子随机预言模型（Quantum Random-Oracle Model, QROM）中在线可提取性（online extractability）的问题。在量子计算环境下，如何有效从量子查询算法中提取特定信息，同时保证算法的安全性和效率，是文章所面临的主要挑战。

主要工作

提出了一种通用的在线提取结果，表明在量子随机预言模型中，如果量子查询算法输出的古典值与某些x的哈希值有紧密关系，则可以高效地几乎确定性地提取出x。
展示了通过模拟随机预言并进行在线提取的方法，该方法在不干扰协议执行的情况下，实时地提取信息。
证明了量子随机预言模型中，特定量子查询算法的在线可提取性，这涉及到一个新类型的量子压缩预言技术。

创新点

提出了一种新的量子压缩预言技术，允许在量子级别上模拟随机预言，并提供了一个提取接口，可以在算法执行过程中实时提取信息。
开发了一种新的算子范数界限（commutator bound），用于界定量子压缩预言中演化单元算符和提取测量的交换子的算子范数。
展示了两个具体应用：一是量子设置中紧的在线可提取性的承诺和打开Σ-协议（commit-and-open Σ-protocols）；二是提供了教科书级别的Fujisaki-Okamoto变换的首个完整的量子安全性证明，包括具体的安全界限。

主要贡献

提供了一种在量子随机预言模型下，对量子查询算法进行在线提取的通用方法，并通过技术核心的新型算子范数界限来保证其有效性。
证明了量子环境下Σ-协议的在线可提取性，减少了与重绕（rewinding）技术相比的安全损失。
为Fujisaki-Okamoto变换提供了一个完整的量子安全性证明，证明了该变换在量子攻击者面前的安全性，而无需对原始变换进行调整。

结果

成功展示了在量子随机预言模型中，对于特定的量子查询算法，可以在不重绕的情况下，高效地在线提取出关键信息。
证明了量子压缩预言技术在模拟量子随机预言方面的有效性，并通过新型的算子范数界限增强了提取过程的安全性。
在量子安全性证明方面，为Fujisaki-Okamoto变换提供了新的视角和方法，证明了其在量子计算环境下的安全性，为量子安全加密算法的设计和分析提供了重要参考。

82. Constant-round Blind Classical Verification of Quantum Sampling,

Kai-Min Chung, Han-Hsuan Lin, Yi Lee, Xiaodi Wu,

问题与挑战

量子计算的验证问题：量子计算机拥有超越传统计算机的潜力，但其计算过程能否被经典计算机有效验证是一个主要问题。
量子采样问题的复杂性：量子采样问题（SampBQP）由于量子力学的内在随机性，增加了验证的难度。
盲性（Blindness）的需求：在量子计算的委托过程中，需要保证计算的盲性，即量子证明者不能获取关于客户端输入的信息。

主要工作

CVQC协议的扩展：作者探索了经典验证量子计算（CVQC）协议在更一般的量子采样问题上的可行性。
盲性CVQC协议的构建：研究了如何构建具有盲性属性的CVQC协议，这对于量子计算的委托尤为重要。

创新点

常数轮CVQC协议：提出了一个基于量子学习误差（LWE）假设的四轮CVQC协议，用于解决SampBQP问题。
通用编译器：开发了一个通用编译器，能够将任何CVQC协议转换为具有盲性的协议，同时保持其完整性和声音性错误以及轮数。

主要贡献

SampBQP问题的CVQC协议：提出了首个针对SampBQP问题的CVQC协议，允许经典客户端通过与不信任的量子证明者交互来学习量子电路输出的样本。
盲性CVQC协议的实现：实现了首个常数轮的盲性CVQC协议，对BQP和SampBQP均适用，具有可忽略的完整性错误和计算声音性。

结果

有效性证明：证明了所提出的CVQC协议在量子LWE（QLWE）假设下的有效性，具有计算声音性和可忽略的完整性错误。
盲性协议的实现：展示了如何通过使用量子全同态加密（QFHE）方案实现盲性，同时保持了协议的轮数复杂度。
文章通过提出新的协议和编译器，为量子计算的委托和验证问题提供了新的解决方案，特别是在保证盲性的同时，还能保持计算效率和协议的安全性。

