1、"I Had Sort of a Sense that I Was Always Being Watched...Since I
Was": Examining Interpersonal Discomfort From Continuous Location-Sharing Applications
持续位置共享(CLS)应用程序广泛用于安全和社会便利。然而,这些应用程序存在隐私问题,可能被用于控制和伤害。为了了解用户的顾虑,我们进行了迄今为止规模最大的CLS应用用户研究,3000名用户中有1500名表示使用CLS应用,其中896名用户完成了调查问卷。基于调查反馈,我们对有不适经历的参与者进行了23次访谈。通过这些访谈,我们进行了以社会学理论为基础的主题分析,结合了权力动态和社会交换理论。我们观察到,CLS应用用户所面临的不适主要与三个相互关联的类别有关:(1)越界行为,(2)持续不适,以及(3)影响生活方式的行为。基于这些基础理解,我们建议了一些旨在减少CLS应用所造成的关系不平衡的功能。我们的研究结果表明,CLS应用导致了人际间的不适,突显出设计变革的必要性。
论文链接:https://doi.org/10.1145/3658644.3690342
2、A Framework for Differential Privacy Against Timing Attacks
差分隐私(DP)的标准定义确保了机制在相邻数据集上的输出分布是不可区分的。然而,差分隐私的现实世界实现可以并且通常会通过其运行时分布泄露信息,使其容易受到时间攻击。在本工作中,我们建立了一个在存在时间侧信道的情况下确保差分隐私的通用框架。我们定义了一种新的时间隐私概念,它涵盖了对观察程序运行时和输出的对手仍保持差分隐私的程序。我们的框架允许将时间稳定的组件程序串联在一起,然后加上随机延迟,以获得实现时间隐私的差分隐私程序。重要的是,我们的定义允许使用不同的隐私措施来测量时间隐私和输出隐私。我们通过给出在RAM和字RAM计算模型中标准差分隐私计算的程序来说明如何实例化我们的框架。此外,我们还展示了如何通过对OpenDP编程框架的自然扩展在代码中实现我们的框架。
论文链接:https://doi.org/10.1145/3658644.3690206
3、A Succinct Range Proof for Polynomial-based Vector Commitment
范围证明作为一种协议,使证明者能够向验证者证明一个承诺的数字位于指定范围内,例如 [0,2^n),而无需透露实际值。范围证明在各个领域得到了广泛应用。然而,当面临包含多个元素的批量证明时,许多现有方案的效率显著下降。为了提高可扩展性和效率,我们提出了 MissileProof,这是一种向量范围证明方案,证明承诺向量中的每个元素都位于 [0,2^n) 范围内。我们首先将这个论证简化为双一元和检查问题和双变量多项式零测试问题。然后,基于一元和检查 PIOP 的思想,我们设计了一种双到一元和检查 PIOP。通过引入随机多项式,我们利用一元多项式零测试和一元多项式和检查 PIOP 构建双变量多项式零测试。最后,结合向量范围证明的 PIOP、基于 KZG 的多项式承诺方案和 Fiat-Shamir 转换,我们得到了一个零知识简洁非交互式向量范围证明。与现有方案相比,我们的方案在证明大小 (O(1))、承诺长度 (O(1)) 和验证时间 (O(1)) 上达到了最优,虽然在证明时间(在素数域上进行 O(log l ⋅ n log n) 次 FFT 操作和 O(ln) 次 G 组指数运算)上有所牺牲。此外,我们基于 MissileProof 实现了一种反洗钱的无状态区块链,验证智能合约的气体消耗减少了 85%。
论文链接:https://doi.org/10.1145/3658644.3670324
4、uMMU: Securing Data Confidentiality with Unobservable Memory Subsystem
确保计算系统内存层次中的数据机密性被证明是一个艰巨的挑战,因为攻击面非常广泛。各种强大的攻击威胁着数据机密性。由于不安全的编程语言,内存安全 notoriously 难以实现,从而使对手能够进行未经授权的内存访问,这一点在 HeartBleed 事件中得到了体现。最近,微架构侧信道攻击成为威胁数据机密性的普遍问题,影响到包括在受保护的可信执行环境(TEE)内执行的程序。在本文中,我们介绍了一种称为 uMMU 的进程内内存子系统。uMMU 一致地融合了将处理器寄存器作为不可观察存储的概念,与数据机密性保护技术如内存加密和保持隐私的随机存取存储器(Oblivious RAM)相结合。uMMU 创建了一个名为 uVirtual 地址空间的新地址空间,该空间对对手不可观察。在 uMMU 创建的抽象下,处理器的宽大扩展寄存器,如 Intel x86 的 AVX512,被转化为不可观察且可寻址的物理内存支持。补全虚拟内存抽象原理的是内存管理,它维护一个应用了内存机密性策略(如加密或 ORAM)的安全交换空间。uMMU 是一个多用途且强大的框架,可以承载敏感数据上的数据机密性策略。我们的现实世界评估表明,uMMU 显著提高了使用加密和 ORAM 方案保护敏感数据的程序性能:MbedTLS 中基于加密的敏感数据保护平均提高了 69.93%,而 Memcached 的哈希表中基于 ORAM 消除访问模式的性能提升达到了 497.84%。
论文链接:https://doi.org/10.1145/3658644.3690340
5、zkLLM: Zero Knowledge Proofs for Large Language Models
近期,人工智能(AI)的迅猛发展,特别是大型语言模型(LLMs)的崭露头角,正在全球范围内引发根本性的变革。然而,伴随着这些进展,围绕LLMs的合法性问题也日益引发关注,这给它们的广泛应用带来了法律挑战。此外,LLMs的参数常常被视为知识产权,从而限制了直接调查的可能性。在本研究中,我们聚焦于AI立法领域的一个根本性挑战:确立由LLMs生成的输出的真实性。为了解决这一问题,我们提出了zkLLM,这是我们所知的首个专门为LLMs量身定制的零知识证明。针对深度学习中非算术操作的持续挑战,我们引入了tlookup,一种针对深度学习中非算术张量操作的并行查找论证,提供了一种不具有渐进行政开销的解决方案。此外,基于tlookup的基础,我们推出了zkAttn,一种专为注意力机制设计的零知识证明,谨慎平衡了运行时间、内存使用和准确性等考虑因素。得益于我们完全并行化的CUDA实现,zkLLM成为在LLMs上实现高效零知识可验证计算的重要进展。值得注意的是,对于拥有130亿参数的LLMs,我们的方法使整个推理过程生成正确性证明的时间不超过15分钟。最终生成的证明压缩至不足200 kB,旨在维护模型参数的隐私,确保不会意外泄露信息。
论文链接:https://doi.org/10.1145/3658644.3670334
6、zkLogin: Privacy-Preserving Blockchain Authentication with Existing Credentials
对于许多用户来说,基于私钥的钱包是他们进入区块链的主要入口。常用的钱包认证方法,例如助记符或硬件钱包,可能会显得繁琐。这种用户注册的困难显著阻碍了区块链应用程序的普及。我们开发了zkLogin,这是一种新颖的技术,它利用由流行平台(如任何启用OpenID Connect的平台,例如谷歌、脸书等)发行的身份令牌来验证交易。zkLogin的核心是一个签名方案,允许签名者仅使用他们现有的OpenID账户进行签名,除此之外无需其他内容。这显著改善了用户体验,因为用户不需要记住一个新的秘密,可以重用他们现有的账户。
zkLogin提供强大的安全性和隐私保证。与之前的工作不同,zkLogin的安全性完全依赖于基础平台的认证机制,而不需要任何其他受信任方(例如,受信任的硬件或预言机)。正如名字所示,zkLogin利用零知识证明(ZKP)确保用户的链下身份和链上身份之间的敏感链接是隐藏的,甚至对平台本身也是不可见的。
zkLogin在区块链之外启用了一些重要的应用。它使数十亿用户能够利用他们现有的数字身份(例如,电子邮件地址)生成可验证的数字内容。例如,记者可以使用zkLogin用他们的电子邮件地址对新闻文章进行签名,使任何一方都能验证文章的作者身份。
我们已经在Sui区块链上实现并部署了zkLogin,作为传统数字签名地址的一个额外替代方案。由于只需通过社交登录就可以轻松进行Web3注册,已经在游戏、DeFi、直接支付、NFT收藏、赛车、文化遗产等多个行业生成了数十万个zkLogin账户。
论文链接:https://doi.org/10.1145/3658644.3690356
7、zkPi: Proving Lean Theorems in Zero-Knowledge
交互式定理证明器(ITP),如 Lean 和 Coq,可以为从抽象数学到软件正确性的大类定理表达形式化证明。假设 Alice 拥有某个公开声明 T 的 Lean 证明,她希望在不泄露实际证明的情况下,让大家相信她确实有这个证明。也许这个证明表明一个秘密程序是正确或安全的,但证明本身可能会泄露程序源代码的信息。Alice 可以用一种简洁、零知识、非交互式的知识论证(zkSNARK)来证明她拥有声明 T 的 Lean 证明。
在这项工作中,我们构建了 zkPi,这是第一个用于 Lean 表达的证明的 zkSNARK。通过 zkPi,证明者可以在几乎不透露其他信息的情况下,让验证者相信一个 Lean 定理是真实的。核心问题是为依赖类型构建一个高效的 zkSNARK。我们在两个核心 Lean 库:stdlib 和 mathlib 中对 zkPi 进行了评估。zkPi 成功证明了 stdlib 中 57.9% 的定理,以及 mathlib 中 14.1% 的定理,每个定理在 4.5 分钟内完成。生成的 zkPi 证明足够简短,以至于费马可以把它写在他著名的笔记本边缘。
交互式定理证明器(ITP)几乎可以表达所有形式的系统推理。因此,实现的 ITP 定理 zkSNARK 将实际零知识的接口从现状推广到了电路可满足性和程序执行之外。
论文链接:https://doi.org/10.1145/3658644.3670322
8、AITIA: Efficient Secure Computation of Bivariate Causal Discovery
研究人员在多个领域寻求理解因果关系,但常常发现控制实验不切实际。为了解决这一问题,从自然观察数据中发现因果关系的统计工具变得至关重要。非线性回归模型,例如高斯过程回归,通常用于因果推断,但在安全计算中适应时存在高成本的限制。支持向量回归(SVR)提供了另一种选择,但由于条件分支和支持向量更新,在多方计算的背景下仍然成本高昂。在本文中,我们提出了Aitia,这是第一个针对双变量因果发现的两方安全计算协议。该协议基于优化的多方计算设计选择,并在半诚实的环境中是安全的。我们的方法的核心是BSGD-SVR,这是一种针对MPC应用设计的新型非线性回归算法,兼具高准确性以及低计算和通信成本。具体而言,我们将非线性回归模型的训练复杂度从大约O(N³)降低至O(N²),其中N是训练样本的数量。我们使用CrypTen实现了Aitia,并评估其在各种数据集上的性能。经验评估显示,与基线方法相比,速度提升显著,达到3.6倍到340倍。
论文链接:https://doi.org/10.1145/3658644.3670337
9、Accurate and Efficient Recurring Vulnerability Detection for IoT Firmware
物联网固件面临着严重的安全漏洞威胁。作为检测漏洞的重要方法,重复漏洞检测在物联网固件中尚未得到系统性的研究。实际上,现有的方法在两个方面面临重大挑战。首先,固件漏洞通常以文本形式报告,缺乏足够的代码级信息,例如安全补丁。其次,固件镜像以二进制形式发布,这使得已知漏洞的分析和未知漏洞的检测变得相当困难。本文提出了FirmRec,这是首个针对物联网固件的重复漏洞检测方法。FirmRec采用了几种新技术,以实现准确和高效的漏洞检测。首先,它提出了一种新的基于利用的漏洞特征表示方法,用于固件,这种方法不使用语法代码特征,而是沿着动态漏洞利用过程采用语义特征(因此对二进制代码更改更具韧性,并适合于仅包含二进制代码的固件上下文)。其次,对于漏洞报告,它设计了基于符号执行的漏洞特征提取方法,以理解漏洞利用过程并生成基于利用的漏洞特征。第三,基于已知的漏洞特征,它采用了一个两阶段的流程,以准确和高效地检测重复漏洞。在一个包含320个固件镜像的数据集中,FirmRec有效地检测出了642个漏洞。目前已分配了53个CVE。与SaTC、jTrans和Greenhouse相比,FirmRec能够检测到更多的漏洞并且更为准确。我们的研究表明,重复漏洞在物联网固件中相当普遍,但需要新的技术来进行检测。
论文链接:https://doi.org/10.1145/3658644.3670275
10、AirGapAgent: Protecting Privacy-Conscious Conversational Agents
基于大型语言模型(LLM)的对话代理在管理敏感用户数据方面的日益使用引发了重大隐私担忧。虽然这些代理在理解和处理上下文方面表现出色,但这一能力也可能被恶意行为者利用。我们提出了一种新的威胁模型,其中对抗性第三方应用程序操纵交互的上下文,以欺骗基于 LLM 的代理泄露与当前任务无关的私人信息。在情境完整性的框架下,我们引入了 AirGapAgent,这是一种注重隐私的代理,旨在通过限制代理仅访问执行特定任务所需的数据来防止意外数据泄露。我们进行了大量实验,使用 Gemini、GPT 和 Mistral 模型作为代理,验证了我们的方法在减轻这类上下文劫持的有效性,同时保持核心代理功能。例如,我们展示了对 Gemini Ultra 代理进行一次查询的上下文劫持攻击,将其保护用户数据的能力从 94% 降低到 45%,而 AirGapAgent 则实现了 97% 的保护,使得相同的攻击无效。
论文链接:https://doi.org/10.1145/3658644.3690350
11、Alchemy: Data-Free Adversarial Training
