signature schemes from la2ces
play

Signature Schemes from La2ces Ananth Raghunathan Stanford - PowerPoint PPT Presentation

Mar 13, 2024 •119 likes •279 views

Signature Schemes from La2ces Ananth Raghunathan Stanford University ISI Kolkata, Jan 2012 Short Integer Solu5ons (SIS) A: Z m --> (Z q ) n m

  1. Signature ¡Schemes ¡from ¡ La2ces ¡ Ananth ¡Raghunathan ¡ Stanford ¡University ¡ ISI ¡Kolkata, ¡Jan ¡2012 ¡

  2. Short ¡Integer ¡Solu5ons ¡(SIS) ¡ A: ¡Z m ¡ -­‑-­‑> ¡(Z q ) n ¡ m ¡ v = ¡ 0 (mod ¡q) ¡ A ¡ u n ¡ The ¡ISIS ¡problem ¡(hard): ¡ Given ¡ ¡ A , ¡ u ¡find ¡ v ¡such ¡that ¡ A.v ¡= ¡u ¡ ¡and ¡| v | ¡is ¡ “small” ¡ The ¡ISIS ¡problem ¡has ¡a ¡trapdoor ¡(for ¡fixed ¡ A ): ¡[GPV ¡08] ¡ “Short” ¡solu5ons ¡ to ¡ A.x ¡= ¡0 ¡ ¡ ⇒ ¡ can ¡solve ¡ISIS ¡for ¡any ¡ u ¡ Basis ¡ of ¡laTce ¡Λ ⊥ ( A ) ¡= ¡{ ¡ v ¡ | ¡ A.v ¡= ¡0 ¡ } ¡ ¡

  3. Spherical ¡Gaussian ¡Distribu5ons ¡ [images ¡courtesy ¡Peikert] ¡ LWE: ¡ Looks ¡ “uniform” ¡ in ¡ R n ¡ ¡ when ¡std-­‑dev ¡≥ ¡shortest ¡basis ¡ Sampling ¡Theorem: ¡[GPV ¡08] ¡Given ¡basis ¡ T A ¡ of ¡laTce ¡Λ, ¡can ¡ sample ¡if ¡std-­‑dev ¡≥ ¡max ¡|( T A ) i | ¡ ¡ ¡ ¡ ¡ ¡ ¡ (leaks ¡no ¡informa[on ¡about ¡ T A ) ¡

  4. GPV ¡signatures ¡ m pp ¡= ¡H, ¡ A ¡ short ¡basis ¡ T A ¡ n of ¡Λ ⊥ ( A ) ¡ ¡ m ( m ,σ= e ) ¡ Use ¡ T A ¡ to ¡ ¡ Verify ¡given ¡( m , e ) ¡that ¡ find ¡short ¡ e : ¡ A.e ¡= ¡ H( m ) ¡(mod ¡q) ¡ A.e ¡= ¡ H( m ) ¡(mod ¡q) ¡ and ¡ e ¡ is ¡“short” ¡ How? ¡ Any ¡ z : ¡ A.z ¡= ¡ H( m ) ¡ Output ¡ z ¡+ ¡ ¡ Q: ¡What ¡does ¡this ¡ distribu[on ¡look ¡like? ¡ -­‑z ¡

  5. Security ¡ e ¡ ~ ¡ ¡ Over ¡ Z m ¡ ≈ ¡ condi[oned ¡on ¡ A.e ¡= ¡ H( m ) ¡ ¡ ¡ IMP: ¡Signatures ¡independent ¡of ¡ Alice’s ¡basis. ¡Only ¡depend ¡on ¡Λ. ¡ Simula[on ¡proof ¡in ¡Random ¡Oracle: ¡ • To ¡answer ¡adversarial ¡queries, ¡pick ¡ e ¡ from ¡discrete ¡ Theorem ¡(informal): ¡ Suppose ¡that ¡the ¡SIS ¡problem ¡is ¡ Gaussian ¡over ¡ Z m ¡ ¡ hard, ¡then ¡in ¡the ¡random ¡oracle ¡model, ¡GPV ¡signatures ¡ • Set ¡H( m ) ¡= ¡ A.e ¡(mod ¡q) ¡ are ¡existen[ally ¡unforgeable. ¡ ¡ • To ¡use ¡forgery ¡ σ* ¡ on ¡ m* ¡set ¡H( m* ) ¡to ¡ A.v ¡ for ¡some ¡ known ¡ “small” ¡v ¡ • (σ* ¡-­‑ ¡v) ¡is ¡a ¡solu[on ¡to ¡SIS; ¡short ¡vector ¡in ¡Λ. ¡ ¡

