本文研究视频会议应用（如Zoom）中的端到端加密安全性问题。尽管Zoom声称提供端到端加密，但其安全模型假设服务器是可信的，能够正确识别和认证所有与会者。然而，恶意服务器仍可能窃听或冒充与会者。作者提出一种改进方法，通过重新设计密码（passcode）的使用方式，并集成密码认证密钥交换（PAKE）协议，来增强对恶意服务器的安全性。为了形式化证明，作者定义了一类适用于此场景的密码协议，并提出了基本安全概念——假设服务器被信任以正确授权成员，在此概念下证明了Zoom的安全性。接着，作者提出了更强的安全概念，要求即使在服务器恶意的情况下也能保证安全，并给出了一种转换方法，可将现有协议提升至该安全等级。该转换适用于Zoom，且无需引入新的安全元素（如额外的密钥或硬件）。实验证明，该方案能够在现有Zoom架构基础上实现更强的恶意服务器防护。

本文提出了一种名为 Mobius 的协议，旨在解决分布式系统中领导者选举的拜占庭容错问题，特别是针对秘密单一领导者选举（SSLE）场景。在传统的分布式系统中，领导者选举是核心组件，用于选择节点执行任务如分发提案或聚合加密证书，从而确保系统安全与效率。然而，现有方案往往无法同时满足拜占庭容错、秘密性和唯一可验证性。Mobius 协议引入了一种唯一可验证的状态（Uniquely Verifiable State）机制，允许所有节点对选举结果进行独立验证，同时保证领导者身份在选举过程中保持秘密，直到必要的揭示阶段。该协议利用密码学原语如承诺方案和零知识证明，实现了在存在拜占庭节点的环境下的安全性。作者通过形式化分析和仿真实验证明了 Mobius 在抵抗恶意攻击、降低通信复杂度和提升选举效率方面的优势。本文的主要贡献包括：定义了带有唯一可验证状态的SSLE安全模型，设计了高效率的协议流程，并给出了完善的安全性证明。本文适合分布式系统、共识算法和密码学领域的研究人员阅读，理解其中的创新点可为构建更安全的去中心化协议提供理论基础。

该论文提出了一种名为NTRU-v-um的新型全同态加密（FHE）方案，其核心思想是基于NTRU密码系统并采用小模数来构造安全的FHE。传统的NTRU型FHE方案通常需要较大模数以支持同态运算，导致密钥尺寸和计算开销较大。作者通过引入一种新的变种，在保持安全性的同时显著降低了模数大小，从而提升了方案的效率和实用性。论文详细描述了方案的构建过程，包括密钥生成、加密、解密以及同态运算（加法与乘法）的具体算法，并给出了安全性证明，将其归约到标准格问题（如Ring-LWE或NTRU问题的变种）。实验结果表明，与现有同类FHE方案相比，NTRU-v-um在运行时间和密文扩张率方面均有改进，尤其在小模数设置下仍能达到足够的安全强度。该工作为实际部署高效FHE提供了新的候选方案，尤其适合资源受限的环境。本文适合密码学研究人员和需要同态加密应用的安全工程师阅读。

本文针对即将到来的后量子密码迁移挑战，指出当前密码API在设计时未考虑敏捷性，导致算法替换困难。作者提出一个基于组件的评估框架，用于系统性地衡量应用层密码敏捷性。该框架包含七个正交维度：三个耦合维度（操作耦合、创建耦合、配置耦合）衡量应用代码对算法和提供者的依赖程度；一个横切解耦机制；一个治理权威维度；以及两个敏捷性使能维度（版本化能力和外部化配置）。框架是非线性的，可以捕获非层次化特征。作者用该框架评估了六个代表性API：PKCS#11、OpenSSL 3.0、JCA、Google Tink、AWS KMS和HashiCorp Vault Transit。评估揭示了三个普遍且独立的缺口：没有系统支持基于意图的密钥创建，没有提供策略驱动的算法选择（区别于访问控制），也没有为现有密钥的算法转换提供专用的一流操作。这些缺口单独就足以阻碍敏捷迁移，解释了为何尽管API发展数十年，后量子迁移仍然是软件工程问题。本文适合密码学研究人员、安全架构师和软件开发者阅读，以理解现有API的局限性并指导未来设计。