机器学习模型已经成为日常生活各个方面不可或缺的一部分,这使得模型更容易受到对抗性攻击。对抗性训练是增强模型鲁棒性最有前景和实用的方法之一。然而,现有的对抗性训练方法假设可以使用原始训练数据。但如今,越来越多的用户直接从开源模型平台或科技公司下载模型,而原始训练数据集通常由于商业利益或隐私原因未被发布。在这种情况下,由于缺乏原始训练数据集,用户无法利用以前的对抗性训练方法来提高模型的鲁棒性。因此,我们提出了第一个无数据对抗性训练框架——Alchemy,该框架旨在无需访问原始训练数据即可增强模型的鲁棒性。通过解决重建具有鲁棒特征的高质量训练数据和改进对不可访问原始数据集的对抗鲁棒性等显著挑战,我们的方法在维持高准确性的同时,实现了鲁棒性的提升。在四个数据集上与五个基线模型进行的全面实验表明,Alchemy的高效性。在没有任何训练数据集的情况下,Alchemy在大多数攻击场景中的平均鲁棒性提升效果显著。额外的评估强调了该框架在不同设置下的稳定性,并讨论了未来的研究方向。
论文链接:https://doi.org/10.1145/3658644.3670395
12、Analyzing Inference Privacy Risks Through Gradients In Machine Learning
在分布式学习环境中,模型通过共享的梯度进行迭代更新,这些梯度是从潜在敏感的用户数据中计算得出的。尽管先前的研究已经探讨了共享梯度的各种隐私风险,本文旨在提供一种系统的方法来分析梯度中的私人信息泄露。我们提出了一个统一的基于博弈的框架,涵盖了包括属性、特性、分布和用户泄露在内的广泛攻击。我们通过对五个不同数据模态的数据集进行广泛实验,研究了对手的不同不确定性如何影响其推断能力。我们的结果表明,仅仅依靠数据聚合无法有效防止分布式学习中的推断攻击带来的隐私风险。我们进一步评估了五种防御方法,即梯度剪枝、有符号梯度下降、对抗性扰动、变分信息瓶颈和差分隐私,分别在静态和自适应对手设置下进行测试。我们提供了一种信息论视角,以分析这些防御措施在抵御梯度推断方面的有效性。最后,我们引入了一种审计属性推断隐私的方法,通过构造对抗性金丝雀记录来改进最坏情况隐私的经验估计。
论文链接:https://doi.org/10.1145/3658644.3690304
13、ArcEDB: An Arbitrary-Precision Encrypted Database via (Amortized) Modular Homomorphic Encryption
完全同态加密(FHE)基础的数据库外包正在引起越来越多的研究兴趣。目前,FHE基础的加密数据库(EDB)面临两个主要障碍:i) 数据精度低,ii) 计算延迟高。为了应对精度与性能之间的矛盾,我们引入了ArcEDB,这是一种新型的基于FHE的SQL评估基础设施,能够同时实现高数据精度和快速查询评估。基于一系列新的明文编码方案,我们能够执行任意精度的密文到密文的同态比较,其速度远快于现有方法。同时,我们提出了高效的编码方案转换算法,以支持复杂的SQL语句,包括高级滤波聚合和多列同步排序。我们进行了全面的实验,以研究ArcEDB的性能特性。特别是,我们展示了与最先进的FHE基础EDB解决方案相比,ArcEDB在同态过滤方面速度可以快达57倍,在端到端SQL查询上快达20倍。使用ArcEDB,对一个具有10K行、64位时间戳的时间序列EDB的SQL查询只需不到一分钟即可完成。
论文链接:https://doi.org/10.1145/3658644.3670384
14、Arke: Scalable and Byzantine Fault Tolerant Privacy-Preserving Contact Discovery
联系人发现是社交应用程序的一个关键组成部分,促进了注册联系人之间的互动。本研究介绍了Arke,一个新颖的联系人发现方案,旨在解决现有解决方案在隐私、可扩展性和对可信第三方依赖方面的局限性。Arke确保用户交互的不可关联性,减轻枚举攻击,并且没有单点故障或信任问题。值得注意的是,Arke是第一个其性能不依赖于用户总数的联系人发现系统,也是第一个能在拜占庭环境中运行的系统。它通过一种基于身份的非交互式密钥交换机制实现了隐私目标,采用了不可关联的握手机制。通过利用定制的分布式架构,Arke摒弃了共识的成本,以实现可扩展性,同时在对抗环境中保持一致性。性能评估表明,Arke在一个大型地理分布环境中提供超过每秒1,500个用户请求的吞吐量,且延迟低于0.5秒,这将使得所有流行的消息应用程序都能够在一个系统中实现隐私保护的联系人发现。
论文链接:https://doi.org/10.1145/3658644.3670289
15、Asynchronous Authentication
各种认证机制体现了从古代的口头密码到现代的多因素认证的持续演变:加密货币钱包从单一的签名密钥逐步发展为使用少量妥善保管的凭证,而在线服务中的臭名昭著的“安全问题”几乎被抛弃。然而,数字资产盗窃和众多身份盗窃案件表明,迫切需要重新审视用户认证的基础。我们抽象化凭证细节,并形式化异步认证的一般常见情况,考虑消息传播时间无限制。在考虑凭证故障概率(例如,丢失或泄露)的情况下,我们寻求具有最大成功概率的机制。由于可能机制数量庞大,以前无法进行这样的分析。我们展示了每一个机制都被某种布尔机制主导——该机制由呈现凭证上的单调布尔函数定义。我们提出了一种算法,通过利用问题结构来找到近似最优机制,从而将复杂度降低几个数量级。该算法立即揭示了两个令人惊讶的结果:准确考虑易丢失的凭证可以使加密货币钱包的安全性提升几个数量级。而新颖地使用(易泄露的)安全问题可以提高在线服务的认证安全性。
论文链接:https://doi.org/10.1145/3658644.3670328
16、Asynchronous Consensus without Trusted Setup or Public-Key Cryptography
拜占庭共识是分布式密码学问题中的一个基本构建块。尽管经过数十年的研究,大多数现有的异步共识协议仍然需要强信任的设置和昂贵的公钥密码学。在本文中,我们研究了不依赖于信任设置且不使用公钥密码学(如数字签名)的异步拜占庭共识协议。我们提出了一种异步公共子集(ACS)协议,其安全性仅基于作为随机 Oracle 建模的密码哈希函数。我们的协议总通信量为 O(κn³),期望运行在 O(1) 回合内。我们仅使用密码哈希函数的事实也意味着我们的协议具有后量子安全性。对密码学的最小使用和较少的回合数使我们的协议具有实用性。我们对协议进行了实现,并在多达 128 台机器的地理分布环境中进行了评估。我们的实验评估表明,协议比迄今为止实现的唯一其他无设置共识协议更高效。在研究我们的异步共识协议的过程中,我们还引入了称为异步秘密密钥共享和覆盖收集的新原语,这可能具有独立的研究兴趣。
论文链接:https://doi.org/10.1145/3658644.3670327
17、Atomic and Fair Data Exchange via Blockchain
我们提出了一种区块链公平数据交换(FDE)协议,使得存储服务器能够原子性地将数据文件传输给客户端:只有当服务器收到商定的付款时,客户端才会接收文件。我们为一种加密方案提出了新的定义,称之为“在承诺密钥下可验证加密”(VECK),并提出了该方案的两种具体实现。我们的协议依赖区块链来强制执行交换的原子性,并使用VECK确保客户端在支付解密密钥之前收到正确的数据(与商定的承诺相匹配)。我们的协议是信任最小化的,仅需固定大小的链上通信,具体为3个签名、1个验证密钥和1个秘密密钥,大部分数据存储和传输在链下。它还支持仅交换数据的子集,能够在多个客户端之间分摊服务器的工作,并提供一个通用框架,以利用不同的承诺方案设计替代的FDE协议。我们协议的一个重要应用是以太坊的Danksharding数据可用性方案,该方案通过KZG多项式承诺来承诺数据。我们还提供了我们协议的开源实现,包含VECK的两种实例,展示了我们协议在以太坊上的效率和实用性。
论文链接:https://doi.org/10.1145/3658644.3690248
18、AuthSaber: Automated Safety Verification of OpenID Connect Programs
基于单点登录(SSO)的身份验证协议,例如OpenID Connect(OIDC),在当今相互连接的数字世界中增强安全性和隐私方面发挥着至关重要的作用,已被多数知名身份验证服务提供商广泛采用。这些协议建立了一个结构化框架,以验证和认证个人、组织和设备的身份,同时避免与外部实体分享敏感凭证(例如密码)的必要性。然而,这些协议的安全保证依赖于其正确的实现,而现实世界中的实现往往存在逻辑编程错误,导致严重攻击,包括身份验证绕过和用户账户接管。针对这一挑战,我们提出了AuthSaber,这是一种自动化验证器,旨在以可扩展的方式评估实际的OIDC协议实现是否符合其标准安全规范。AuthSaber首先设计了一种基于线性时序逻辑的新规范语言,以解决OIDC属性的表达能力、多方交互的建模及自动化的问题,通过利用基于自动机的方法来约束OIDC实体之间可能交互的空间,并结合若干特定领域的变换,以获得可以直接被软件模型检查器推理的程序和属性。我们在15个最受欢迎和广泛使用的OIDC库上评估了AuthSaber,并发现了16个之前未知的漏洞,所有漏洞均已及时披露给开发者。其中五类漏洞还导致了新的CVE(公共漏洞与暴露)。
论文链接:https://doi.org/10.1145/3658644.3670318
19、ZeroFake: Zero-Shot Detection of Fake Images Generated and Edited by Text-to-Image Generation Models
文本到图像生成模型引起了学术界和工业界的广泛关注。这些模型可以根据给定的提示描述生成图像。它们强大的能力虽然有益,但也带来了风险。以往的努力依赖于训练二分类器来检测生成的虚假图像,这种方法效率低下,缺乏泛化能力且不够稳健。在本论文中,我们提出了一种新颖的零-shot 检测方法,称为 ZeroFake,利用基于扰动的 DDIM 反演技术将虚假图像与真实图像区分开来。ZeroFake 的灵感来自于研究发现,在 DDIM 反演和重构过程中,虚假图像比真实图像更具稳健性。具体来说,对于给定的图像,ZeroFake 首先生成用对抗提示引导的 DDIM 反演噪声。然后,ZeroFake 从生成的噪声中重构图像。随后,它将重构的图像与原始图像进行比较,以确定其是真实的还是虚假的。通过利用虚假图像和真实图像在反演和重构过程中的对抗提示差异反应,我们的模型提供了一种更稳健和高效的方法来检测虚假图像,而不需要广泛的数据和训练成本。大量结果表明,所提出的 ZeroFake 在虚假图像检测、虚假艺术品检测和虚假编辑图像检测方面表现出色。我们进一步通过展示其抵御潜在对抗攻击的能力来说明所提出的 ZeroFake 的稳健性。我们希望我们的解决方案能够更好地帮助社区实现更高效和公平的 AGI 的到来。
论文链接:https://doi.org/10.1145/3658644.3690297
20、BadMerging: Backdoor Attacks Against Model Merging
微调预训练模型以适应下游任务的做法催生了大量开源的任务特定模型。最近,模型合并(Model Merging,MM)作为一种有效的方法出现,用于促进这些独立微调模型之间的知识转移。MM 直接将多个微调的任务特定模型合并为一个合并模型,而无需额外的训练,所得到的模型在多个任务上展现出增强的能力。尽管 MM 提供了极大的实用性,但可能带来了安全风险,因为敌手可以利用 MM 影响多个下游任务。然而,关于 MM 的安全风险几乎没有进行研究。在本文中,我们首先发现 MM 作为一种新的学习范式,由于合并过程引入了现有后门攻击的独特挑战。为了解决这些挑战,我们提出了 BadMerging,这是首个专门为 MM 设计的后门攻击。值得注意的是,BadMerging 允许敌手通过贡献少量带后门的任务特定模型来攻陷整个合并模型。BadMerging 包括一个两阶段的攻击机制和一种新颖的基于特征插值的损失,以增强嵌入后门对不同合并参数变化的鲁棒性。考虑到合并模型可能包含来自不同领域的任务,BadMerging 可以共同攻陷敌手提供的任务(针对任务攻击)和其他贡献者提供的任务(非针对任务攻击),并通过新颖的攻击设计解决相应的独特挑战。大量实验表明,BadMerging 对各种 MM 算法实现了显著的攻击。我们的消融研究表明,所提出的攻击设计能够逐步提升攻击性能。最后,我们展示了现有防御机制无法抵御我们的攻击,突显了对更先进防御的需求。我们的代码可在以下链接获取:https://github.com/jzhang538/BadMerging。
论文链接:https://doi.org/10.1145/3658644.3690284
21、Batch Range Proof: How to Make Threshold ECDSA More Efficient
随着对加密货币的需求增加,门限ECDSA最近重新获得了人气。迄今为止,人们已提出几种构建门限ECDSA的方法,包括使用OT和同态加密(HE)。由于明文空间与签名空间之间的不匹配,基于HE的门限ECDSA总是需要零知识范围证明,如Paillier和Joye-Libert(JL)加密。然而,范围证明的开销占总成本的主要部分。在本文中,我们提出了高效的批量范围证明,以提高门限ECDSA的效率。我们效率提升的核心是一个新的技术工具,称为多维分叉引理,作为著名的通用分叉引理[Bellare和Neven, CCS 2006]的推广。基于我们的新工具,我们为Paillier和JL加密构建了高效的批量范围证明,并用它们提供了批量乘法到加法(MtA)协议,这对大多数门限ECDSA至关重要。我们的构造在计算和带宽上以摊销的方式分别将之前的基于Paillier的MtA提高了2倍,基于JL的MtA提高了3倍。我们的批量MtA可以用来提高大多数基于Paillier和JL的门限ECDSA的效率。作为三个典型示例,我们的基准测试结果显示:1. 我们将Paillier基础的CGGMP20 [Canetti等,CCS 2020]的带宽提高了2.1到2.4倍,计算提高了1.5到1.7倍。2. 通过分别实现带有XAL+23 [Xue等,CCS 2023]的批量JL MtA和我们的批量JL MtA的门限ECDSA,我们的批量构造在带宽上提高了2.0到2.29倍,计算上提高了1.88到2.09倍。3. 当用我们的基于Paillier的批量MtA替换DKLs24 [Doerner等,S&P 2024]中的基于OT的MtA时,我们在带宽效率上提高了7.8倍,但计算速度慢了5.7倍。