  6. La2ce ¡Delega5on ¡ ( ) ⇒ ¡ ¡ ( ) Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ A ¡ A ¡ B ¡ X ¡ = ¡-­‑ ¡ B ¡ I ¡ = ¡ 0 ⇒ ¡ ¡ A ¡ B ¡ A ¡ T A ¡ X ¡ 0 ¡ More ¡importantly: ¡ Can ¡simulate! ¡ Useful ¡result: ¡[CHKP10, ¡ABB10a] ¡ B ¡ Without ¡basis ¡ ¡ can ¡output ¡ “random ¡looking” ¡ ) ( ( ) with ¡basis ¡of ¡Λ ⊥ ¡ ¡ of ¡Λ ⊥ ¡ A ¡ A ¡ B ¡

  7. ABB ¡signatures ¡ pp ¡= ¡H, ¡ A 0 ¡ A 1 ¡ A 2 ¡ short ¡basis ¡ T A ¡ of ¡Λ ⊥ ( A 0 ) ¡ ¡ m ( ¡ ) ¡ T A ¡ ⇒ ¡ ¡ ¡ Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ A 0 ¡ F m ¡ = ¡ ¡ + ¡H(m) ¡ ¡ A 2 ¡ F m ¡ A 1 ¡ ( ¡ ) ¡ = ¡“short ¡vector” ¡ in ¡Λ ⊥ A 0 ¡ F m ¡ ¡ ¡ • Standard ¡Model ¡selec[vely-­‑secure ¡signatures ¡ • Gives ¡(H)IBE ¡ • H ¡maps ¡messages ¡to ¡matrices ¡with ¡ “full ¡rank ¡difference” ¡

  8. More ¡schemes ¡ • [CHKP10]: ¡another ¡signature ¡and ¡(H)IBE ¡ ¡ – F m ¡ is ¡concatena[on ¡of ¡matrices. ¡ – Longer ¡public ¡key. ¡ – Also ¡selec[vely ¡secure. ¡ • [Boy10]: ¡ ¡ – F m ¡ is ¡subset ¡sum ¡of ¡appropriate ¡matrices. ¡ – Fully ¡secure ¡signatures ¡and ¡IBE. ¡ • [ABB10b]: ¡signatures, ¡IBE ¡in ¡fixed ¡dimension ¡

  9. Threshold ¡signatures ¡ pp ¡ Correctness: ¡ • Final ¡signatures ¡are ¡EUF-­‑CMA ¡ secure ¡ • Usually ¡look ¡like ¡underlying ¡ signatures ¡ • Any ¡subset ¡of ¡ t ¡ players ¡can ¡ reconstruct ¡a ¡signature ¡ • Do ¡not ¡reconstruct ¡secret ¡at ¡any ¡ point ¡in ¡protocol ¡ • No ¡interac[ons ¡between ¡players ¡ Security: ¡ EUF-­‑CMA ¡security ¡when ¡adversary ¡ is ¡given ¡access ¡to ¡ t-­‑1 ¡ secret ¡shares ¡ m and ¡signatures ¡on ¡chosen ¡ messages ¡

  10. Shamir ¡Secret ¡Sharing ¡ s ¡ s ¡ s 1 ¡ • (2,N) ¡secret ¡sharing ¡ s 2 ¡ • In ¡general ¡(t,N) ¡secret ¡sharing ¡ Proper[es: ¡ s N ¡ • t-­‑1 ¡shares ¡leak ¡no ¡informa[on ¡ about ¡the ¡secret ¡ • Any ¡subset ¡of ¡t ¡players ¡can ¡ reconstruct ¡the ¡secret ¡ IMP: ¡ Secret ¡reconstruc[on ¡ is ¡a ¡ linear ¡func5on ¡ of ¡the ¡ secret ¡shares ¡ ¡ ¡