83. Authentication in the Bounded Storage Model,

Yevgeniy Dodis, Daniel Wichs, Willy Quach,

问题与挑战

Bounded Storage Model (BSM): 文章考虑了有界存储模型（BSM）的流式变体，这是一个挑战性的场景，其中诚实方可以相互传输大量数据，但仅保持大小为n的小内存，而对手则拥有远大于n的内存m。
无条件安全密码学方案: 在BSM中构建无条件安全的密码学方案是一个核心问题，先前的工作已经针对对称密钥加密、密钥协商、盲传输和多方计算提出了解决方案。
消息认证和签名: 文章面临的主要挑战是在BSM中实现消息认证和签名，这要求即使在对手拥有较大内存的情况下，也能确保数据的安全性和完整性。

主要工作

对称密钥认证: 文章首先研究了对称密钥设置下的消息认证问题，提出了一个方案，允许Alice和Bob使用一个小的秘密密钥来认证任意多的消息。
小标签认证: 进一步，文章提出了一个解决方案，要求每个单独的标签都很小，即使对手的内存是m = O(n^2)，这也是最优的。
公钥签名: 文章还考虑了公钥签名设置，提出了一个方案，允许Alice通过流式传输一个大的签名密钥来初始化，同时只保留一个短的签名密钥在她的记忆中。

创新点

局部提取器的应用: 文章利用局部提取器来允许在对手拥有指数级大内存的情况下，生成和验证大的认证标签，同时只使用n比特的内存。
空间下界: 利用学习奇偶性的空间下界，提出了即使对手内存较大，也能保持认证标签小的方案。
新的熵引理: 提出了一个新颖的熵引理，用于证明如果一个数据块序列具有足够高的最小熵，则大部分单独的数据块也必须具有高最小熵。

主要贡献

流式MAC方案: 提出了一种流式消息认证码（MAC）方案，它可以在对手拥有较大内存的情况下，使用小的内存来生成和验证消息的认证标签。
短标签MAC: 提出了一种即使在对手内存较大的情况下也能保持标签小的MAC方案，这在资源受限的环境中非常有用。
公钥签名方案: 提出了一种公钥签名方案，允许在BSM中进行有效的签名和验证，即使在对手拥有较大内存的情况下。

结果

安全性证明: 文章为提出的方案提供了严格的安全性证明，展示了它们在面对具有不同内存大小的对手时的鲁棒性。
最优性展示: 对于提出的公钥签名方案，文章展示了其在对手内存m = O(n^2)时的最优性。
实际应用潜力: 这些方案为在资源受限的环境中实现安全通信提供了新的可能性，尤其是在物联网（IoT）设备和边缘计算场景中。

84. Secure Non-interactive Simulation: Feasibility & Rate,

Hemanta K. Maji, Hai H. Nguyen, Hamidreza Amini Khorasgani,

问题与挑战

安全多方计算的效率问题：传统的多方计算（MPC）协议在离线阶段需要进行大量的密码学和计算密集型操作，这导致效率不高。
密码学与计算资源的密集使用：MPC协议的离线阶段依赖公钥密码学来生成高度结构化的关联随机性样本，这增加了计算和通信的负担。
关联随机性的转换问题：如何将容易生成的关联随机性（如噪声源的联合样本）非交互式且安全地转换成对安全计算协议有用的相关性，同时保持较低的计算开销。

主要工作

安全非交互式模拟（SNIS）的概念引入：提出了一种新的密码学原语，允许各方接收关联随机性的样本，并在没有交互的情况下安全地将它们转换成另一种关联随机性的样本。
SNIS的可行性与效率研究：对SNIS的可行性和效率进行了初步研究，探讨了其在不同应用场景下的潜力和限制。
SNIS的安全性定义：提出了基于模拟的SNIS安全性定义，为后续的分析和研究奠定了基础。

创新点

SNIS的代数化定义：通过代数化SNIS的定义，使得安全性分析更加严谨和方便。
傅里叶分析的应用：利用傅里叶分析的方法来研究SNIS，这是一种新颖的技术手段。
统计安全性到完美安全性的转换：提出了一种强形式的统计到完美安全性转换方法，即使用错误校正技术将统计安全的SNIS转换为完美安全的SNIS。

主要贡献

SNIS的一般性分析方法：开发了一套通用的分析方法，这些方法明确地结合了密码学安全约束。
与同源布尔函数和距离不变码的联系：研究揭示了SNIS与同源布尔函数和距离不变码之间的新联系，这可能具有独立的兴趣。
SNIS的实现与效率分析：证明了SNIS构造必须是线性的，并分析了在特定条件下SNIS的模拟率。