论文链接:https://doi.org/10.1145/3658644.3670287
22、Batching-Efficient RAM using Updatable Lookup Arguments
RAM(随机存取内存)在可验证计算中是一种重要的基本组件。本文我们专注于实现具有高效批处理特性的RAM,即在大小为N的RAM上证明一批m个更新时,所需的成本小于N的线性关系。基于Merkle树或地址顺序转录的经典方法,在建模RAM正确性时要么具体效率低下,要么在RAM的大小上产生线性开销。最近的研究探索了基于未知顺序群(RSA、类群)的加密累加器来建模RAM状态。尽管近期基于RSA累加器的方法在性能上显著优于经典方法,但它们在计算见证时需要在累积集大小上产生线性开销,并且具有高昂的常数开销。我们实现了一种批处理高效的RAM,其渐近和具体成本优于现有方法。为此:(i) 我们基于近期的查找论证构造,允许即使在表更新的情况下仍能进行高效查找;(ii) 我们实现了一种在先前工作中提到的子向量关系的变体,称为承诺索引查找。我们将这两个构建块结合起来,实现了在 RAM 大小上具有子线性依赖的批处理高效RAM。我们的构造在大小为N的RAM上对一批m个更新的证明成本为~O(m log m + √(mN))的摊销成本。我们的结果还使近期的子向量关系论证受益,使得在表更新的情况下仍然高效。我们相信这有助于独立的研究兴趣。我们实现了我们的解决方案以评估其具体效率。我们的实验表明,它在批处理高效累加器/RAM方面相比现有工作提供了显著的改进,且大大降低了资源壁垒。
论文链接:https://doi.org/10.1145/3658644.3670356
23、Beowulf: Mitigating Model Extraction Attacks Via Reshaping Decision Regions
机器学习即服务(MLaaS)使资源受限的用户能够通过公共可访问的应用程序编程接口(API)按查询付费访问经过良好训练的模型。然而,模型所有者可能面临模型提取攻击的潜在威胁,其中恶意用户基于查询结果复制有价值的商业模型。然而,现有的模型提取攻击防御措施要么牺牲预测准确性,要么无法阻止更高级的攻击。在本文中,我们提出了一种新颖的模型提取防御方法,称为Beowulf 1,该方法灵感来源于理论研究,表明具有复杂和狭窄决策区域的模型难以被复制。我们并不是任意改变决策区域,因为这样可能危害受害模型的预测能力,而是引入了一个虚假类,该虚假类通过随机和对抗性噪声精心合成。随机噪声扩大了虚假类的覆盖范围,对抗性噪声则影响正常类的决策边界附近的决策区域。为了进一步提高模型的实用性,我们建议采用数据增强方法,将虚假类与正常类无缝结合。在CIFAR-10、GTSRB、CIFAR-100和ImageNette数据集上进行的广泛评估表明,Beowulf可以显著降低6种最先进的模型提取攻击的提取准确率,最高可达80%。此外,我们还展示了Beowulf在面对自适应模型提取攻击时的鲁棒性。
论文链接:https://doi.org/10.1145/3658644.3670267
24、BinPRE: Enhancing Field Inference in Binary Analysis Based Protocol Reverse Engineering
协议逆向工程(PRE)旨在在源代码不可用的情况下推断网络协议的规范。具体来说,字段推断是PRE中的一个关键步骤,用于推断字段格式和语义。为了进行字段推断,以二进制分析为基础的PRE技术是一种主要的方法类别。然而,这些技术面临两个关键挑战——(1)当不同协议实现中处理输入消息的逻辑可能不同,格式推断变得脆弱;(2)语义推断受到不足和不准确的推断规则的限制。
为了解决这些挑战,我们提出了BinPRE,一种基于二进制分析的PRE工具。BinPRE包含(1)用于格式提取的基于指令的语义相似性分析策略;(2)由原子语义检测器组成的新型库,以改善语义推断的充分性;(3)一种聚类和精炼范式,以进一步提高语义推断的准确性。我们对BinPRE进行了评估,比较了其与五种现有的PRE工具,包括Polyglot、AutoFormat、Tupni、BinaryInferno和DynPRE的表现。对八个广泛使用的协议的评估结果表明,BinPRE在格式和语义推断方面均优于以前的PRE工具。BinPRE在格式提取上实现了0.73的完美度,在类型(函数)的语义推断上达到了0.74(0.81)的F1分数。BinPRE的字段推断结果帮助提高了协议模糊测试的有效性,与最佳前期PRE工具相比,Branch Coverage提高了5%到29%。BinPRE还帮助发现了一个新的零日漏洞,否则无法找到。
论文链接:https://doi.org/10.1145/3658644.3690299
25、Blind and Low-Vision Individuals' Detection of Audio Deepfakes
音频深度伪造是一种欺骗形式,通过机器学习手段合成逼真的语音句子,以产生人类发言者的印象。音频深度伪造成为了一种吸引人的攻击方式,尤其针对依赖音频可访问性的用户群体,例如盲人或低视力人士。因为他们对语音作为交流媒介的高度依赖,这使得这一人群面临不必要的欺骗风险,他们只能凭借自身的判断来识别一段音频是否为深度伪造。为了更好地理解这一风险的性质,并考虑到对屏幕阅读等辅助技术的细微依赖,我们在美国对16名盲人和低视力人士进行了用户研究。我们的参与者总体辨别准确率为59%,而被识别为深度伪造的音频片段,实际为深度伪造的比例仅为50.8%(精确度)。自我认定为“低视力”的参与者表现稍好(准确率为61%,精确度为64%),相比之下,自我认定为“盲”的参与者则表现较差(准确率为55%,精确度为56%)。我们的定性结果显示,“盲”组的参与者主要将声调的变化、声音中的瑕疵及语音表现的强度视为辨别因素。而“低视力”组的参与者则主要依赖说话者的音调、清晰度、情感以及流畅度和发音作为辨别线索。总体而言,参与者认为音频深度伪造有能力通过政治虚假信息欺骗视觉障碍人士,在身份验证和智能家居中冒充他们的声音,并以语音钓鱼和增强型诈骗特别针对他们。
论文链接:https://doi.org/10.1145/3658644.3690305
26、Block Ciphers in Idealized Models: Automated Proofs and New Security Results
我们开发并实施了AlgoROM,这是一种工具,用于系统地分析在理想化计算模型中广泛类别的对称原语的安全性。我们考虑的方案是可以用由XOR和哈希函数、置换或块密码的函数符号组成的字母表来表达的方案。我们在OCaml中实现了我们的框架,并将其应用于多个著名的构造,包括Luby-Rackoff(LR)、密钥交替Feistel(KAF)和迭代Even-Mansour(EM)密码,以及置换-置换网络(SPN)。我们考虑的安全模型是(S)PRP,并在相关密钥(RK)、依赖密钥消息(KD)以及更一般的密钥相关(KC)攻击的基础上进行了增强。使用AlgoROM,我们能够重新确认若干经典和之前建立的安全定理,并在一个案例中发现了文献中某个证明的缺陷(Connolly等人,ToSC'19)。然而,我们通过AlgoROM证明的大多数结果都是新的。特别是,我们在上述模型中获得了LR、KAF、EM和SPN的新积极结果。我们的结果更好地反映了实际实施中的配置,因为它们使用单一的理想化原语。与许多现有工具相比,我们的自动化证明并不在符号模型中操作,而是在标准的密码学概率模型中进行。
论文链接:https://doi.org/10.1145/3658644.3690222
27、Boosting Practical Control-Flow Integrity with Complete Field Sensitivity and Origin Awareness
控制流完整性(CFI)是一种强大而高效的防御机制,用于抵御内存破坏攻击。实际版本的CFI已经集成到编译器中,采用静态分析来收集所有可能的有效目标函数,用于间接调用。然而,由于静态分析的不精确性,它们的效果往往不如人意。尽管已经提出了更精确的CFI技术,例如动态CFI,但由于性能、兼容性和可部署性等问题,这些技术尚未得到实际应用。我们认为,要使CFI变得实用,基于静态分析的CFI仍然是一个有前途的方向。然而,这些年来,在实用CFI的有效性方面并没有取得太大进展。本文旨在通过显著优化间接调用的目标函数集(即等价类或EC),来提升实用CFI的有效性。我们首先识别出导致静态间接调用分析不精确的两个基本限制:由于变量字段索引导致的不完全字段敏感性,以及对指向目标来源的认识不足。然后,我们提出了两种新颖的分析技术:完整字段敏感性和来源意识,这些技术能处理变量字段索引并区分目标来源。该技术显著减少了目标函数的数量。为了强化来源意识,我们进一步采用英特尔内存保护密钥来安全存储来源信息。我们将这些技术实现为一个名为ECCut的系统。评估结果表明,与主流LLVM CFI相比,ECCut在平均和最大EC大小上分别实现了94.8%和90.3%的显著减少。而与最先进的来源意识CFI(即OS-CFI)相比,ECCut在平均和最大EC大小上分别减少了90.2%和89.3%。此外,ECCut引入了可接受的性能开销(在SPEC CPU2006、SPEC CPU2017和六个实际应用程序的综合C/C++基准测试中平均为7.2%)。
论文链接:https://doi.org/10.1145/3658644.3670308
28、Byzantine-Robust Decentralized Federated Learning
联邦学习(FL)使多个客户端能够在不泄露其私有训练数据的情况下协同训练机器学习模型。在传统的联邦学习中,系统遵循服务器辅助架构(服务器辅助FL),训练过程由中央服务器协调。然而,服务器辅助FL框架由于服务器的通信瓶颈和信任依赖问题,存在拓展性差的缺陷。为了解决这些挑战,提出了去中心化的联邦学习(DFL)架构,以允许客户端以无服务器和点对点的方式协作训练模型。然而,由于其完全去中心化的特性,DFL对投毒攻击高度脆弱,恶意客户端可能通过向邻近客户端发送精心设计的本地模型来操纵系统。迄今为止,仅提出了有限数量的拜占庭鲁棒DFL方法,其中大多数要么通信效率低下,要么仍然易受高级投毒攻击的影响。本文提出了一种名为BALANCE(<u>B</u>ayzantine-鲁棒 <u>a</u>veraging 通过 <u>l</u>ocal simil<u>a</u>rity i<u>n</u> de<u>ce</u>ntralization)的新算法,以防御DFL中的投毒攻击。在BALANCE中,每个客户端利用其本地模型作为相似性参考,以确定接收到的模型是恶意的还是良性的。我们在强凸和非凸环境下建立了BALANCE对抗投毒攻击的理论收敛保证。此外,BALANCE在投毒攻击下的收敛速度与在无拜占庭环境中的最新方法相匹配。广泛的实验还表明,BALANCE优于现有的DFL方法,并有效防御投毒攻击。
论文链接:https://doi.org/10.1145/3658644.3670307
29、When Compiler Optimizations Meet Symbolic Execution: An Empirical Study
编译器优化旨在将程序转变为语义等效的程序以提高性能,但尚不清楚这些优化如何影响二进制代码上的动态符号执行(DSE)性能。为了系统地理解编译器优化对两种流行DSE技术(即符号探索和符号跟踪)的影响,本文呈现了一项实证研究,量化了209个GCC编译标志和73个Clang编译标志,以揭示DSE的正面和负面优化。我们的数据集包含992个独特的测试用例,这些测试用例来自GCC测试套件中的3,449个源文件。在分析了我们使用两种编译器和各种编译标志编译的2,978,976个二进制程序后,我们发现虽然某些优化确实使DSE运行得更快,但大多数优化实际上会减慢DSE的速度。我们的分析进一步揭示了这些影响的根本原因。优化对DSE最积极的影响来源于指令和程序路径数量的减少,而负面影响则是由一系列意外行为引起的,包括指令或程序路径数量的增加、库函数内联导致DSE引擎无法使用函数摘要,以及算术优化导致更复杂的约束。作为对编译标志为何影响DSE性能的首次深入分析,本项目为在执行DSE任务之前可以应用的程序变换提供了有价值的见解,以实现更好的性能。
论文链接:https://doi.org/10.1145/3658644.3670372
30、Whipping the Multivariate-based MAYO Signature Scheme using Hardware Platforms
美国国家标准与技术研究院(NIST)在2023年发布了一项新的呼吁,以多样化量子抵抗数字签名方案的组合,因为目前的组合依赖于格子问题。MAYO方案基于不平衡油与醋(UOV)问题,是这一新呼吁的一个有前景的候选方案。MAYO引入了乳化映射和一种新颖的“搅拌”技术,与之前的UOV方案相比,显著减少了密钥大小。本文提供了MAYO实现方面的全面分析,并提出几种优化技术,我们利用这些技术实现高速度的硬件加速器。第一种优化技术是对乳化过程的部分展开,以增加并行化。第二种提议的优化是一种新的内存结构,能够实现MAYO方案中显著瓶颈的并行化。除此之外,我们还提出了一种灵活的数据格式转置技术,适用于MAYO中使用的格式,可以扩展到其他基于UOV的方案。我们使用这些技术设计了第一个支持MAYO方案所有操作的高速ASIC和FPGA加速器,以满足不同的NIST安全级别。与现有的最先进技术相比,如HaMAYO [24]和UOV [7],我们的FPGA设计在延迟和面积时间乘积上显示出高达三个数量级的性能优势。此外,与这些FPGA实现相比,我们将BRAM消耗降低了最多2.8倍。与高端CPU实现相比,我们的ASIC设计在吞吐量上提高了2.81倍至60.14倍。这将每秒签名操作的数量从483提高到13424,从而促进了MAYO方案在时间关键应用中的高效部署。