  11. Threshold ¡RSA ¡signatures ¡[Fra88, ¡Sho00] ¡ pp ¡= ¡N, ¡e ¡ d ¡ d ¡ m m m m H(m) ¡ 1 H(m) ¡ d 1 ¡ Proof: ¡ 2 H(m) ¡ • Correctness: ¡Can ¡compute ¡ d 2 ¡ d ¡such ¡that ¡ ¡ 3 linear ¡func[on ¡of ¡exponents. ¡ e.d=1 ¡mod ¡φ(N) ¡ H(m) ¡ d 3 ¡ Final ¡signature ¡is ¡ iden5cal ¡ to ¡ N underlying ¡RSA ¡signatures ¡ H(m) ¡ d N ¡ • Security: ¡Simulate ¡t-­‑1 ¡secret ¡ shares ¡with ¡random ¡values. ¡ Use ¡RSA ¡signing ¡oracle ¡to ¡ IMP: ¡ RSA ¡allows ¡linear ¡func[on ¡of ¡ par[al ¡sigs ¡to ¡be ¡computed; ¡final ¡ simulate ¡t th ¡ par[al ¡sig. ¡ sig ¡ iden5cal ¡ to ¡underlying ¡sig ¡ ¡

  12. A ¡first ¡afempt ¡ A ¡ B ¡ v = ¡ u Need: ¡ Linear ¡scheme ¡ R -­‑1 ¡ R ¡ Basic ¡Idea: ¡Low ¡norm ¡transference ¡matrix ¡R ¡ ¡ R ¡transfers ¡short ¡vectors ¡from ¡Λ ⊥ ( A ) ¡to ¡Λ ⊥ ( B ) ¡where ¡ B=AR -­‑1 ¡ Basic ¡idea ¡behind ¡[ABB10a, ¡ABB10b, ¡MP11] ¡ ¡ Using ¡GPV ¡signatures: ¡Shamir ¡secret ¡share ¡R ¡ ¡ v ¡ signature ¡ R ¡ R ¡ R 1 ¡ R 3 ¡ v ¡ v ¡ v ¡ R N ¡ R 3 ¡ R 2 ¡ R 1 ¡ on ¡ m ¡ (pp ¡= ¡A) ¡ B.(Rv) ¡= ¡H(m) ¡ and ¡ Rv ¡ is ¡ “short” ¡ R N ¡ v ¡ Q: ¡ Is ¡this ¡secure? ¡What ¡does ¡ Rv ¡look ¡like? ¡

  13. Skewed ¡Gaussians ¡ Recollect: ¡ In ¡proof ¡of ¡GPV ¡sigs, ¡final ¡distribu[on ¡is ¡ independent ¡ of ¡the ¡secret ¡(basis). ¡ ¡ In ¡our ¡scheme, ¡ Rv ¡is ¡ not ¡independent ¡ of ¡ R. ¡ Adversary ¡sees ¡( v, ¡Rv ) ¡for ¡ many ¡ Need ¡ Have ¡ values ¡ of ¡ v . ¡ m ¡ tuples ¡can ¡be ¡used ¡to ¡ recover ¡R ¡ Thus, ¡the ¡scheme ¡is ¡not ¡secure. ¡ + ¡ = ¡ How ¡to ¡correct: ¡ Perturb ¡with ¡ appropriately ¡skewed ¡Gaussian. ¡ Require: ¡ Convolu[on ¡lemma ¡for ¡ In ¡addi[on ¡to ¡shares ¡of ¡ R , ¡Alice ¡ discrete ¡Gaussians. ¡ gives ¡ pre-­‑shared ¡randomness ¡ [CG ¡99] ¡to ¡each ¡player ¡that ¡is ¡ v ¡ + ¡ δ R i ¡ Note: ¡ S[ll ¡linear ¡ used ¡to ¡perturb ¡ R i ¡ v ¡