该论文系统化了针对密码学实现中时序攻击的防御手段——恒定时间（Constant Time）编程模型。尽管恒定时间编程是抵御时序攻击的主要防线，但学术界和工业界对“恒定时间”的定义和模型理解存在差异。本文首先回顾并整理了恒定时间模型的历史演化，识别出模型所保护的安全属性与密码规范所假设的威胁模型之间存在长期被忽视的差距。作者进一步提炼了一套攻击方法论，用于发现源自密码原语边界之外（例如上层应用或密钥加载流程）的时序漏洞。利用该方法，作者定位了一个与私钥加载过程相关的规范级（specification-level）漏洞。该漏洞存在于OpenSSL和BoringSSL两个流行密码库中，并成功在实验中确认了信息泄露。一个反直觉的发现是：尽管BoringSSL采用了更严格的威胁模型，但其单次观测产生的信号强度反而比OpenSSL高出数个数量级。研究贡献包括：1) 对恒定时间模型进行系统化分类与演化分析；2) 提出可用于发现跨界时序漏洞的通用攻击方法论；3) 发现并验证了OpenSSL和BoringSSL中此前未知的时序泄露点。该论文适合密码库开发者、侧信道安全研究人员以及所有关注密码学实现安全性的工程师阅读。

该论文报告了在8维二元向量空间中搜索二次几乎完美非线性（APN）函数的结果。APN函数是密码学中S-box的理想组件，能提供最优的差分均匀性，抵抗差分密码分析。搜索空间是一个40维的线性子空间，由所有与某个阶为5的线性自同构（Beierle, Brinkmann, Leander 2021分类中的第22类）交换的函数组成，该子空间此前被认为不含任何APN函数。作者采用了两阶段方法：首先通过显式行简化阶梯形参数化进行随机采样（每核每小时约600个APN阳性评估），然后利用Magma中的Gröbner基计算在每个中心点所在的24维超平面中枚举所有APN函数（每个超平面约10分钟）。通过对428个超平面（占总65536个超平面的0.65%）的计算，得到了566个二次APN函数，这些函数在正交导数不变量下划分为6个CCZ等价类。其中四个类（共500个函数）未能匹配2025年包含3,775,599个二次APN函数的数据库，也未见于此前的12,921个实例汇编中，因此被确认为全新发现。另外两个类（66个函数）与已知的Gold函数x^3和x^9 CCZ等价，验证了搜索流程的正确性。成员分析表明，三个新类（B、C、D）完全位于原始搜索子空间之外，且仅出现在以Gold函数为中心的超平面切片中，这突显了Gröbner基阶段的必要性。作为对照，在532个以数据库函数为中心的实验和20个以随机函数为中心的实验中，均未发现任何APN邻居，说明该“门控”现象依赖于搜索空间的自等价结构。由于正交导数不变量是二次APN函数的完全CCZ不变量，缺失匹配签名提供了CCZ不等价的严格证明。

该论文研究了双线性累加器（bilinear accumulator）中的批处理证明、聚合证明与零知识证明。累加器是一种密码学原语，允许证明者简洁地提交一个集合，并能提供元素属于或不属于该集合的证明。批处理证明是指同时证明多个元素的成员资格或非成员资格。现有累加器方案在批量证明时，往往存在证明大小与批处理数量线性增长、验证开销高等问题。本文提出了一种基于双线性映射的累加器框架，支持高效的批处理证明生成与聚合，并引入零知识性质，使得证明者可以隐藏被证明元素的具体值，同时保持证明的简洁性。核心贡献包括：1）设计了一种新的批处理证明生成算法，将多个成员证明或非成员证明聚合成一个恒定大小的证明；2）证明了该方案的安全性归约到q-SDH假设；3）实现了零知识变体，通过随机化掩盖被证明元素；4）在标准计算模型下分析了效率，实验表明证明大小与批处理数量无关，验证复杂度与批处理数量呈亚线性关系。该工作对于需要频繁进行集合成员验证的场景（如证书撤销、区块链状态承诺、匿名凭证）具有理论价值，但当前主要贡献在密码学协议设计层面，尚未直接转化为具体的安全产品或防御工具。

私有信息检索（PIR）允许用户在不泄露查询内容的情况下从数据库中检索数据，但传统PIR方案计算开销大、内存需求高，难以大规模部署。本文提出VIPIR，一个通用的GPU框架，通过联合设计PIR协议与GPU加速来解决这些瓶颈。首先，作者构建了一个统一分析模型，将现有最先进的PIR协议归类为两种类型，每种类型各有互补的局限性。基于此，他们提出了两种新协议，灵活组合两类技术的优势，克服了各自缺点。新协议引入了一种GPU友好的数据压缩方法——基于扩展的环打包（ExpPack），该技术具有高并行度和极低的通信开销。VIPIR进一步优化了核心运算，包括数论变换（NTT）和各种矩阵乘法（GEMM）。特别地，他们通过将数据库乘法解释为混合整数类型的GEMM，开发了基于张量核心的执行方法。此外，VIPIR设计了内存高效的调度方案，最小化中间缓冲区，并支持在内存容量限制下的多GPU扩展。实验表明，VIPIR相比现有PIR系统实现了数量级的吞吐量提升，同时降低了通信和内存开销，使大规模PIR变得实用。该工作对密码学、高性能计算和隐私保护领域具有重要参考价值。