论文链接:https://doi.org/10.1145/3658644.3690258
31、Zero-Knowledge Proofs of Training for Deep Neural Networks
零知识训练证明(zkPoT)使得一方能够证明他们基于承诺的数据集正确训练了一个已承诺的模型,而不透露关于模型或数据集的任何额外信息。理想的 zkPoT 应提供可证明的安全性和隐私保障、简洁的证明大小和验证者运行时间,以及实用的证明者效率。在这项工作中,我们提出了 Kaizen,一种针对深度神经网络(DNN)的 zkPoT,能够同时实现所有这些目标。我们的构建允许证明者通过(小批量)梯度下降迭代训练他们的模型,迭代次数不需预先固定;在每次迭代结束时,证明者生成针对训练模型参数的承诺,并附带简洁的 zkPoT,以证明执行迭代的正确性。证明大小和验证者时间与迭代次数无关。
我们的构建依赖于两个基础模块。首先,我们提出了一种优化的 GKR 样式(基于求和检验)证明系统,用于梯度下降算法,具有具体高效的证明者成本;这允许证明者为每次迭代生成证明。然后,我们展示了如何在多个迭代之间递归地组合这些证明,以实现简洁性。同时,我们还提出了一个通用框架,用于高效递归组合 GKR 样式证明,以及可聚合的多项式承诺。
基准测试表明,Kaizen 可以处理如 VGG-11 这样复杂模型的训练,具有 1000 万个参数和 16 的批量大小。证明者每次迭代的运行时间为 15 分钟,比通用递归证明快 24 倍,证明者的内存开销低 27 倍。证明大小为 1.63 兆字节,验证者的运行时间仅为 130 毫秒,且两者都与迭代次数和数据集的大小无关。
论文链接:https://doi.org/10.1145/3658644.3670316
32、Call Me By My Name: Simple, Practical Private Information Retrieval for Keyword Queries
我们介绍了ChalametPIR:一种单服务器的私有信息检索(PIR)方案,支持快速、低带宽的关键字查询,设计概念非常简单。特别地,我们开发了一个通用框架,将基于错误学习问题的扁平数组索引查询的PIR方案转换为关键字PIR。这涉及到使用任何允许从包含查询中重建元素的概率过滤器(例如Cuckoo过滤器)来表示键值映射。具体而言,我们利用最近开发的二进制融合过滤器构建ChalametPIR,效率损失与最先进的基于索引的方案相比非常小(所有成本受限于一个因子(≤ 1.08))。此外,我们展示了ChalametPIR在不同数据库配置下的运行时间和财务成本分别比最先进的关键字PIR方法高效6倍至11倍和3.75倍至11.4倍。根据配置,带宽成本也有所减少或保持竞争力。最后,我们认为,二进制融合过滤器的应用可以对开发高效的相关密码原语变种(例如私有集交集)具有独立的价值,这些变种已经受益于使用效率较低的过滤器构造。
论文链接:https://doi.org/10.1145/3658644.3670271
33、Catch Me if You Can: Detecting Unauthorized Data Use in Training Deep Learning Models
深度学习(DL)的兴起导致了对训练数据需求的激增,这促使深度学习模型的创建者在互联网上搜索训练材料。与此同时,用户往往对其数据(例如,面部图像)是否在未经其同意的情况下用于训练深度学习模型控制有限,这引发了紧迫的担忧。在本研究中,我们提出了一种技术,支持普通用户检测其数据在训练深度学习模型中的未经授权使用。我们的工作基于会员推断(MI)攻击,这是一种主要的攻击类型,旨在推断样本是否被用于训练模型,并且已知对特定样本进行准确会员推断的能力与模型对其的记忆程度直接相关。因此,我们的想法是引导用户在自己的数据中注入少量有针对性的变化,这些变化能够被训练该数据的模型强烈记住。用户随后可以进行会员推断,以检测可疑模型是否在他们特定标记的数据上表现出强记忆效应。初步结果表明,我们的技术能够支持用户以较高的真实正例率和较低的假正例率可靠追踪其数据的来源。
论文链接:https://doi.org/10.1145/3658644.3690858
35、CiMSAT: Exploiting SAT Analysis to Attack Compute-in-Memory Architecture Defenses
计算内存(CiM)架构是一种新兴的节能处理范式,在人工智能和物联网(IoT)应用中引起了广泛关注。为了保护在CiM中静态存储的敏感数据,设计者在CiM架构中实施了各种硬件混淆技术。然而,我们观察到,现有的CiM混淆防御策略基于简单的静态密钥部署策略,这在密钥修剪算法的反混淆视角下存在脆弱性。基于此,本研究提出了CiMSAT,这是一种基于布尔可满足性(SAT)理论的CiM反混淆方法。本研究首次进行了针对CiM架构存储和混合信号计算特征的安全分析,这两者是反混淆现有先进CiM防御的关键挑战。为了对存储单元进行建模,我们创新性地拟合并利用“无推理值”混淆数据进行功能近似。为了重构混合信号电路,我们设计了耐偏差的SAT以应对近似引入的偏差。通过提出的工作流程,我们利用我们的反混淆框架调查和评估了现有的14种CiM混淆架构。我们建模了总共有176个来源于不同防御技术和参数的防御向量,其中158个(90%)可以在1000秒内被反混淆并恢复密钥,172个(98%)防御可以在105秒内(大约一天)恢复。我们进一步将密钥重新加载到具有混淆的CiM模拟器中,在被广泛采用的MNIST和CIFAR-10分类应用中的CiM混淆中,实现了分别97%和95%的准确度恢复。
论文链接:https://doi.org/10.1145/3658644.3690251
36、CoGNN: Towards Secure and Efficient Collaborative Graph Learning
协作图学习是一种学习范式,其中多个参与方共同使用各自的专有图数据训练图神经网络(GNN)。为尊重所有参与方的数据隐私,现有的协作图学习解决方案主要基于联邦学习(FL)或安全机器学习(SML)。尽管基于FL的方法在效率和可扩展性方面表现出色,因其分布式训练机制,但在提供可证明的安全保障和实现良好的模型性能方面却有所不足。相反,基于SML的解决方案虽然提供可证明的隐私保障,但由于其高计算和通信开销,以及在参与方增多时可扩展性较差而受到限制。
为了解决上述问题,我们提出了CoGNN,一个新颖的框架,它同时结合了基于FL和基于SML的方法的优势。从高层次来看,CoGNN得益于两个方面:(i)一种新颖的信息传递机制,能够隐式且高效地表达GNN训练和推理中所需的顶点数据传播/聚合;(ii)一种双阶段的调度-收集执行方案,用于安全地分解和分配GNN计算负载,以便实现并行和可扩展的执行。我们进一步实例化了CoGNN框架,并进行了定制优化,以训练图卷积网络(GCN)模型。在对三个图数据集进行的大量评估中,与最先进(SOTA)的基于SML的方法相比,CoGNN将每个参与方的运行时间减少了最多123倍,通信成本减少了最多522倍。同时,使用CoGNN训练的GCN模型与明文全图训练的准确性几乎相同,相较于通过联邦学习训练的GCN模型,准确性提高了最多11.06%。
论文链接:https://doi.org/10.1145/3658644.3670300
37、Computationally Secure Aggregation and Private Information Retrieval in the Shuffle Model
洗牌模型最近成为差分隐私的一个热门设置,在这个模型中,客户可以通过匿名通道或中间消息洗牌器与中央服务器通信。该模型也在安全聚合和私人信息检索(PIR)等密码任务的背景下进行了探讨。然而,这项研究几乎完全局限于信息理论安全的严格概念。在本工作中,我们研究了洗牌模型中的计算安全聚合协议和PIR。我们的出发点是,先前的加法共享洗牌技术在计算环境中可以得到改进。我们证明,在标准的带噪学习平衡(LPN)假设下,这确实成立,但我们在本工作中引入并研究的多不相交综合解码(MDSD)问题的可疑猜想可以带来更好的效率。
我们利用上述成果提高了洗牌模型中安全聚合和PIR的效率。对于长向量的安全聚合,我们的协议相比于先前的信息理论解决方案,所需的通信量减少了9到25倍。我们的PIR协议享有多服务器PIR的简单性和具体效率优势,同时只需要一个服务器来存储数据库。在MDSD假设下,它们在效率上比最近的单服务器PIR构造提高了两个数量级。
论文链接:https://doi.org/10.1145/3658644.3670391
38、Conditional Encryption with Applications to Secure Personalized Password Typo Correction
我们引入了条件加密方案的概念,作为公钥加密的扩展。除了标准的公钥算法(KG、Enc、Dec)用于密钥生成、加密和解密之外,针对二元谓词P的条件加密方案增加了一种新的条件加密算法CEnc。条件加密算法 c = CEncpk(c1, m2, m3) 接受公钥pk、一段密文c1 = Encpk(m1)(其中m1是未知消息)、控制消息m2和有效载荷消息m3作为输入,并输出一段条件密文c。直观上,如果P(m1, m2) = 1,则条件密文c应解密为有效载荷消息m3。另一方面,如果P(m1, m2) = 0,则即使攻击者已经拥有秘密解密密钥sk,密文也不应泄露关于控制消息m2或有效载荷消息m3的任何信息。我们形式化了条件加密保密性的概念,并为相关的密码输入错误校正的谓词提供了具体高效的构造。我们的实用构造利用了Paillier部分同态加密方案以及Shamir秘密共享。我们证明了我们的构造是安全的,并展示了如何利用条件加密来提高个性化密码输入错误校正系统(如TypTop)的安全性。我们为我们的实用高效条件加密方案实现了一个C++库,并进行实证评估其性能。我们还更新了TypTop的实现,以利用条件加密来增强安全保证,并评估了更新后实现的性能。
论文链接:https://doi.org/10.1145/3658644.3690374
39、Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training
在组织中,一种常见的网络钓鱼培训形式是使用模拟钓鱼邮件来测试员工对钓鱼攻击的易感性,并立即向未通过测试的员工提供培训材料。这种广泛采用的做法被称为嵌入式培训;然而,几项最近的实地研究发现,其在降低员工未来再次上钩钓鱼攻击的可能性方面的效果受到质疑。我们从三个方面研究嵌入式钓鱼培训。首先,我们观察到这一做法包含不同的组成部分——内容带来的知识增长、测试本身的提示和提醒,以及潜在后果的威慑效应——我们的目标是研究哪些部分更有效(如果有的话)。其次,我们探索了培训的两个潜在改进方向,即培训的时机和激励措施的使用。第三,我们分析了员工对这一实践的接受程度和感知。为此,我们对一家合作公司的员工进行了大规模的混合方法(定量和定性)研究。
我们的研究为这一培训实践提供了若干新的发现:特别是,其有效性来源于其提示效应,即对威胁的定期提醒,而不是其内容,后者因缺乏时间和感知的实用性而很少被员工消化。此外,推迟培训以缓解时间压力与目前已有的实践同样有效,而奖励并没有改善安全行为。最后,我们的一些结果支持了之前的发现,并增强了生态有效性,例如,钓鱼问题实际上是一个注意力问题,而不是知识问题,即使对于最易受影响的员工来说,因此强制培训并没有帮助。
论文链接:https://doi.org/10.1145/3658644.3690348
40、CrossFire: Fuzzing macOS Cross-XPU Memory on Apple Silicon
现代计算系统越来越多地利用XPUs,例如GPU和NPU,来执行专门的计算任务。尽管这些XPUs提供了关键功能,但它们的安全保护通常比CPU更弱,从而使它们成为有吸引力的攻击目标。特别是,Apple硅芯片通过采用统一内存架构(UMA)来优化内存使用,该架构使用共享内存区域(称为跨XPU内存)以促进CPU和XPU之间的通信。尽管跨XPU内存提升了性能,但它也引入了新的攻击面。不幸的是,识别有效共享内存区域和生成有效有效负载的难度,使得对跨XPU内存进行模糊测试成为一个复杂的问题,而现有的模糊测试技术无法有效解决。因此,我们提出了CrossFire,这是第一个针对Apple硅芯片XPU的模糊测试工具,通过对跨XPU内存进行模糊测试来评估这一新的攻击面。最初,我们进行了深入的跨XPU内存分析,以研究模糊测试XPU的挑战。为了应对这些挑战,CrossFire引入了两种新技术,以定位跨XPU内存中的有效模糊测试区域,并追踪内核执行信息以提取数据约束。利用这些技术,我们基于m1n1虚拟机监控程序开发了CrossFire,以监控跨XPU内存访问并执行基于灰盒钩子的模糊测试。我们进一步在macOS Ventura上评估了CrossFire,该工具已识别出15个新的零日漏洞,其中8个已由Apple确认。
论文链接:https://doi.org/10.1145/3658644.3690376
41、Curator Attack: When Blackbox Differential Privacy Auditing Loses Its Power
数据驱动应用的激增提升了日常生活,但也引发了对个人信息泄露的严重担忧。因此,许多隐私审计工具应运而生,以检查所执行的数据清理是否符合数据所有者的隐私标准。基于黑箱的差分隐私审计尤其因其有效性和广泛适用性而日益受到欢迎。然而,我们发现黑箱审计的设置本质上存在缺陷——由于观察不准确,小概率/小密度被忽视。我们的论点基于来自假设检验视角的坚实误报分析,这是以前的黑箱审计工具所欠缺的。这一疏忽大大降低了这些工具的可靠性,因为它使恶意或能力不足的数据策展人能够以夸大的隐私保证通过审计,从而给数据所有者带来重大风险。我们通过实验验证,展示了在经典差分隐私机制中,此类威胁的实际存在,对四个具有代表性的黑箱审计工具进行了测试。我们的发现旨在揭示黑箱审计工具的局限性,使数据所有者意识到使用这些工具的风险,并鼓励开发更可靠的差分隐私审计方法。
论文链接:https://doi.org/10.1145/3658644.3690367
42、Data Poisoning Attacks to Locally Differentially Private Frequent Itemset Mining Protocols