  14. Open ¡Problems ¡ • Re-­‑use ¡or ¡eliminate ¡pre-­‑shared ¡randomness ¡ • Make ¡robust ¡without ¡rounds ¡of ¡ communica[on. ¡ ¡ – Will ¡require ¡new ¡laTce-­‑based ¡NIZKs ¡to ¡prove ¡ par[al ¡signatures ¡are ¡well-­‑formed ¡ • Other ¡efficient ¡threshold ¡construc[ons ¡ – Can ¡you ¡compress ¡laTce ¡trapdoors? ¡ Given ¡trapdoors ¡for ¡Λ ⊥ ( A|B ) ¡and ¡Λ ⊥ ( A|C ) ¡efficiently ¡ compute ¡trapdoor ¡for ¡Λ ⊥ ( A ). ¡ – Leads ¡to ¡other ¡applica[ons ¡(possibly). ¡

  15. Thank ¡you! ¡ Any ¡ques5ons? ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Digital Signature Schemes 1 What is digital signature? Properties Who signed what is

Digital Signature Schemes 1 What is digital signature? Properties Who signed what is

Digital Signature Schemes 1 What is digital signature? Properties Who signed what is publicly verifiable Unforgeable 2 A Digital Signature Scheme Key generation algorithm G (probabilistic) ( pk, sk ) G (1 ) security

602 views • 22 slides
Designated Verifier Signature Schemes - An Overview Liina Kamm October 10, 2005 Structure

Designated Verifier Signature Schemes - An Overview Liina Kamm October 10, 2005 Structure

Designated Verifier Signature Schemes - An Overview Liina Kamm October 10, 2005 Structure The Jakobsson-Sako-Impagliazzo Scheme Security notions for DVS schemes DVS Scheme with tight reduction to DDH in NPRO Universal Designated

620 views • 42 slides
Delegating a Product of Group Exponentiations with Application to Signature Schemes Presenter:

Delegating a Product of Group Exponentiations with Application to Signature Schemes Presenter:

Number-Theoretic Methods in Cryptology 2019 Delegating a Product of Group Exponentiations with Application to Signature Schemes Presenter: Giovanni Di Crescenzo Perspecta Labs Inc. (also doing business as Applied Communication Sciences)

548 views • 33 slides
On Key -collisions in (EC)DSA Schemes (1) Let ( m , S ) be a message and its signature.

On Key -collisions in (EC)DSA Schemes (1) Let ( m , S ) be a message and its signature.

On Key -collisions in (EC)DSA Schemes CRYPTO 2002 Rump Session Tom Rosa tomas.rosa@i.cz, http://crypto.hyperlink.cz ICZ, a.s. Dept. of Computer Science, CTU in Prague CZECH REPUBLIC On Key -collisions in (EC)DSA Schemes (1) Let ( m

519 views • 5 slides
LMS vs XMSS: Comparison of Stateful Hash-Based Signature Schemes on ARM Cortex-M4 12th

LMS vs XMSS: Comparison of Stateful Hash-Based Signature Schemes on ARM Cortex-M4 12th

LMS vs XMSS: Comparison of Stateful Hash-Based Signature Schemes on ARM Cortex-M4 12th International Conference on Cryptology, Africacrypt 2020 Fabio Campos 1 Tim Kohlstadt 1 Steffen Reith 1 ottinger 2 Marc St July 19, 2020 1 RheinMain

399 views • 29 slides
Signature Schemes with Efficient Protocols and Dynamic Group Signatures from Lattice Assumptions

Signature Schemes with Efficient Protocols and Dynamic Group Signatures from Lattice Assumptions

Signature Schemes with Efficient Protocols and Dynamic Group Signatures from Lattice Assumptions Benot Libert 1 , 2 San Ling 3 Fabrice Mouhartem 1 Khoa Nguyen 3 Huaxiong Wang 3 1 .N.S. de Lyon, France 2 CNRS, France 3 Nanyang Technological

1.33k views • 92 slides
Group-Signature Schemes on Constrained Devices Raphael Spreitzer and J orn-Marc Schmidt

Group-Signature Schemes on Constrained Devices Raphael Spreitzer and J orn-Marc Schmidt