本文提出了一种用于安全两方计算（2PC）中循环神经网络（RNN）推理的数学库 SiRnn。现有的安全推理工作主要针对卷积神经网络（CNN），而对RNN中常用的指数函数、sigmoid、tanh、平方根倒数等标准数学函数的支持依赖于通用2PC协议，这些协议通信开销高。作者设计了新的专用2PC协议，通过查找表（lookup-tables）和混合位宽（mixed-bitwidths）技术，实现了数学函数的高效计算，与现有工作相比，通信量最多减少423倍。同时，这些数学实现保持了数值精度，确保安全推理的模型准确性与明文推理一致。基于这些协议，SiRnn首次提供了对时间序列传感器数据RNN、语音数据RNN以及结合CNN与RNN的图像头部识别等先进架构的端到端安全两方推理。实验表明，与现有最先进的2PC框架相比，SiRnn在推理性能上实现了三个数量级的提升。该研究适用于需要隐私保护的机器学习推理场景，尤其是在资源受限或高延迟要求的应用中。

该论文提出了一种面向药物警戒系统的后量子安全数据管道教育原型。药物警戒系统处理包括不良事件报告和临床观察在内的敏感医疗数据。随着量子计算的发展，RSA和椭圆曲线密码等经典公钥系统可能变得脆弱，对需要长期保密的医疗数据构成威胁。该原型采用ML-KEM-768进行后量子密钥建立，HKDF-SHA-256派生AES密钥，AES-256-GCM进行文件加密，以及ML-DSA-65进行数字签名和防篡改。管道支持TXT、CSV、JSON、PDF等多种文件格式，通过将文件视为原始字节并保留元数据以供接收方重建。系统包含独立的医院、网关、制药接收方、攻击者、基准测试和仪表板组件。使用不同大小和格式的合成药物警戒数据集进行评估，结果表明ML-KEM增加了较小的恒定开销，而AES加密和ML-DSA签名随文件大小增加成为运行时的主导。本工作并非生产就绪的医疗系统，而是一次教育性的系统级探索，展示了后量子密码原语如何集成到医疗风格的数据管道中。

本文研究多验证者零知识证明（MVZK）协议的效率问题。MVZK 作为非交互式零知识证明和指定验证者零知识证明之间的中间方案，具有广泛的应用场景，例如区块链中的隐私保护、去中心化计算等。现有的大多数 MVZK 协议假设大多数验证者是诚实的，或者在处理环运算时效率低下。本文提出了一种新的 MVZK 协议，适用于预处理模型，并且允许任意恒定比例的验证者被腐败（与证明者合谋）。该协议是首个基于环（ring）的 MVZK 方案，不同于先前在域上的研究（针对不诚实多数情况），其通信复杂度与验证者数量无关，而先前方案的通信复杂度随验证者数量线性增长。这一关键进步显著提升了可扩展性和效率。作者提供了端到端的实现，并通过基准测试展示了性能：在64个验证者且50%腐败率下，吞吐量达到147万门/秒；在75%腐败率下，吞吐量为88万门/秒。该工作适用于密码学研究者、零知识证明系统构建者以及需要高效多验证者零知识证明的应用开发人员。

本文针对Signal协议中的双棘轮（Double Ratchet）组件，提供了首个不随交互次数退化的紧安全性证明。双棘轮协议是Signal、WhatsApp、Google Messages和Facebook Messenger等端到端加密消息应用的核心组件，每日被数十亿用户使用。现有安全性模型虽然能够捕获前向安全（保护过去秘密）、后向安全（恢复安全性）、自适应状态泄露、消息注入和乱序投递等强安全属性，但由于协议复杂性，之前的工作未能提供不随交互次数退化的安全保证，即使在单会话设置中也是如此。本文通过引入新的安全模型和证明技术，解决了这一开放问题。具体地，作者形式化了双棘轮协议的安全性目标，并证明了在标准加密假设下，协议的安全性界与交互次数无关，从而显著提升了理论保障的紧致性。该工作为理解双棘轮协议的实际安全性提供了更坚实的基础，有助于未来协议设计和形式化验证。适合密码学研究人员、安全协议设计者以及IM产品安全工程师阅读。

该论文研究了数论变换（NTT）的不确定性原理，并证明了在某些素数条件下，非零函数与其NTT变换的支撑集大小之和至少为q+1（q为给定素数，p为满足p≡1 mod q的素数）。这意味着一稀疏函数（k-稀疏）的变换支撑集至少为q-k+1。进一步，作者还证明了在p=q^{O(1)}范围内的素数平均意义上的概率版本不确定性原理。作为应用，该原理被用于构造一个黑盒身份测试算法，用于验证至多k-稀疏、度数不超过d的指数多项式，在q适度大于k时具有零声音误差。该研究为多项式恒等测试提供了新的理论工具，对密码学、编码理论等领域中涉及NTT的应用有潜在影响。