本地差分隐私(LDP)为不受信任的数据收集者提供了一种在不侵犯用户隐私的情况下汇总用户数据的方法。在LDP保护下,已经研究了多种隐私保护的数据分析任务,如频率估计、频繁项集挖掘和机器学习。尽管拥有隐私保护特性,近期的研究已显示某些LDP协议在数据投毒攻击面前存在漏洞。然而,现有的数据投毒攻击主要集中在LDP下的基本统计数据上,如频率估计和均值/方差估计。作为一项重要的数据分析任务,LDP频繁项集挖掘的安全性尚未得到彻底检验。本文旨在通过提出新颖且实用的数据投毒攻击来解决这一问题,针对LDP频繁项集挖掘协议进行攻击。通过引入一个统一的攻击框架和可组合的攻击操作,我们的数据投毒攻击能够成功操控先进的LDP频繁项集挖掘协议,并且有潜力适配其他具有类似结构的协议。我们在三个数据集上进行了广泛的实验,将所提出的攻击与四种基线攻击进行了比较。结果表明了威胁的严重性和所提攻击的有效性。
论文链接:https://doi.org/10.1145/3658644.3670298
44、DeepCache: Revisiting Cache Side-Channel Attacks in Deep Neural Networks Executables
深度神经网络(DNN)越来越多地部署在异构硬件上,包括高性能设备(如GPU)和低功耗设备(如移动/物联网CPU、FPGA和加速器)。为了充分发挥各种硬件的性能潜力,深度学习(DL)编译器会自动优化DNN推理计算,并将DNN模型编译成DNN可执行文件,以在硬件后端高效地进行计算。作为有价值的知识产权,DNN架构是主要的攻击目标。由于先前的研究已经证明了利用缓存侧信道从深度学习框架(如PyTorch和TensorFlow)中窃取DNN架构的可能性,我们首先研究在DNN可执行文件上使用这些已知的侧信道攻击。我们发现攻击DNN可执行文件面临独特的挑战,现有的研究几乎无法应用。特别是,DNN可执行文件表现出一种独立的范式,这大大减少了缓存侧信道攻击的表面。同时,缓存侧信道只能捕捉到整个DNN执行的有限行为,并面临令人望而却步的技术挑战(如噪声和低时间分辨率)。然而,我们揭示了DNN可执行文件中的一种独特攻击向量,即现代DL编译器广泛采用的缓存感知优化将导致可区分的DNN操作符缓存访问模式,从而使得模型架构恢复成为可能。我们提出了DeepCache,一个端对端的侧信道攻击框架,用于从DNN可执行文件中推断DNN模型架构。DeepCache利用缓存侧信道作为攻击原语,并结合对比学习和异常检测以实现精确推断。我们的评估使用标准的Prime+Probe方法表明,DeepCache在基本的L1缓存攻击以及更实用但具有挑战性的最后一级缓存(LLC)攻击设置下,能够高效地利用复杂的DNN可执行文件,取得高准确率。
论文链接:https://doi.org/10.1145/3658644.3690241
45、Defying the Odds: Solana's Unexpected Resilience in Spite of the Security Challenges Faced by Developers
Solana作为一个最受欢迎的去中心化应用程序区块链平台之一,受到了相当多的关注。然而,与以太坊相比,我们发现关于Solana智能合约开发者如何处理安全性,所遇到的挑战,以及这些挑战如何影响整个生态系统安全的研究相对较少。为了解决这个问题,我们进行了首次关于Solana平台的全面研究,包含了一项90分钟的Solana智能合约代码审查任务,共有35名参与者,随后对其中7名参与者进行了访谈。我们的研究令人警觉地表明,没有参与者能够在代码审查任务中检测到所有重要的安全漏洞,并且83%的参与者可能会发布存在漏洞的智能合约。我们的研究还揭示了开发者在Solana智能合约开发中面临挑战的根本原因,表明需要更好的安全指导和资源。尽管面临这些挑战,我们对目前已部署的Solana智能合约的自动分析出人意料地表明,漏洞的普遍性——尤其是我们开发者研究中指出的那些最具挑战性的漏洞——低于0.3%。我们探讨了这种反直觉的韧性的原因,并展示了像Anchor这样的框架如何帮助Solana开发者部署安全的合约。
论文链接:https://doi.org/10.1145/3658644.3670333
46、Demo: An End-to-End Anonymous Traffic Analysis System
通过匿名网络进行的网络犯罪给监管者带来了重大挑战。识别不同类型的流量并实施有效的监督对于维护网络安全至关重要。在本演示中,我们展示了一个端到端的匿名流量分析系统,该系统集成了流量捕获、协议解析、特征提取、流量分类和分析结果展示,实现了从端到端对路由器流量的全面分析。我们的系统可以部署在数据中心网络中,以捕获由路由器转发的网络流量。它可以自动分析Tor网络流量、HTTPS加密流量和Tor网络应用流量,识别与这些流量相关的目标网站或应用类型,并通过视觉界面展示识别结果。
论文链接:https://doi.org/10.1145/3658644.3691364
47、Demo: Enhancing Smart Contract Security Comprehensively through Dynamic Symbolic Execution
合同频繁出现安全事故表明,从部署到运行阶段,确保合同安全的迫切需求,但当前的最先进(SOTA)分析方法无法很好地满足以下三个要求:(i)识别合同中的缺陷代码片段,同时生成利用调用序列以帮助开发者修复它们。(ii)监控异常的调用行为,特别是对于多个连续事务。(iii)自动验证大量无法利用的检测结果,因为手动验证劳动强度大。(iv)为了解决这些问题,我们提出了SymX,这是一种基于符号执行的安全分析方法,考虑了合同开发和运行阶段。实验结果表明,它能够准确识别90.22%的合同和98.04%的调用事务,并且如预期般验证误报,优于现有的最先进方法,从而在合同生命周期内更好地保护合同。目前,SymX可在https://github.com/Secbrain/SymX获取。
论文链接:https://doi.org/10.1145/3658644.3691365
48、Demo: FT-PrivacyScore: Personalized Privacy Scoring Service for Machine Learning Participation
数据隐私在人工智能时代一直是一个重要的关注点。尽管最近出现了差分隐私学习方法,控制数据访问仍然是许多工业和研究环境中保护数据隐私的主流方法。在控制数据访问中,授权的模型构建者在受限环境中访问敏感数据,这样可以在降低数据泄露风险的同时充分保留数据的实用性。然而,与差分隐私不同的是,个体数据贡献者在参与机器学习任务之前,并没有量化的衡量标准来告知他们的隐私风险。我们开发了演示原型FT-PrivacyScore,展示了有效且定量地估计参与模型微调任务的隐私风险是可能的。演示源代码将可在 https://github.com/RhincodonE/demo_privacy_scoring 获取。
论文链接:https://doi.org/10.1145/3658644.3691366
49、Demo: SGCode: A Flexible Prompt-Optimizing System for Secure Generation of Code
本文介绍了SGCode,这是一种灵活的提示优化系统,旨在利用大型语言模型(LLMs)生成安全的代码。SGCode将最新的提示优化方法与LLMs整合成一个统一的系统,通过前端和后端API提供访问,使用户能够 1)生成无漏洞的安全代码,2)审查和共享安全分析,以及 3)轻松切换不同的提示优化方法,同时提供有关模型和系统性能的洞察。我们在AWS服务器上部署了SGCode,并采用了PromSec,这是一种通过结合LLM和安全工具,以及使用轻量级生成对抗图神经网络来检测和修复生成代码中的安全漏洞的提示优化方法。大量实验表明,SGCode作为一个公共工具,在模型实用性、安全代码生成和系统成本之间的权衡提供了实用的见解。与提示LLMs相比,SGCode的成本仅为边际费用。SGCode可在以下地址访问:http://3.131.141.63:8501/.
论文链接:https://doi.org/10.1145/3658644.3691367
50、Demo: Towards Reproducible Evaluations of ML-Based IDS Using Data-Driven Approaches
基于网络的入侵检测系统 (NIDS) 在网络安全中至关重要,但评估方法已经过时且缺乏标准化,导致评估结果不完整且不可靠。为了解决这些问题,我们首先提出了一个针对机器学习入侵检测系统的综合评估框架[1]。该框架考虑了机器学习算法的独特方面、优点和缺点。然而,最初的提议缺乏实用性,因为它只提出了一种抽象的方法论,没有提供切实的解决方案。在本文中,我们展示了 FREIDA 的演示,这是一种我们框架的精确和具体的实现,具有易于使用的图形用户界面。我们还概述了 FREIDA 的评估方法,并展示了它在使用文献中的数据集评估入侵检测系统(IDS)中的应用。
论文链接:https://doi.org/10.1145/3658644.3691368
51、Derecho: Privacy Pools with Proof-Carrying Disclosures
隐私池使客户能够将一定数量的加密货币存入一个共享池中,存入货币的所有权通过加密隐藏记录的系统进行跟踪。客户可以在之后从池中提取资金,而无需与之前的存款进行关联。一些隐私池还支持在池内隐藏货币所有权的转移。2022年8月,美国财政部对以太坊最大的隐私池Tornado Cash实施制裁,理由是它使非法行为者能够隐瞒资金来源,引用了由朝鲜支持的Lazarus Group利用该平台洗钱超过4.55亿美元被盗加密货币的案例。这一裁定实际上使得美国个人/机构无法使用或接受经过Tornado Cash的资金,引发了隐私权活动人士和立法者之间的全球辩论。在此背景下,我们推出了Derecho,一个系统,机构可以使用它请求资金来源的加密证明,而不是单纯拒绝所有来自隐私池的资金。Derecho是证明携带数据的一种新颖应用,允许用户在隐私池的交易图中传播白名单成员资格证明。Derecho与现有以太坊隐私池设计向后兼容,不增加额外的燃气费用,用户仅需几秒钟即可生成证明。
论文链接:https://doi.org/10.1145/3658644.3670270
52、Detecting Broken Object-Level Authorization Vulnerabilities in Database-Backed Applications
破坏对象级授权(BOLA)漏洞是数据库支持的应用程序面临的最严重的安全风险之一。然而,我们对于这些漏洞的系统性理解仍存在显著差距。为了解决这一问题,我们对来自开源应用程序的101个真实世界的BOLA漏洞进行了深入研究。我们的研究揭示了数据库支持的应用程序中四种最常见的对象级授权模型。从我们的研究中获得的见解启发了一个名为BolaRay的新工具的开发。这个工具结合了SQL和静态分析,自动推断出不同类型的对象级授权模型,并随后验证现有实现是否对这些模型实施了适当的检查。我们使用25个流行的数据库支持的应用程序对BolaRay进行了评估,识别出193个真实漏洞,其中包括178个之前从未报告过的漏洞,假阳性率为21.86%。我们已向相应的维护者报告了所有新识别的漏洞。截至目前,已确认155个漏洞,并获得了52个CVE ID。
论文链接:https://doi.org/10.1145/3658644.3690227
53、Detecting Tunneled Flooding Traffic via Deep Semantic Analysis of Packet Length Patterns
分布式拒绝服务(DDoS)保护服务通过分析流量特征来捕获各种洪水攻击。然而,现有服务无法准确检测隧道攻击流量,因为隧道协议对数据包的报头和有效载荷进行加密,从而隐藏了用于检测的流量特征,因此可以躲避这些检测服务。在本文中,我们开发了Exosphere,它通过分析数据包长度模式来检测隧道攻击流量,而不需要调查数据包中的任何信息。具体来说,它利用基于深度学习的方法来分析数据包模式的语义,即特征表示具有相似长度模式的洪水数据包之间的强相关性,并根据这些语义特征对攻击流量进行分类。我们证明了数据包长度模式的强相关性确保了应用语义分析来识别相关攻击数据包的理论保证。我们使用FPGA原型化Exosphere,并将其部署在一个真实的机构网络中。实验结果表明,Exosphere在检测由未知攻击和错误配置生成的洪水流量时,达到了0.967的F1准确率。此外,它在包含各种隐匿攻击的现有数据集上实现了0.996的AUC准确率,因此显著优于现有的深度学习模型。它的准确率可与12种无法检测隧道洪水流量的最先进方法所达到的最佳性能相媲美,同时提高了它们的效率6.19倍。
论文链接:https://doi.org/10.1145/3658644.3670353
54、Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses
联邦图学习(FedGL)是一种新兴的联邦学习(FL)框架,旨在从不同来源学习图数据,而无需访问数据。非图数据的联邦学习已被证明易受到后门攻击,这种攻击在训练数据中注入共享的后门触发器,以便训练出的后门FL模型可以按攻击者的期望来预测包含该触发器的测试数据。然而,针对后门攻击的FedGL研究尚未得到充分探讨,目前也没有有效的防御措施。在本文中,我们旨在解决这一显著的缺陷。首先,我们提出了一种有效、隐蔽且持久的FedGL后门攻击。我们的攻击使用子图作为触发器,并设计了一个自适应触发器生成器,可以为每个图推导出有效的触发器位置和形状。我们的攻击表明,经验防御难以检测或去除我们生成的触发器。为此,我们进一步开发了一种认证防御,针对任何形状和任何位置的后门FedGL模型的触发器。我们的防御涉及将测试图精心划分为多个子图,并在这些子图上设计一个基于多数投票的集成分类器。然后,我们基于集成分类器推导出确定性的认证鲁棒性,并证明其紧密性。我们在六个图数据集上广泛评估了我们的攻击和防御。我们的攻击结果表明,在几乎所有数据集中,我们的攻击可以获得超过90%的后门准确率。我们的防御结果显示,在某些情况下,针对任意大小为20的触发器,清洁测试图的认证准确率可以接近无攻击时的正常准确率,而在其他情况下则存在适度差距。源代码可在此获取: https://github.com/Yuxin104/Opt-GDBA。完整报告见:https://arxiv.org/abs/2407.08935。