结果

BSS与BES样本间的转换不可能性：证明了在某些条件下，二元对称源（BSS）和二元擦除源（BES）样本之间的SNIS转换是不可能的。
BES样本的SNIS可行性条件：确定了从BES(ε)到BES(ε’)的SNIS是可行的，当且仅当(1-ε’) = (1-ε)^k，对于某些k属于自然数。
BSS样本的SNIS可行性与效率：证明了从BSS(ε)到BSS(ε’)的SNIS是可行的，当且仅当(1-2ε’) = (1-2ε)^k，对于某些k属于自然数，并分析了实现这一转换的效率。

85. Secure Non-Interactive Reduction and Spectral Analysis of Correlations,

Manoj Prabhakaran, Vinod M. Prabhakaran, Varun Narayanan, Pratyush Agarwal, Shreya Pathak, Mohammad Ali Rehan,

问题与挑战

信息论安全密码学中的复杂性问题：在信息论安全密码学中，相关随机变量对的安全性降低问题已被研究，但证明密码学复杂性的下界是一个难题，因为它与电路复杂性和局部可解码代码的效率有关。
密码学复杂性与电路复杂性：密码学复杂性与电路复杂性紧密相关，但目前对于某些函数是否存在超线性密码学复杂性仍未解决。
非交互式安全性降低的模型简化：为了简化问题，研究者考虑了安全非交互式降低（SNIR）的模型，但这种模型在没有通信的情况下无法计算非平凡函数。

主要工作

SNIR的谱分析工具包：开发了一套用于（统计上）安全非交互式降低（SNIR）的谱分析工具包。
谱分析与线性代数属性的关联：揭示了SNIR与相关性的线性代数属性之间的惊人联系，特别是定义了相关性的谱，并展示了目标相关性具有SNIR到源相关性的条件。
镜像引理：建立了一个镜像引理，展示了在谱分析视角下，SNIR中两方之间出人意料的对称性。

创新点

谱分析方法：使用谱分析方法来研究SNIR，这是一种新颖的方法，可以揭示SNIR的线性代数结构。
SNIR的对称性发现：通过镜像引理，发现了SNIR中的对称性，这在以往的研究中未被注意到。
共同随机性和局部随机性的角色：使用密码学洞察和基本的线性代数分析来完全描述SNIR中共同随机性和局部随机性的作用。

主要贡献

SNIR的谱分析：提供了一种新的视角来分析SNIR，通过谱分析来解决SNIR的基本问题。
相关性的谱的定义：定义了相关性的谱，并证明了谱在SNIR中的重要性。
SNIR的完备性问题：证明了在SNIR模型中不存在完备的相关性，即没有有限的相关性可以使得每个目标相关性都有统计SNIR到它。

结果

SNIR的谱准则：证明了如果一个非冗余的相关性D有统计SNIR到C，则存在ℓ ∈ N使得ΛD ⊆ ΛC⊗ℓ。
镜像引理：证明了在统计安全SNIR中，如果D有ϵ-SNIR到C，那么存在一个与ϵ相关的误差项OD(√ϵ)/α²，其中α表示ΛC中可以接近ΛD中元素的最小差距。
共同信息对SNIR的影响：证明了对于没有共同信息的相关性D，如果它有统计SNIR到Cw ⊗ C0，那么D也有统计SNIR到C0，表明共同随机性在SNIR中并不提供帮助。
特定相关性类之间的SNIR：对二元对称相关性（BSC）和二元擦除相关性（BEC）的SNIR进行了完全的描述，并为有限域上的OLE相关性提供了SNIR的必要条件。

打工小熊猫

关注

10
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
欧密2022文章分类总结（EUROCRYPT 2022）

在量子计算的背景下，现有的密码学原语，包括不可篡改承诺，需要重新评估和设计，以确保它们能够抵抗量子算法的攻击。不可篡改承诺是一种密码学原语，它允许发送方对某个值进行承诺，在之后的某个时刻可以公开该值，但在承诺期间，该值是隐藏的，且不能被篡改。现有的同态加密方案，如CKKS加密方案，虽然在效率上有所提升，但仍面临计算和内存过载的问题，尤其是在处理大量数据加密时。在量子计算环境下，如何有效从量子查询算法中提取特定信息，同时保证算法的安全性和效率，是文章所面临的主要挑战。
复制链接

扫一扫

专栏目录