随机信标（Random Beacon）是一种持续提供公开随机性的服务，广泛应用于公共彩票、零知识证明等密码学协议。现有随机信标协议在安全性、通信复杂度或可重配置性方面存在妥协：有的牺牲容错性，有的通信开销过高，有的难以动态调整参与节点集合。本文提出RandPiper协议，通过创新性地结合状态机复制（State Machine Replication, SMR）与可公开验证秘密共享（Publicly Verifiable Secret Sharing, PVSS/VSS），实现了在二次通信复杂度（quadratic communication）下的高效随机信标。具体地，RandPiper利用SMR维护一个共享的全局状态，并通过PVSS/VSS在节点间分发随机性秘密，使得协议能够容忍拜占庭故障，同时支持参与节点的动态加入与退出（即重配置）。与现有工作相比，RandPiper在保持相同容错能力的同时，将通信复杂度从三次或更高降至二次，显著降低了网络开销。实验表明，该协议在节点规模增长时仍能保持可扩展性，适用于需要持续、可靠随机性的分布式系统。该论文适合对分布式系统、密码学协议及区块链底层设施感兴趣的研究者与工程师阅读。

本文提出并实现了首个实用的、轮次最优的基于格的盲签名方案。盲签名是一种基础的密码学原语，允许用户获取消息的签名而不向签名者泄露消息内容，广泛应用于匿名投票、数字货币等场景。此前，基于数论假设（如RSA、离散对数）的盲签名已相当成熟，但在后量子假设下，特别是格上，现有方案要么不实用（签名/密钥过大、效率低），要么仅支持有限次签名查询，要么轮次复杂度高。本研究解决了这些挑战，基于标准格假设（如SIS和LWE问题）构造了一个支持无限次签名查询、轮次最优（即两轮交互）的盲签名协议。作者提供了详细的参数估计和实现结果：在核心SVP硬度为109比特的安全级别下，签名大小约为45KB，签名者、用户和验证者的运行时间都非常小。方法上，他们利用了格上陷门函数、拒绝采样和零知识证明等技术，通过精心设计交互协议实现了轮次最优。实验表明该方案在效率和安全性上达到了实用水平，填补了后量子盲签名领域的空白。适合密码学研究者、安全协议设计者以及需要后量子安全性的应用开发者阅读。

该论文针对多方计算（MPC）在实际部署中缺乏鲁棒性的问题，即无法保证在具有间歇性延迟的网络中实现输出交付（包括离线阶段）。尽管已有理论构造能在此类环境下提供鲁棒性，但理论与实践之间存在差距，主要原因是缺乏高效的可验证/完全秘密共享（VSS/CSS）协议。现有CSS协议要么需要实践中难以实现的广播信道，要么引入至少与参与者数量平方成正比的计算和通信开销。为此，本文提出了hbACSS，一套异步完全秘密共享协议，具有最优弹性，且计算和通信开销均为（拟）线性。为构建hbACSS，作者还开发了hbPolyCommit，一种高效的多项式承诺方案，其计算和通信开销与多项式次数成（拟）线性，且无需可信设置。作者实现了hbACSS协议，并进行了广泛的实用性分析，观察到协议随参与者数量增加而良好扩展。特别地，他们将hbACSS用于生成MPC输入掩码——这一有用原语先前在实践中只能以非鲁棒方式生成。该工作弥合了理论与实践的鸿沟，为构建鲁棒、可扩展的MPC系统提供了关键基础组件。

该论文是一篇海报论文，研究多方ECDSA签名协议的正确性。具体地，作者试图通过引入拜占庭协议（Byzantine Agreement）的概念来证明n方ECDSA签名协议在存在恶意参与者的情况下仍能产生正确签名。多方ECDSA允许一组参与者共同生成一个ECDSA签名，而无需任何一方掌握完整私钥，常用于区块链钱包、门限签名等场景。本文的核心贡献是提出一个基于拜占庭协议的正确性声明框架，该框架要求所有参与者就签名的正确性达成一致，从而抵御拜占庭故障（即参与者可能任意偏离协议）。作者可能给出了协议的形式化定义以及安全性证明，但受限于海报篇幅，具体技术细节和实验验证未在摘要中展开。读者应查阅海报原文获取完整方案。