论文链接:https://doi.org/10.1145/3658644.3690187
55、ERASER: Machine Unlearning in MLaaS via an Inference Serving-Aware Approach
近年来,机器学习即服务(MLaaS)受到越来越高的需求,以支持基于机器学习的服务,从而在各个应用领域提供革命性的用户体验。MLaaS 提供基于使用来自多个个人数据拥有者收集的数据集训练的机器学习模型的低延迟推理服务。最近,为了保护数据拥有者的隐私并遵守数据保护法律所制定的“被遗忘权”(RTBF),许多机器卸载方法应运而生,以便在数据拥有者提出卸载请求时,从训练模型中移除他们的数据。然而,尽管现有的机器卸载方法效率令人期待,几乎所有这些方法都独立处理卸载请求与推理请求,这不幸地引入了推理服务陈旧的安全问题和机器卸载在 MLaaS 中的隐私脆弱性。本文提出了 ERASER 框架,旨在通过一种推理服务意识的方式实现机器卸载。ERASER 战略性地选择适当的卸载执行时机,以解决推理服务陈旧的问题。我们提出了一种新的推理一致性认证机制,以避免由于推迟卸载执行而导致的 RTBF 原则的违反,从而减轻不希望的曝光脆弱性。ERASER 提供了三组设计选择,以允许根据不同 MLaaS 系统的具体环境和偏好量身定制变体。大量的实证评估在各种设置下证实了 ERASER 的有效性,例如,它可以有效地节省多达 99% 的推理延迟和 31% 的计算开销,相较于推理遗忘基线。
论文链接:https://doi.org/10.1145/3658644.3670398
56、Eclipse: Preventing Speculative Memory-error Abuse with Artificial Data Dependencies
历史上,研究人员将基于内存安全的攻击和猜测执行攻击视为两个独立的领域。最近的研究提出了猜测内存错误滥用(SMA)攻击,结合了内存损坏漏洞和类似Spectre的基础操作。利用SMA,攻击者可以泄露敏感程序信息,并且破坏多种内存损坏减轻措施,包括(K)ASLR、基于软件的XOM,甚至ARM PA,最终实现端到端(架构可见的)利用。我们提出了Eclipse:一种针对SMA攻击的新颖保护方案。Eclipse通过将人工数据依赖传播到敏感数据上,防止CPU在猜测执行期间使用攻击者控制的数据。我们证明Eclipse对猜测探测和Pacman式攻击提供了全面保护,这两者是针对x86(-64)和ARM架构的猜测内存错误滥用攻击的两个显著示例。我们在x86-64上评估了Eclipse的性能,结果表明与其他强化方法相比,它带来的开销极小,在SPEC CPU 2017上引入≈0%至9.5%的减速,在真实应用中最高减速为8.6%,在Linux内核中开销可以忽略不计。
论文链接:https://doi.org/10.1145/3658644.3690201
57、Efficient Scalable Multi-Party Private Set Intersection(-Variants) from Bicentric Zero-Sharing
多方私有集合交集(MPSI)允许 n(n≥3)个参与者,每个参与者持有大小为 m 的数据集,以在不透露任何额外信息的情况下计算他们集合的交集。我们提取了一种称为双心零共享的原语,这可以将 MPSI 降至两个中央参与者(称为主节点和领导者)之间的双方 PSI。我们介绍了一种高效的双心零共享实例,它涉及一次对一个无知键值存储(OKVS)对象的共享和重建。然后,我们将此构造与双方 PSI 结合,提出了一种新的高效可扩展的 MPSI 协议。我们还根据双心零共享提出了计算 MPSI 变体的协议,例如多方私有集合交集基数(MPSI-CA)和多方阈值私有集合交集(MTPSI)。我们的协议主要基于对称密钥操作,每个参与者的通信复杂度至多为 O(n+m)。我们的协议的安全性依赖于领导者和主节点不串通的假设,这在许多场景中是适用的。在此情况下,我们的协议在半诚实模型中对任意串通(除了领导者和主节点)是安全的。此外,在随机预言模型中,我们的协议对多达 n-2 个恶意客户端(即参与者,除了领导者和主节点)是安全的。所有这些协议在参与者数量上实现了可扩展性。我们通过实现和与最先进 MPSI 的比较展示了我们协议的可扩展性。实验表明,当计算 15 个参与者每个数据集包含 220 个元素的 MPSI 时,我们的协议在局域网环境下比 CCS'21(由 Nevo 等人提出)快 46.4 倍,在广域网环境下快 18.3 倍,并且所需的通信成本比最先进的方案低 24.7 倍,随着参与者数量和集合大小的增加,改进变得更加显著。据我们所知,我们的协议是首次报告超过 100 个参与者的协议。对于 140 个参与者,每个数据集包含 220 个元素,我们的 MPSI 和 MPSI-CA 协议在局域网环境下所需的时间分别仅为 4.557 秒和 16.02 秒。
论文链接:https://doi.org/10.1145/3658644.3690245
58、Efficient Secret Sharing for Large-Scale Applications
阈值秘密共享技术允许将一条消息分发给n个参与者,使得任何少于t个参与者的子集不能知道这条消息,而至少t个参与者的任何子集都能够恢复这条消息。尽管这是一个基本的原语,秘密共享仍然存在一个显著的缺陷,那就是其消息重构算法在计算上对于大型隐私阈值t来说是非常昂贵的。本文旨在解决这一重大缺陷。我们研究一般的(t,c)-Ramp秘密共享方案,其中用于重构秘密的参与者数量c可能大于t。我们提出了一种Ramp秘密共享方案,其重构时间比以往适用于可适应性破坏参与者的构造快2-7.8倍。对于t = 220,我们的新协议的重构时间为5秒,而先前的工作需要近半分钟。我们看到,从t = 256开始就有了改善。此外,我们获得的正确性阈值小至c ≥ 1.05t。为了获得我们的构造,我们首先改进了Cramer等人(EUROCRYPT'15)和Applebaum等人(CRYPTO'23)基于擦除码的秘密共享框架。我们的新框架获得了可用于对抗具有适应性破坏的对手的秘密共享方案,同时只需要来自底层擦除码的较弱的正确性保证,并具有分布式生成属性。此外,我们的新框架还保持了先前工作的线性同态性质。随后,我们提出了一种具体高效的擦除码,来自随机带状矩阵,满足分布式生成属性。我们展示了我们的秘密共享方案可以改善许多现实世界的应用。在联邦学习的安全聚合协议中,通过用我们的构造替换Shamir的方案,我们在计算成本上获得了高达22%的减少。我们扩展了我们的协议,以获取一个可验证的Ramp秘密共享方案,其中每个参与者可以验证份额的一致性。我们新的可验证Ramp秘密共享方案在共享速度上比以往的工作快8.2-25.2倍,在重构时间上快2.7-23.2倍。最后,我们提出了一种改进的分布式可验证随机函数,可用于去中心化随机信标。
论文链接:https://doi.org/10.1145/3658644.3670379
59、Employees' Attitudes towards Phishing Simulations: "It's like when a child reaches onto the hot hob"
电子邮件钓鱼攻击仍然是IT安全领域面临的最重大挑战之一,通常被用作初步入侵的手段。许多组织依赖钓鱼模拟来教育员工识别可疑电子邮件。以往的研究分析了这些钓鱼模拟的有效性,但结果各异。然而,员工对钓鱼模拟的认知和态度却鲜有关注。本文呈现了我们与一家跨国公司合作进行的一项研究的发现,该公司在超过12个月的时间内进行了钓鱼模拟。我们首先开展了一项涉及757名员工的定量调查,然后进行与22名参与者的定性访谈,以深入了解员工对钓鱼模拟及相应电子学习的看法。我们未能找到证据表明员工感到受到组织的攻击,正如之前的研究所怀疑的那样。相反,我们发现86.9%的员工具有积极或非常积极的钓鱼模拟态度。访谈中显示,部分员工为电子邮件处理开发了新习惯,但大多数员工表示自己变得更加警惕,尽管并没有具体的变化。此外,我们发现钓鱼模拟会产生一种虚假的安全感,因为员工感到它们提供了保护。此外,沟通和反馈的缺乏可能会对员工的态度产生负面影响,并导致不良后果。最后,我们指出,只有少部分点击钓鱼网站的员工与互动电子学习元素进行了互动,这使得其客观实用性受到质疑,尽管员工们认为这些元素是有用的。
论文链接:https://doi.org/10.1145/3658644.3690212
60、End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem
端到端加密的云存储为个人和组织提供了一种将存储需求委托给第三方的方式,同时通过密码学技术来控制他们的数据。我们对生态系统中的各种产品进行了密码学分析,显示出许多提供商未能提供足够的安全级别。特别是,我们深入分析了五个端到端加密的云存储系统,即 Sync、pCloud、Icedrive、Seafile 和 Tresorit,假设存在恶意服务器。这些公司的用户总数超过2200万,并且在该领域是主要提供商。我们揭示了四个系统中存在严重的密码学漏洞。我们的攻击使这些系统提供商所做的市场宣传失效,表明在某些情况下,恶意服务器可以向用户的加密存储中注入文件、篡改文件数据,甚至直接访问文件的内容。我们的许多攻击以相似的方式影响多个提供商,揭示了独立密码学设计中的共同失败模式。最后,我们讨论了这些模式在特定提供商安全性之外的重要性。
论文链接:https://doi.org/10.1145/3658644.3690309
61、Ents: An Efficient Three-party Training Framework for Decision Trees by Communication Optimization
基于安全多方计算的决策树多方训练框架使多个参与方能够在分布式私有数据上进行高性能模型的训练,同时保持隐私。训练过程本质上涉及根据划分标准(例如戈尼不纯度)频繁进行数据集划分。然而,现有的决策树多方训练框架显示出通信效率低下,主要存在以下问题:(1) 在安全地划分具有连续属性的数据集时,会产生巨大的通信开销。(2) 由于几乎所有计算都在一个大型环上进行以适应安全计算,从而导致巨大的通信开销。本文旨在通过通信优化提出一个高效的三方训练框架,称为Ents,用于决策树。针对第一个问题,我们提出了一系列基于安全基数排序协议的训练协议,以高效且安全地划分具有连续属性的数据集。针对第二个问题,我们提出了一种高效的共享转换协议,以在小型环和大型环之间进行共享转换,从而减少因几乎所有计算都在大型环上进行而产生的通信开销。来自八个广泛使用的数据集的实验结果表明,Ents在通信大小上优于最先进的框架5.5倍至9.3倍,在通信轮次上优于3.9倍至5.3倍。在训练时间方面,Ents的改进幅度为3.5倍至6.7倍。为了证明其实用性,Ents在广泛使用的真实世界数据集(皮肤分割)上安全训练一个决策树所需时间少于三个小时,该数据集包含超过245,000个样本,并在广域网环境下进行。
论文链接:https://doi.org/10.1145/3658644.3670274
62、Evolving Network Security in the Era of Network Programmability
软件定义网络(SDN)是一种集中式网络架构,能够实现动态、可编程和灵活的网络管理,推动网络安全等技术的发展。然而,它也因数据、控制和应用层的分离而引入了新的脆弱性,增加了攻击面和安全漏洞,这与可编程性、灵活性和可扩展性带来的复杂性相关。为了加强SDN下的网络安全,我们开发了一种协调采样策略,利用P4编程进行自适应网络监测。此外,我们揭示了一种由流条目引发的拓扑污染攻击,以突出未计划模块集成所带来的安全漏洞。最后,我们建议通过概括SDN安全策略并对其进行模糊测试,以揭示未知的脆弱性,从而强化SDN控制平面。
论文链接:https://doi.org/10.1145/3658644.3690859
63、Exploiting Temporal Vulnerabilities for Unauthorized Access in Intent-based Networking
基于意图的网络(IBN)使网络管理员能够表达高层次的目标和网络策略,而无需指定低层次的转发配置、拓扑或协议。管理员可以定义捕捉他们希望网络整体行为的意图,而IBN控制器则将这些意图编译成低层次的配置,这些配置会被安装在网络中并实现所需的行为。我们发现,目前的IBN规范和实现并未规定应强制执行流规则安装的顺序,这导致了时间性漏洞,在有限的时间内,攻击者可以利用不确定的连接行为来获得未经授权的网络访问。在本文中,我们分析了这些时间性漏洞的原因及其安全影响,并通过ONOS IBN实现进行了代表性的案例研究。我们设计了幻影链接攻击,并展示了一个有效的利用示例,以突出其安全影响。为防御此类攻击,我们提出了“聚光灯”(Spotlight),这是一种检测方法,可以提醒系统管理员注意易受可利用时间性漏洞影响的高风险意图更新。Spotlight在使用现实网络拓扑和策略时,能够有效识别高风险更新。我们展示了Spotlight在超过1300个节点的拓扑中,平均可以在0.65秒内检测到高风险更新。
论文链接:https://doi.org/10.1145/3658644.3670301
64、FABESA: Fast (and Anonymous) Attribute-Based Encryption under Standard Assumption
基于属性的加密(ABE)为加密数据提供细粒度的访问控制,并在多个领域找到了应用。ABE方案的实用性在于安全性与效率之间的平衡。最新的自适应安全ABE方案(FAME,CCS'17)已证明在标准假设下具有自适应安全性,但与效率最高的方案(FABEO,CCS'22)相比,其效率较低,而后者仅在通用群模型(GGM)下被证明是安全的。这些传统的ABE方案仅关注消息隐私。为了解决属性值信息也敏感的场景,匿名ABE(A2BE)确保消息和属性的隐私。然而,大多数A2BE方案由于设计复杂而效率低下,而最快的密钥策略A2BE(在FEASE,USENIX'24提出)则依赖于GGM的安全性。