Group-Signature Schemes on Constrained Devices Raphael Spreitzer and J orn-Marc Schmidt Institute for Applied Information Processing and Communications (IAIK) Graz University of Technology Inffeldgasse 16a, A-8010 Graz, Austria

335 views • 14 slides
Enforcing honesty of certification authorities: Tagged one-time signature schemes Bertram

Enforcing honesty of certification authorities: Tagged one-time signature schemes Bertram

Enforcing honesty of certification authorities: Tagged one-time signature schemes Bertram Poettering and Douglas Stebila Information Security Group Royal Holloway, University of London bertram.poettering@rhul.ac.uk Stanford, January 11, 2013

454 views • 41 slides
Modification tolerant signature schemes: location and correction Thais Bardini Idalino, Lucia

Modification tolerant signature schemes: location and correction Thais Bardini Idalino, Lucia

Modification tolerant signature schemes: location and correction Thais Bardini Idalino, Lucia Moura, Carlisle Adams tbardini@sfu.ca, lmoura@uottawa.ca, cadams@uottawa.ca Indocrypt, December 17th 2019 1/31 Introduction MTSS Digital Signatures

637 views • 35 slides
Flaws in Applying Proof Methodologies to Signature Schemes Jacques Stern - David Pointcheval

Flaws in Applying Proof Methodologies to Signature Schemes Jacques Stern - David Pointcheval

Flaws in Applying Proof Methodologies to Signature Schemes Jacques Stern - David Pointcheval Ecole normale suprieure - France John Malone-Lee - Nigel Smart University of Bristol - UK Summary Summary The methodology of provable

479 views • 12 slides
Formally Certifying the Security of Digital Signature Schemes Santiago Zanella 1 , 2 Benjamin

Formally Certifying the Security of Digital Signature Schemes Santiago Zanella 1 , 2 Benjamin

Formally Certifying the Security of Digital Signature Schemes Santiago Zanella 1 , 2 Benjamin Grgoire 1 , 2 Gilles Barthe 3 Federico Olmedo 3 1 Microsoft Research - INRIA Joint Centre, France 2 INRIA Sophia Antipolis - Mditerrane, France 3

837 views • 51 slides
Harnessing Biased Faults in Attacks on ECC-based Signature Schemes Kimmo Jrvinen 1 , Cline

Harnessing Biased Faults in Attacks on ECC-based Signature Schemes Kimmo Jrvinen 1 , Cline

Harnessing Biased Faults in Attacks on ECC-based Signature Schemes Kimmo Jrvinen 1 , Cline Blondeau 1 , Dan Page 2 , Michael Tunstall 2 1 Aalto University, Department of Information and Computer Science, Finland 2 University of Bristol,

590 views • 39 slides
A New RSA-Based Signature Scheme Sven Sch age, J org Schwenk Horst G ortz Institute for

A New RSA-Based Signature Scheme Sven Sch age, J org Schwenk Horst G ortz Institute for

A New RSA-Based Signature Scheme Sven Sch age, J org Schwenk Horst G ortz Institute for IT-Security Africacrypt 2010 1 / 13 RSA-Based Signature Schemes Na ve RSA signature scheme not secure under the standard definition of

647 views • 51 slides
Cryptography V: Digital Signatures Computer Security Lecture 6 David Aspinall School of

Cryptography V: Digital Signatures Computer Security Lecture 6 David Aspinall School of

Cryptography V: Digital Signatures Computer Security Lecture 6 David Aspinall School of Informatics University of Edinburgh 31st January 2013 Outline Basics Constructing signature schemes Security of signature schemes ElGamal DSA

1.15k views • 91 slides
Discharge uncertainty: sources and implications for hydrological analyses Signature 1 Signature

Discharge uncertainty: sources and implications for hydrological analyses Signature 1 Signature

Discharge uncertainty: sources and implications for hydrological analyses Signature 1 Signature 1 Signature 2 Signature 2 http://comm ons.wikime dia.org/wiki/ File:Piasnic a- Signature 3 Signature 3 wodowskaz -0.jpg Ida Westerberg 1,2