本文提出了一种基于三元代数结构的公钥密码系统，将经典的 ElGamal 协议推广到三元域。作者首先介绍了非派生三元结构所需的代数基础，包括特殊元素、三元群环以及一种矩阵三元化过程，该过程将二元环和群环映射为在三元乘法下封闭的反斜对角符号矩阵。在此基础上，构建了三元 ElGamal 协议的模拟，包括密钥生成、临时加密和解密（使用 querelements）三个步骤，并推导出了显式的三元幂和 querelement 公式，确保能够正确解密。通过在三元分数域、矩阵三元化有限群环以及有限 (6,3)-环（域）上的具体实例和数值验证，说明了构造的有效性，并展示了三元幂的量化与循环行为。论文指出三元框架相比传统二元系统具有两个实际优势：更丰富的代数结构（querelements 替代了二元逆元）增加了攻击者的代数复杂度，以及更高的信息密度（矩阵三元化传输明文向量对）。然而，形式化的困难假设、优化的参数选择以及全面的安全性和性能分析仍需未来工作。该研究属于密码学理论探索，尚未涉及具体攻击或防御措施。

本文针对云存储中数据可用性与隐私保护之间的矛盾，提出了一种新型的公钥加密与相等测试方案（AVPKEET）及其在可搜索加密（SE）中的应用（AVSE）。现有基于PKEET的可搜索加密方案缺乏对密文文件的授权、公开可验证性以及对可搜索加密级别的支持。AVPKEET方案实现了不可转移和不可重放的密文文件授权，同时支持公开可验证性，且无需可信第三方。在此基础上，提出的AVSE方案具有一次性不可转移令牌（绑定用户和随机数）、批量操作以及细粒度访问控制（ALL、PARTIAL、SINGLE）等功能。作者在标准假设下证明了方案的选择密文攻击安全性（OW-CCA2）、令牌不可伪造性和验证可靠性。实验结果表明，AVSE方案实现了最紧凑的令牌大小（168字节），同时唯一地提供了密文文件级授权和公开验证，其开销在云存储部署中可接受。该研究为云存储环境下的安全搜索提供了新的思路，平衡了功能性与隐私保护。

本文继续研究一类称为“快速函数”的线性大小电路可计算的函数，这些函数共享随机函数的有用性质，但更具确定性，适合密码学应用。作者在两个主要方向上进行了推广和改进： 1. 构造了任意常数 t 的快速 t-独立哈希函数，其代数次数为 log2 t（在 F2 上），同时在渐近电路大小和次数上达到最优。这优于之前的工作，降低了电路深度，同时保持线性大小。 2. 简化并改进了 ITCS 2026 中关于快速码及其快速对偶的构造，使其满足 Gilbert-Varshamov 界，且失败概率可忽略，支持一般域和码率、系统编码以及快速通用编码器。此外，还强化了组合列表解码等更强随机性质，通过构造快速线性函数族实现：对于任意常数 t，任意 t 个线性无关的输入映射为均匀且统计独立的输出，此前仅对 t=1 已知。 作者展示了这些结果在密码学中的应用，包括：第一个在完美安全多方计算中电路复杂度与参与方数量线性缩放的非平凡协议，以及计算加密矩阵-向量乘积的最优渐近电路复杂度的协议。 本文适合密码学理论研究者、安全多方计算协议设计者以及对伪随机函数和编码理论感兴趣的学者阅读。

该论文研究了带噪奇偶学习（LPN）问题的困难性。LPN 是密码学中的基础假设，支持从对称密钥原语到公钥加密等多种构造。一个核心开放问题是：LPN 的平均情况困难性能否像 LWE 那样基于最坏情况复杂性假设。现有的最坏情况到平均情况归约（BLVW19, YZ21）依赖于线性码的统计平滑，这导致平均情况困难性仅限于噪声率高达 1/2 - 1/poly(n) 的参数，不足以用于公钥应用。本文探索了一种新方法：不要求生成矩阵的随机稀疏行组合在统计上接近均匀分布，而只要求它们在计算上不可区分。这产生了一个清晰的赢-赢结构：任何高效的 LPN 求解器都可以转化为两个高效算法 (S, D)，使得对于任意适当维度的矩阵 A 在 F2 上，要么 S 解码由 A 生成的码从随机噪声中，要么 D 区分该码的对偶的随机噪声码字与均匀分布。通过用适当的参数实例化该归约，论文获得了逆多项式噪声率 n^{-α}（α<1 任意常数）下 LPN 的平均情况困难性，假设最坏情况下同时困难性：从随机噪声中解码一个码，以及区分其对偶的随机噪声码字与均匀分布。特别地，当 α=1/2 时，归约得到了 Alekhnovich 公钥加密构造所需参数区间的 LPN 困难性，这一区间以前无法通过最坏情况归约达到。