在本文中,我们提出了新颖的快速密钥策略和密文策略ABE方案:(1) 支持访问策略中的AND和OR门;(2) 对政策或属性的大小和类型没有限制;(3) 在标准DLIN假设下实现自适应安全;(4) 解密时只需4次配对。由于我们的ABE构造自动提供密文匿名性,我们可以轻松地将我们的ABE方案转化为A2BE方案,同时保持相同的特性和高效性。
实施结果表明,我们的所有方案在与其他在标准假设下证明具有自适应安全性的方案相比时,均实现了最佳效率。具体而言,我们的ABE方案的性能优于FAME,并接近FABEO。我们的密钥策略A2BE方案的性能接近FEASE中的方案,而我们的密文策略A2BE则超越了最新成果(Cui等,ProvSec'16)。
论文链接:https://doi.org/10.1145/3658644.3670321
66、Fake It till You Make It: Enhancing Security of Bluetooth Secure Connections via Deferrable Authentication
蓝牙协议用于设备之间的无线连接,配备了多项安全措施,以保护数据的机密性和完整性。这些安全协议的核心是安全简便配对(Secure Simple Pairing),通过该协议,设备可以在传输敏感数据之前协商共享密钥。尽管出于良好的意图,蓝牙安全协议却一再被证明存在漏洞,尤其是在对安全简便配对的主动攻击方面。在此我们提出了一种机制,以限制针对安全连接协议(安全简便配对协议的更安全版本)的主动攻击,而不侵犯当前蓝牙协议栈规范。我们的想法是在现有基础设施中运行认证协议,比如用于认证密钥的经典挑战响应步骤,即使是在稍后更方便的时机。我们证明,这一步认证不仅确保了未来加密密钥的新鲜度,还有一个有趣的特点是,它——事后——也保证了先前派生的加密密钥的安全性。接下来我们论证,这一方法确实能够防止已知的一大批针对蓝牙协议的攻击。
论文链接:https://doi.org/10.1145/3658644.3670360
67、Fast and Accurate Homomorphic Softmax Evaluation
同态加密是构建安全且隐私保护的“机器学习即服务”的主要解决方案之一,这在人工智能日益普及的社会中是一个重大挑战。这促使我们开发同态算法,以支持AI的主要构建模块,通常针对各种类型神经网络架构的组件。我们特别关注Softmax函数,其定义为Softmax(x) = (exp(xi) / ∑j=1n exp(xj)),1 ≤ i ≤ n。由于其多变量特性以及exp(xi)的值范围非常大,该函数被认为是最难以同态计算的函数之一。可用的同态算法仍然受到限制,尤其是在高维情况下,而重要应用,如大型语言模型(LLM),要求对高维向量计算Softmax。我们的算法在范围和维度方面具有强大的可扩展性,同时保持了非常好的数值准确性。在计算的乘法深度(作为同态算法成本的适当衡量标准)方面,我们的算法在固定输入范围内实现了O(log n)的复杂度,其中n是Softmax的维度。我们的算法特别适合同时需要计算多个Softmax的情况,例如在LLM的情境中。在这种情况下,假设所有Softmax调用都打包到m个密文中,对每个密文的渐近均摊乘法深度成本在固定范围内是O(1 + m/N),其中N是同态环的度数(通常N=216,实际上N ≫ m)。我们算法的主要组成部分是一种归一化和平方策略,该策略能够将(数值不稳定的)指数计算与(非常昂贵的)归一化交错处理,将二者分解为更稳定且更便宜的小步骤。我们已经使用CKKS同态加密系统的HEaaN实现了我们的算法。与目前的技术相比,我们的实验表明,实际上,相较于当前的解决方案,有2.5到8倍的性能提升。这些实验展示了良好的准确性(在最坏情况下约为16位精度,平均约为20位)并支持维度上的线性行为。多密文版本使我们能够在486秒内并行计算8192个维度为256的Softmax(单线程CPU),相当于每调用一次Softmax平摊0.06秒。32层LLaMa大型语言模型(7B版本)在RTX-6000 GPU上处理上下文长度为128的所有Softmax调用大约需要1.5分钟,而用于生成标记的32768维Softmax的最终调用则少于3秒。这表明,借助专用硬件,几乎满足实用性是可行的。
论文链接:https://doi.org/10.1145/3658644.3670369
68、Fisher Information guided Purification against Backdoor Attacks
近年来关于后门攻击的研究表明,攻击者可以通过操控一小部分训练样本来破坏深度神经网络(DNN)的完整性。我们的分析表明,这种操控会导致后门模型收敛到较差的局部最小值,即与良性模型相比,后者的最小值更加尖锐。直观而言,后门可以通过重新优化模型以达到更加平滑的最小值来进行净化。然而,简单地采用任何针对平滑最小值的优化方法可能导致次优的净化技术,从而影响正常测试的准确性。因此,为了有效地实现这种重新优化,基于我们新颖的观点,建立了后门去除与损失平滑性之间的联系,我们提出了<u>F</u>isher <u>I</u>nformation guided <u>P</u>urification (FIP),一个新颖的后门净化框架。所提的FIP由一系列新颖的正则化项组成,帮助模型抑制后门效应,并通过利用费舍尔信息矩阵(FIM)的知识,在后门去除过程中保持对干净数据分布的获得知识。此外,我们引入了FIP的高效变种,称为Fast FIP,它显著减少了可调参数的数量,并获得了近5倍的运行时增益。大量实验表明,所提出的方法在多种后门防御基准测试中实现了先进的(SOTA)性能:5个不同任务——图像识别、目标检测、视频动作识别、3D点云、语言生成;11个不同数据集,包括ImageNet、PASCAL VOC、UCF101;包含CNN和视觉变换器的多样化模型架构;14种不同的后门攻击,例如动态攻击、WaNet、LIRA、ISSBA等。我们的代码可以在此链接访问:https://github.com/nazmul-karim170/FIP-Fisher-Backdoor-Removal GitHub库。
论文链接:https://doi.org/10.1145/3658644.3690250
69、Foundations for Cryptographic Reductions in CCSA Logics
计算完全符号攻击者(CCSA)对安全协议验证的方法依赖于概率逻辑,以推理协议与任意对手之间的交互轨迹。证明助手Squirrel实现了这样一种逻辑。CCSA逻辑伴随有加密公理,其正确性源于标准加密游戏的安全性,例如伪随机函数(PRF)、扩展唯一性不可伪造(EUF)、选择密文攻击下的不可区分性(IND-CCA)。不幸的是,这些公理的设计和实现复杂;迄今为止,这些任务都是手工完成的,临时性的且容易出错。我们通过提供一种从加密游戏中推导公理的正式和系统的方法来解决这些问题。我们的方法依赖于合成一个针对某些加密游戏的对手,通过双推理的概念。具体而言,我们定义了一种丰富的双推理概念,论证如何利用它来推导加密公理,提供了双推理的证明系统,以及我们在Squirrel中实现的自动证明搜索方法。
论文链接:https://doi.org/10.1145/3658644.3690193
70、Fuzz to the Future: Uncovering Occluded Future Vulnerabilities via Robust Fuzzing
软件系统的安全形势通过动态测试方法,特别是模糊测试(fuzzing),经历了显著的进步。传统的模糊测试采用一种顺序循环的过程,对软件进行测试以识别崩溃。这些崩溃随后进行分类和修补,导致后续循环揭示进一步的漏洞。尽管这种方法有效,但效率不高,因为每个循环可能会暴露出先前崩溃所掩盖的新问题,导致漏洞被顺序发现。
在本文中,我们提出了一种识别被遮蔽的未来漏洞的解决方案——那些由于当前漏洞遮蔽触发路径而难以或不可能触发的漏洞。我们引入了稳健模糊(robust fuzzing),这是一种新颖的技术,使模糊测试者能够超越立即崩溃的位置进行探测,发现新的漏洞或已知漏洞的变种。我们将稳健模糊实现于FlakJack,这是一款开创性的模糊测试附加组件,利用二进制补丁主动识别隐藏在当前崩溃后面的被遮蔽的未来漏洞。通过使模糊测试者能够绕过立即崩溃点深入软件,FlakJack不仅加速了漏洞发现的过程,而且显著提高了软件测试的有效性。在FlakJack的帮助下,我们在经过广泛测试的OSS-Fuzz项目中的项目中发现了28个新的漏洞。这种方法承诺在漏洞识别和管理方面带来变革,旨在长期缩短漏洞发现的时间跨度。
论文链接:https://doi.org/10.1145/3658644.3690278
71、Fuzzing JavaScript Engines with a Graph-based IR
基于变异的模糊测试有效地发现了JavaScript引擎中的缺陷。高质量的变异是基于变异的模糊测试器性能的关键。底层表示的选择(例如,令牌序列、抽象语法树或中间表示)定义了可能的变异空间,进而影响变异操作符的设计。目前在JavaScript引擎模糊测试中的程序表示主要集中在抽象语法树和定制的字节码级中间语言。然而,现有的工作在生成语义上有效和有意义的变异方面面临困难,这限制了对JavaScript引擎缺陷的发现。我们提出的基于图的中间表示FlowIR,直接将JavaScript的控制流和数据流作为变异目标。FlowIR对于实现强大的语义变异至关重要。它支持在数据流和控制流级别的变异操作符,从而扩展了变异操作符的粒度。实验结果表明,我们的方法在发现新漏洞方面更为有效。我们的原型FuzzFlow在生成有效测试用例和探索代码覆盖方面超过了最先进的模糊测试器。在我们的评估中,我们在经过充分测试的主流JavaScript引擎中检测到了37个新缺陷。
论文链接:https://doi.org/10.1145/3658644.3690336
72、GPSBuster: Busting out Hidden GPS Trackers via MSoC Electromagnetic Radiations
随着隐藏GPS追踪设备威胁的加剧,个人隐私和安全面临重大风险。这些GPS设备因其小型化和误导性外观而引人注目,可以轻易伪装在周围环境中,使得检测变得极为困难。本文提出了一种新颖的侧信道驱动检测系统——GPSBuster,利用GPS追踪器发出的电磁辐射(EMR)。我们的可行性研究和硬件分析表明,追踪器操作所产生的独特EMR模式源自混合信号系统中的石英振荡器、本地振荡器和混频器。然而,作为一种侧信道泄漏,EMR可能极为微弱,并受到环境噪声干扰,从而使检测变得不切实际。为了应对这些挑战,我们开发了信号处理技术,包括噪声去除和双维折叠机制,以积累频谱能量,提高EMR模式的信噪比(SNR)。我们的检测原型使用便携式HackRF One设备构建,允许用户以扫描检测的方式进行操作,并在各种测试案例中,对于销量前十的GPS追踪器实现了98.4%的总体成功率。最大检测范围为0.61米。
论文链接:https://doi.org/10.1145/3658644.3690362
73、Gaussian Elimination of Side-Channels: Linear Algebra for Memory Coloring
内存着色是一种基于软件的技术,用于确保共享CPU的信任域之间的微体系结构隔离。以前的着色方案针对单独的微体系结构组件,因此只能提供部分解决方案。本文提供了推导现代云CPU的综合着色方案的理论基础和实际算法。为此,我们首先在集合论模型中制定有效内存着色方案的要求,包括对共享组件的同时隔离和对私有组件的统一利用的定义。然后,我们代数地表征了这些要求,针对线性函数索引的微体系结构组件,这是当前CPU中普遍存在的情况。在此基础上,我们开发了高效的算法,从线性索引函数计算多资源着色方案,并在最小假设下对未知线性索引函数进行逆向工程。在一个案例研究中,我们使用我们的算法为最近的英特尔CPU计算着色方案,并展示了如何设计索引函数以最大化所支持的信任域数量。
论文链接:https://doi.org/10.1145/3658644.3690263
74、Glitch-Stopping Circuits: Hardware Secure Masking without Registers
掩蔽是保护实现免受功率和电磁侧信道攻击的最流行的对策之一,因为它提供了可证明的安全性。Ishai等人在CRYPTO'03上证明,掩蔽在对d-阈值探测对手的攻击下是安全的,但该对手模型没有考虑任何物理硬件缺陷,因此当掩蔽方案作为硬件电路实现时,仍然显示出脆弱性。为了解决这些局限性,出现了故障扩展探测对手及相应的抗故障掩蔽方案。本文引入了故障停止电路,当使用寄存器实例化时,它与通过抗故障掩蔽保护的电路相一致。然后,我们展示了如何通过使用时钟逻辑门或锁存器实例化无需寄存器的故障停止电路。该方法在ASIC和FPGA上得到了说明,提供了一种有前景的替代传统基于寄存器的掩蔽实现的方案。与传统的基于寄存器的方法相比,这些无寄存器的解决方案可以将延迟降低到一个周期,并实现更低的面积成本。我们证明并通过实验确认,所提出的解决方案与基于寄存器的方案同样安全。总之,本文提出了一种新方法,以在不危及安全性的情况下解决基于寄存器的硬件掩蔽的延迟问题。该方法不仅将延迟减少到一个时钟周期,还改善了实现的面积成本。
论文链接:https://doi.org/10.1145/3658644.3670335
75、Gopher: High-Precision and Deep-Dive Detection of Cryptographic API Misuse in the Go Ecosystem