388 views • 19 slides
On The Security of Unique- Witness Blind Signature Schemes December 2013 ASIACRYPT, Bangalore,

On The Security of Unique- Witness Blind Signature Schemes December 2013 ASIACRYPT, Bangalore,

On The Security of Unique- Witness Blind Signature Schemes December 2013 ASIACRYPT, Bangalore, India Foteini Baldimtsi, Anna Lysyanskaya 2 Blind Signatures [Chaum'82] Blind signatures are a special type of digital signatures. Signer is

439 views • 33 slides
What Happens Once There is a COVID-19 Vaccine? Key Challenges to Vaccinating America December 3,

What Happens Once There is a COVID-19 Vaccine? Key Challenges to Vaccinating America December 3,

What Happens Once There is a COVID-19 Vaccine? Key Challenges to Vaccinating America December 3, 2020 Agenda Introduction Drew Altman, President and CEO Presentations Mollyann Brodie, Executive Vice President and Executive Director

604 views • 18 slides
NameSampo Project 2018-2019 Exploring new ways to study place names in a digital environment

NameSampo Project 2018-2019 Exploring new ways to study place names in a digital environment

NameSampo Workbench for Toponomastic Research Digital Humanities in Action: Sampo Model and Portals for Cultural Heritage, 29.10.2020 Helin Uusitalo Institute for the Languages of Finland (Kotus), https://www.kotus.fi/en

241 views • 20 slides
Computational methods for forming a nation-wide toponymic overview Antti Leino

Computational methods for forming a nation-wide toponymic overview Antti Leino

HELSINGIN YLIOPISTO HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Computational methods for forming a nation-wide toponymic overview Antti Leino antti.leino@cs.helsinki.fi 28th November 2006 Introduction So many names, so little time

464 views • 34 slides
Cloud Scale Storage Systems Sean Ogden October 30, 2013 Evolution P2P routing/DHTs (Chord,

Cloud Scale Storage Systems Sean Ogden October 30, 2013 Evolution P2P routing/DHTs (Chord,

Cloud Scale Storage Systems Sean Ogden October 30, 2013 Evolution P2P routing/DHTs (Chord, CAN, Pastry, etc.) P2P Storage (Pond, Antiquity) Storing Greg's baby pictures on machines of untrusted strangers that are connected with wifi

877 views • 38 slides
Mul6-messenger signature of compact binary coalescence Masaomi Tanaka (Tohoku University)

Mul6-messenger signature of compact binary coalescence Masaomi Tanaka (Tohoku University)

Mul6-messenger signature of compact binary coalescence Masaomi Tanaka (Tohoku University) Mul6-messenger signature of compact binary coalescence Electromagne-c signals from neutron star merger Mul--messenger observa-ons of GW170817

707 views • 33 slides
OUTLINE SUSY as one of the best candidate for underlying theory Viable Supersymmetric models

OUTLINE SUSY as one of the best candidate for underlying theory Viable Supersymmetric models

Dark Matter motivated SUSY collider signatures Alexander Belyaev Southampton University & Rutherford Appleton LAB 1 "Dark Matter motivated SUSY Collider signatures" Alexander Belyaev OUTLINE SUSY as one of the best

946 views • 55 slides
Distance to the Measure Offset Recon- struction Geometric inference for measures based on

Distance to the Measure Offset Recon- struction Geometric inference for measures based on

Distance to the Measure Zhengchao Wan DTM Distance to the Measure Offset Recon- struction Geometric inference for measures based on distance DTM functions signature The DTM-signature for a geometric comparison of Statistical test

557 views • 31 slides
Number of foreclosures properties tax foreclosed from 2002- 2017. (Graphic: Loveland

Number of foreclosures properties tax foreclosed from 2002- 2017. (Graphic: Loveland

Map of Detroit Number of foreclosures properties tax foreclosed from 2002- 2017. (Graphic: Loveland Technologies) VACANT LOTS ON THE EASTSIDE STRATEGIES FOR REUSE OF VACANT LAND HAMILTON RAINSCAPE LEARNING LAB BEFORE

291 views • 5 slides

More recommend