本文对 Go 标准库 `crypto/internal/fips140/bigmod` 中的 `extendedGCD` 实现进行了形式化验证。该实现用于 RSA 密钥对生成中的扩展欧几里得算法，是从 BoringSSL 移植而来。然而，研究者发现了两处偏差：一是系数更新方式与原始实现不同，二是允许更大的输入域。第一个偏差导致算法不变量被破坏，第二个偏差使得原有证明不再适用。研究者修复了第一个偏差（性能提升平均 24%），并针对第二个偏差将 BoringSSL 的证明移植并扩展到更大的输入域。他们使用 Go 语言专用验证器 Gobra 证明了修复后实现的正确性和终止性，并借助 Lean 验证了一些非线性算术引理。验证过程表明，即使是经过充分审查的代码也可能存在细微错误，形式化验证是发现此类错误的有效工具，而 AI 代理可通过迭代优化不变量和引理来辅助验证。

本文研究经典验证量子计算中的核心工具——反对易算符测试，并探索其所需的密码学结构。作者首先形式化定义了“非对易测试”（ToNC），这是一种量子证明者与经典验证者之间的交互协议：验证者发送一个挑战比特c，证明者根据c测量两个二进制可观测量P0或P1之一并返回响应。协议要求诚实证明者能通过测试，而恶意量子证明者无法同时成功应对两个挑战。论文的核心贡献在于证明了ToNC与经典密码学原语之间的蕴含关系：（1）ToNC本身即可构造经典通信的密钥协商协议（KA），该协议允许双方通过经典信道协商共享密钥，且能抵抗量子 adversaries；（2）ToNC与单向函数结合可构造不经意传输（OT），OT是更高层密码协议（如安全多方计算）的基础。在技术路径上，作者发展了后量子密码学中困难性放大（hardness amplification）的两个重要工具：后量子硬核测度定理（post-quantum hard-core measure theorem）和后量子交互XOR引理（post-quantum interactive XOR lemma）。前者指出，对于任何高效可采样、具有高最小熵的分布（其中量子电路预测b的优势至多为δ），存在一个密度为(1-δ)的子分布，使得b几乎达到最优的量子难预测性。后者断言，对于任何经典交互协议，若量子敌手猜测私有挑战比特b的优势至多为δ，则两次顺序重复可将猜测挑战比特异或b1⊕b2的优势降低至δ^2加上可忽略函数。这些工具独立于主要结果具有广泛意义，为后量子密码学中安全性的紧致归约提供了新方法。本文适合对量子密码学、经典验证量子计算以及后量子安全协议设计感兴趣的研究者阅读。

本研究首次系统性地探索了单层二元神经网络中碰撞查找的算法复杂性。给定一个随机矩阵 A ∈ ℝ^{m×n}，输入 x ∈ {-1,1}^n 通过激活函数 φ 映射到二元输出向量 φ(Ax) ∈ {-1,1}^m，其中 φ 在区间 [κ, ∞) 上具有恒定行为，阈值 κ ≥ 0。研究者确定了阈值尺度 κ = Θ(1/√α)（α = m/n）作为分离两种互补现象的分界点。当 κ ≪ 1/√α 时，提出了一种简单的在线算法，能够高效地产生大量碰撞。当 κ ≫ 1/√α 时，针对一种自然的随机化非周期激活函数和合适的振荡复杂度，证明了大规模碰撞空间满足重叠间隙性质（OGP），从而对在线算法产生了指数级下界。这是首次使用重叠间隙性质作为碰撞抵抗的严格判据。碰撞查找与平均情况搜索的关键区别在于，碰撞查找具有新的“最坏情况”方面：碰撞查找者完全控制碰撞对的选择。下界证明是在在线模型下进行的；将此类保证扩展到更广泛的算法类别，包括谱方法、代数方法、格方法或量子方法，仍然是一个开放的方向。

零知识证明（ZKP）允许证明者在不泄露私有数据的情况下向验证者证明计算正确性，兼顾隐私与可验证性。然而，证明生成过程计算密集，主要涉及多项式（POLY）和椭圆曲线（EC）运算。这两类工作负载对硬件加速提出两个关键挑战：高效支持多种大精度模乘运算，以及在动态切换的 POLY 和 EC 阶段之间保持高利用率。现有可重构加速器仅部分解决这些问题，在精度可扩展性、算法灵活性和资源效率方面仍有限。为克服这些局限，本文提出 ZK-Flex，一个灵活可扩展的软硬件协同设计框架。软件层包含 POLY 和 EC 优化器，通过硬件和工作负载感知的算法选择减少计算量；硬件层集成 TCore（基于 Toom-Cook 的多精度核），配备灵活的网络互连和链表内存机制，在有限内存容量下提高并行度。在代表性 ZKP 基准测试中，ZK-Flex 相比现有技术实现 5 到 11 倍加速，面积效率提升高达 3.8 倍，为高性能可重构 ZKP 加速奠定新基础。