加密API的复杂性以及开发人员的专业知识差距,常常导致其被不当使用,严重威胁信息安全。现有的依赖黑白名单方法的加密API误用检测工具,需要专家手动建立检测规则。这些工具难以动态更新规则,并且难以扩展以覆盖众多非官方的加密库。此外,由于这些工具主要针对非Go语言,因此在广泛用于安全中心应用程序的Go生态系统中,它们的适用性和准确性有限。为了缓解这些挑战,我们提出了Gopher,一个新型的加密误用检测框架,特别擅长于封装API和跨库检测。在这个框架中,我们设计了CryDict,将规则转换为统一和标准化的约束,能够在扫描过程中推导新的使用规则并阐明隐含知识。Gopher利用CryDict,在规则制定与检测器检测之间创建逻辑分离,使约束能够动态更新,从而增强检测能力。这显著提高了Gopher的兼容性和可扩展性。通过使用Gopher,我们对Go生态系统进行了广泛的分析,检查了19,313个Go项目。在我们的严格测试中,Gopher表现出惊人的98.9%的准确率,并识别出64.1%之前未检测到的误用。这次审查暴露了众多隐藏的安全漏洞,并揭示了各种项目类别中的误用趋势。
论文链接:https://doi.org/10.1145/3658644.3690276
76、Gramine-TDX: A Lightweight OS Kernel for Confidential VMs
虽然机密虚拟机(CVMs)已成为硬件辅助机密计算的重要方式,但它们的主要用法并不适合小型、专用且安全性关键的工作负载,即传统的虚拟机及其常规操作系统分发导致了较大的受信计算基。本文提出了 Gramine-TDX 操作系统内核,以执行精简的、单一目的的、以安全为先的未修改的 Linux 工作负载,具有最小的攻击面。与典型的 Linux 内核相比,Gramine-TDX 的代码基在二进制大小上约小 50 倍,并且具有显著较小的攻击面,这使其非常适合新兴的云原生机密计算工作负载。我们对 11 个工作负载的评估表明,对于 CPU 和内存密集型应用,Gramine-TDX 的平均开销为 1-25%。而对于网络和文件系统密集型应用,性能可能下降至本地应用的 6%,因为 Gramine-TDX 在虚拟硬件通信中优先考虑安全性而不是优化。我们的原型是基于 Intel® 信任域扩展(TDX)构建的。
论文链接:https://doi.org/10.1145/3658644.3690323
77、Graphiti: Secure Graph Computation Made More Scalable
隐私保护图分析允许在存储敏感信息的图上进行计算,同时确保图的拓扑结构以及与节点和边相关的数据保持隐藏。目前的工作通过设计一个高度可扩展的框架Graphiti来解决这个问题,该框架允许安全地实现任何图算法。Graphiti依赖于安全多方计算(MPC)技术,设计了一个通用框架,在此框架中,比Araki等人的最新框架GraphSC(CCS'21)有了改进。其关键技术贡献在于,Graphiti的轮次复杂性与图的大小无关,从而实现了所需的可扩展性。具体而言,这一目标是通过(i)将GraphSC的散播(Scatter)原语解耦为传播(Propagate)和应用(ApplyE)两个独立操作,(ii)设计了一种新颖的常数轮次方法来实现传播,以及(iii)通过利用聚合操作的线性特性,设计了一种新颖的常数轮次方法来实现GraphSC的聚集(Gather)原语。我们基于广度优先搜索(BFS)对Graphiti进行基准测试,以用于接触追踪,测试10跳时发现,在处理大小为10^7的图时,计算耗时不到2分钟。具体而言,与最新技术相比,其在线运行时间最多提高了1034倍。与Araki等人的GraphSC类似,由于Graphiti依赖用于洗牌的安全协议,我们还设计了一种在二方与助手设置下,针对半诚实对手的安全洗牌协议。考虑到洗牌协议的多功能性,所设计的解决方案具有独立的兴趣。因此,我们还基准测试了所设计的洗牌,观察到在考虑大小为10^7的输入向量时,在线运行时间最多提高了1.83倍,相较于在特定设置下的最新技术。
论文链接:https://doi.org/10.1145/3658644.3670393
79、Helium: Scalable MPC among Lightweight Participants and under Churn
我们介绍了Helium,这是一个新颖的框架,支持可扩展的安全多方计算(MPC),适用于轻量级参与者并能够容忍动态参与者的变动。Helium依赖多方同态加密(MHE)作为其核心构件。尽管MHE方案在理论上得到了很好的研究,但先前的工作未能解决那些对于采用至关重要的关键考虑事项,例如支持资源受限和连接不稳定的参与者。在这项工作中,我们从实际角度系统化了基于MHE的MPC协议的需求,并提出了一种新的执行机制来解决这些考虑。我们在Helium中实现了这一执行机制,使其成为首个基于密码学假设支持网络变动下MPC的实现框架。我们展示了一个由30个参与方组成的Helium网络,连接速度为100Mbits/s,经历每分钟40次故障的系统级变动,可以以每秒8.3次的速度计算一个固定的512x512秘密矩阵(例如,一个共同训练的私有模型)和一个新鲜秘密向量(例如,一个特征向量)之间的乘积。这比在无变动情况下运行的最先进MPC框架快了约1500倍。
论文链接:https://doi.org/10.1145/3658644.3670346
80、High-Throughput Three-Party DPFs with Applications to ORAM and Digital Currencies
分布式点函数 (DPF) 正越来越成为应用特定和通用安全计算的基础工具。虽然针对性能可满足的应用提供了双方 DPF 构造,但三方 DPF 在安全性和效率上却相对滞后。本文填补了这一空白,提出了首个在所有指标上与最先进的双方 DPF 相匹配的三方 DPF 构造。即它能够抵御恶意对手破坏经销商和三位评估者中的一位,其函数的份额大小相同,并且评估时间与最佳的双方 DPF 相同。与最先进的三方 DPF 相比,我们的构造在函数域为 216 至 240 时,其函数份额大小减少 40 至 120 倍,评估时间更短。
除了 DPF 作为独立工具外,我们的构造在私密信息检索 (PIR)、私密写入 (PIW) 和无知随机存取存储器 (ORAM) 等方面也有直接应用。为了进一步展示其适用性,我们设计并实现了一个具有访问策略的 ORAM,这是对 ORAM 的扩展,其中在访问底层数据库之前需检查策略。我们所插入的策略适用于基于账户的数字货币,特别是中央银行数字货币 (CBDCs)。我们的协议提供了大规模隐私保护的基于账户的数字货币的首次设计和实现。虽然先前的工作支持的匿名集规模为 64-256 客户端,且每秒少于 10 次交易 (tps),但我们的协议支持百万级的匿名集,对于匿名集规模分别为 {216, 218, 220},其交易速度为 {500, 200, 58} tps。
为了该应用,我们引入了一种新原语,称为可更新 DPF,允许 DPF 与向量之间的点积进行直接计算;我们相信可更新 DPF 和新点积协议将在其他应用中引起关注。
论文链接:https://doi.org/10.1145/3658644.3670292
81、HyperTheft: Thieving Model Weights from TEE-Shielded Neural Networks via Ciphertext Side Channels
可信执行环境(TEEs)被广泛用于保护深度神经网络(DNN)免受不可信主机(例如,虚拟机监控器)的攻击。通过加密将DNN完全作为黑盒来保护,TEEs减轻了模型权重泄露及其后续的白盒攻击。然而,本文揭示了由于针对TEEs的新兴威胁,TEE保护的DNN的机密性可能会受到侵犯:TEEs的密文侧信道在DNN执行期间产生与权重相关的观察结果。尽管可以通过密文侧信道推断DNN权重,但现有技术由于其过于严格的要求以及DNN权重所需的高精度而无法适用。一个DNN可能有数百万个权重元素,即使只有几个恢复错误的权重元素,也可能使DNN失去功能。我们提出了一个新观点,重点关注DNN权重的功能性,而不是每个权重元素的确切值。因此,我们设计了HyperTheft,直接利用密文侧信道生成与受害者DNN功能等效的权重。HyperTheft在高度实用的设置下建立;与先前的方法相比,它展现了最弱的要求。当仅知道受害者DNN的输入类型和任务类型(这些是公开的,并表示使用DNN所需的最少信息)时,HyperTheft可以利用在受害者DNN一次执行过程中记录的密文侧信道恢复其权重。整个过程不要求攻击者1)查询受害者DNN,2)拥有DNN接受的有效数据,或3)了解受害者DNN的结构。我们的评估生成了超过8000个DNN权重,在不同DNN运行时中始终实现77%~97%的测试准确率,包括各种版本的PyTorch和DNN可执行文件。我们恢复的权重随后可以导致训练数据泄露和严重的位翻转攻击。
论文链接:https://doi.org/10.1145/3658644.3690317
82、I Don't Know You, But I Can Catch You: Real-Time Defense against Diverse Adversarial Patches for Object Detectors
深度神经网络(DNNs)以其无与伦比的性能,彻底改变了计算机视觉领域,特别是在目标检测方面。然而,现有研究表明,DNNs容易受到对抗性攻击。在物理世界中,攻击者可以利用对抗性补丁实施隐藏攻击(HA),通过遮盖目标物体使其从检测器中消失;还可以实施出现攻击(AA),使检测器错误地将补丁识别为特定物体。近年来,许多针对检测器的防御方法被提出,以减轻对抗性补丁的潜在威胁。然而,这些方法在泛化能力、鲁棒性和效率方面仍存在局限性。大多数防御方法仅对HA有效,使得检测器在面对AA时依然脆弱。本文提出了一种创新模型NutNet,用于检测对抗性补丁,具备高泛化性、鲁棒性和效率。通过对包括YOLOv2-v4、SSD、Faster RCNN和DETR在内的六种检测器在数字和物理领域进行实验,结果表明,我们的方法能够有效防御HA和AA,仅牺牲0.4%的干净性能。我们将NutNet与四种基线防御方法进行比较,发现我们的模型在HA和AA方面的平均防御性能分别超过了现有方法2.4倍和4.7倍。此外,NutNet仅使推理时间增加8%,能够满足检测系统的实时需求。NutNet的演示和完整论文可在以下网址查看:https://sites.google.com/view/nutnet。
论文链接:https://doi.org/10.1145/3658644.3670317
83、ISABELLA: Improving Structures of Attribute-Based Encryption Leveraging Linear Algebra
基于属性的加密(ABE)是一种强大的原语,已在需要访问控制的重要现实场景中找到了应用。与传统的公钥加密相比,ABE 被确立为一种复杂得多的原语,并且实现效率较低。因此,简化设计既高效又提供强安全保证的 ABE 方案是至关重要的,同时还需尽量减少描述的复杂性,并支持常见现实场景所需的所有实用特性。其中一个当前仍然难以实现的实用特性是多权威支持。受到 NIST 在多权威方案标准化努力中的推动,我们特别关注在方案设计中简化对多个权威的支持。
为此,我们提出了 ISABELLA,这是一个在强安全保证下构建具有高级功能的基于配对的 ABE 的框架。在高层次上,我们的方法建立在各种系统性和通用地构建 ABE 方案的研究基础上,通过将安全性证明的工作减少到一个更简单但强大的“核心”,即配对编码。为了支持多权威 ABE 所需的适应性量,我们设计了一种新的方案构建方法,基于配对编码,同时仍能利用配对编码所提供的优势。作为我们框架的直接结果,我们获得了现有(多权威)方案和新方案的各种改进。
论文链接:https://doi.org/10.1145/3658644.3690371
84、Image-Perfect Imperfections: Safety, Bias, and Authenticity in the Shadow of Text-To-Image Model Evolution
文本生成图像模型,如稳定扩散(Stable Diffusion,SD),通过迭代更新来提高图像质量并解决安全性等问题。图像质量的提升很容易评估。然而,模型更新如何解决现有问题,以及是否引发新的问题仍然未被深入研究。本研究从安全性、偏见和真实性的角度初步探讨了文本生成图像模型的发展。我们的发现主要集中在稳定扩散上,显示模型更新呈现出复杂的情况。尽管更新逐步减少了不安全图像的生成,但偏见问题,特别是在性别方面的偏见却加剧。我们还发现,负面刻板印象要么在同一非白人种族群体内持续存在,要么通过SD更新转移到其他非白人种族群体,且这些特征与白人种族群体的关联性较小。此外,我们的评估揭示了一个新的问题,源于SD更新:最先进的假图像检测器,最初是为早期SD版本训练的,难以识别由更新版生成的假图像。我们展示了对更新版本生成的假图像进行微调训练的检测器在多个SD版本上至少达到96.6%的准确率,从而解决了这一问题。我们的研究结果突显了持续努力以减少演变中的文本生成图像模型中的偏见和脆弱性的重要性。
论文链接:https://doi.org/10.1145/3658644.3690288
85、Isolate and Detect the Untrusted Driver with a Virtual Box
在内核中,驱动程序代码远远超过核心代码,因此具有更大的攻击面。特别是对于没有源代码的非可信驱动,它们可能来自热拔插硬件或没有安全知识的用户。传统的隔离方法需要分析源代码以在驱动程序中设置检查点以保护控制流,但对于闭源驱动程序,这些检查点是不可用的。更糟糕的是,现有的隔离方法只能防止被劫持的控制流进入/离开驱动程序,而无法发现驱动程序内部的非法控制流。尽管内核地址空间位置随机化(KASLR)可以防御控制流劫持,但可以通过代码探针绕过。针对这些问题,本文提出了一种新方法Dbox,用于隔离和检测源代码不可用的非可信驱动。Dbox创建了一个轻量级的虚拟监控程序,以在不依赖源代码的情况下监控和分析非可信驱动的行为。它将非可信驱动隔离在一个私人空间中,并通过滑动空间机制动态改变其虚拟空间。在Dbox的保护下,所有跳转到/离开非可信驱动的控制流都可以被检测到。实验和分析表明,Dbox在对抗代码探针、内核根套件和代码重用攻击方面具有良好的保护能力,并且在一般场景下对操作系统引入的开销少于3.6%。
论文链接:https://doi.org/10.1145/3658644.3670269
扫一扫
4651
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