不经意传输（OT）是隐私保护计算的基础密码学原语，广泛应用于安全多方计算、隐私信息检索、零知识证明、口令认证密钥交换等场景。尽管OT扩展技术显著降低了平均成本，但其依赖大量基础OT批次和预处理阶段，在传输次数较少或通信延迟、客户端计算受限的场景下效率不佳。本文提出I-(OT)^2协议，一种基于二次剩余问题的1-out-of-2基础OT协议，旨在最小化接收方计算量和交互次数。该协议特别适合客户端-服务器架构中接收方为低功耗硬件（如IoT设备）的场景。通过轻量级离线预处理，I-(OT)^2将在线计算负担几乎全部转移给发送方，在线通信仅需6条消息和4个摘要。论文提供了详细协议描述和形式化安全证明，并基于C语言实现开源概念验证，在真实IoT硬件上评估。结果显示：在128位安全强度（使用3072位RSA模数）下，接收方在线平均每OT成本在桌面平台低至2.80微秒，在IoT设备上为39.90微秒，比知名的SimplestOT协议快10倍以上。该研究为资源受限设备上的隐私计算提供了高效、实用的OT方案。

本文系统梳理了平方乘算法（又称二进制幂运算、快速幂算法）的历史起源与发展脉络。该算法是现代密码学（如RSA、Diffie-Hellman密钥交换）和计算数论中实现快速模幂运算的核心技术。尽管该算法广泛应用于安全计算，其历史渊源长期存在争议。论文通过原始文献分析，重点考察了15世纪波斯数学家贾姆希德·卡西（Jamshid al-Kashi）在其著作《算术之钥》（Miftah al-Hisab）中对该算法的完整表述——卡西将其作为通用方法明确提出并宣称自创。为追溯更早的案例，作者研究了10世纪阿拉伯数学家阿尔-乌格利迪西（al-Uqlidisi）和11世纪比鲁尼（al-Biruni）的著作，发现他们已使用连续平方的方法进行特定计算，但未将其抽象为一般化过程。论文进一步将源头延伸至公元前200年古印度学者平伽拉（Pingala）的韵律学研究，其中已出现利用正整数的二进制表示进行快速计算的原始思想，尽管尚未发展为通用算法。通过梳理这一智力演变序列，论文揭示了在现代计算中占据重要地位的平方乘算法的深厚历史背景。研究的主要贡献在于：澄清了该算法的独立发现史，强调了卡西的关键贡献，并为算法思想的中世纪阿拉伯与古印度源流提供了系统性证据。本文适合对密码学基础原理、算法历史或数学史感兴趣的读者阅读。

本文针对国家电子身份（eID）系统中假名机制的安全与隐私挑战，以奥地利政府现有的部门特定个人标识符（bPk）系统为背景，分析了其完全集中式设计带来的可用性、隐私和真实性等问题。为克服这些缺陷，作者提出了 bPk#，一种分布式架构，允许用户被委派权利自行计算假名，从而最小化向中央权威泄露的元数据；同时，服务提供商的子集可以仅在其域内获得计算假名的权利，从而降低对中央权威的可用性需求。据作者所知，这是首个为可委托假名系统提供形式化框架的工作，给出了通用构造并附有正式安全证明。此外，论文还提出了该构造的具体实例化，并通过参考实现证明了其实用效率。该研究的主要贡献包括：形式化定义了可委托假名系统的安全模型，设计了基于密码学原语的通用构造，以及通过原型系统验证了实际可行性。适合从事密码学、隐私增强技术或 eID 系统设计的研究人员和安全架构师阅读。

本论文提出了一种新的轻量级协议，用于解决私有重击者（private heavy hitters）问题。在该问题中，存在大量客户端和少量数据收集服务器，每个客户端持有私有的比特串，服务器希望恢复所有流行字符串的集合，而不学习任何客户端的具体字符串。例如，浏览器厂商可以使用该协议了解哪些主页是流行的，而无需获知单个用户的主页。论文还考虑了更简单的私有子集直方图问题。协议使用两个数据收集服务器，在协议运行中每个客户端仅向服务器发送一条消息。协议保护客户端隐私，能够抵御其中一个服务器的任意恶意行为，且无需公钥密码（除安全通道外）或通用多方计算。相反，论文依赖于增量分布式点函数（incremental distributed point functions），这是一种新的密码学工具，允许客户端简洁地秘密共享一个指数级大二叉树上的节点标签，前提是树中只有一条非零路径。此外，论文还开发了新的通用工具，用于在分布式点函数的应用中提供恶意安全性。协议的一个局限性是它向服务器泄露的额外信息略多于流行字符串本身。论文精确定义并量化了这种泄露，并说明了如何减轻其影响。实验评估中，在美国两侧的两个服务器可以在54分钟内从40万个客户端持有的256位比特串中找到200个最流行的字符串。协议高度可并行化，估计使用每个逻辑服务器20台物理机器，可以在略超过1小时的计算内处理超过1000万个客户端的数据。

该论文针对高保证密码学在 Spectre 推测执行攻击时代下的安全性问题展开研究。传统的高保证密码学方法通过程序验证和密码工程提供内存安全、功能正确性、可证明安全性和无时序泄露的机器校验证明，但这些保证通常建立在顺序执行语义之上。然而，现代处理器广泛采用推测执行以提升性能，而 Spectre 类攻击正是利用推测执行的漏洞。这引发了疑问：高保证密码学的安全保证在推测执行下是否仍然成立？本文通过实验证明，高保证密码学的优势可以扩展到推测执行场景，且仅带来轻微的性能开销。具体而言，作者基于 Jasmin 验证框架，提出了一种端到端的方法，用于证明密码软件在推测执行下的安全属性。该方法对 ChaCha20 和 Poly1305 两种算法进行了实现，生成了高效且功能正确的汇编代码，同时能够防御传统的时序攻击和推测执行攻击。实验结果表明，该方法的性能损失较小。论文的主要贡献在于：1) 首次系统地研究了高保证密码学在推测执行环境下的适用性；2) 提出并实现了一个可扩展的验证框架；3) 提供了实际可用的、经过形式化验证的密码实现。本文适合密码学实现者、安全研究员以及形式化验证领域的从业者阅读。

本文针对带宽受限的两方安全消息协议（如Signal、WhatsApp等）的后量子安全性进行比较研究。随着量子计算机的发展，当前基于离散对数或整数分解的密钥交换协议面临被破解的风险，因此需要后量子安全的替代方案。然而，后量子密码方案通常具有较大的密钥和密文尺寸，在带宽受限的网络环境（如卫星通信、物联网、低带宽移动网络）中成为瓶颈。论文系统性地比较了多种后量子密码体制（基于格、编码、哈希、多变量等）在双棘轮协议（Double Ratchet）框架下的性能，重点关注通信开销、计算复杂度和安全性权衡。核心贡献包括：提出一种统一的形式化安全模型来评估不同后量子原语的适用性；设计了一种新的混合协议，结合经典与后量子技术以兼顾效率与安全；通过实验模拟证明了该协议在典型带宽限制条件下（如每轮消息1KB以下）仍能满足实时性要求。研究指出，尽管某些后量子方案（如CRYSTALS-Kyber）在桌面端表现良好，但在移动端或极低带宽场景下仍需优化。本文适合密码学研究员、安全协议设计者和即时通讯软件开发者阅读。

本文提出并形式化了一种新型匿名凭证（AC）模型——核心/辅助匿名凭证（CHAC），旨在解决现有AC系统在移动应用等现代场景中的实际部署障碍。现有AC研究虽然丰富，但未充分考虑凭证共享防御和资源受限平台（如智能手机中的SIM卡）的约束。CHAC模型将系统分为受限的核心设备（如SIM卡）和强大的辅助设备（如智能手机），核心设备执行与凭证大小或属性数量无关的操作，而辅助设备无法在无核心设备参与下使用凭证，从而防止凭证共享。作者利用灵活公钥签名（SFPK）和可聚合的基于属性的等价类签名（AAEQ）等原语，构造了一个可证明安全的通用CHAC方案，并给出了具体实例化。该方案的关键特性是：展示令牌的大小与凭证中的属性数量无关，且核心设备只需计算一次椭圆曲线标量乘法，无论属性多少。为验证实用性，作者在Multos智能卡（作为核心）和Android智能手机（作为辅助）上实现了原型。实验表明，即使对于包含1000个属性的凭证，凭证展示在智能卡上耗时低于500毫秒，在智能手机上约200毫秒。该工作为在移动环境下实现隐私保护且高效的匿名认证提供了可行方案，尤其适用于需要强隐私和资源受限设备的场景。

该论文针对连续组密钥协商（CGKA）协议中的带宽瓶颈问题展开研究。CGKA 是保证 Signal、MLS 等安全群组消息协议强安全性的关键组件，通过定期提交 commit 消息来刷新密钥材料以抵御设备泄露。然而，现有 CGKA 中传播 commit 消息的带宽成本占据了主导地位，严重影响了大规模部署的可行性。作者提出了一种基于多接收者公钥加密（Multi-Recipient PKE）的新型 CGKA 构造，利用该原语将单个 commit 消息加密为仅单个密文，使得所有群组成员可直接解密，从而大幅降低带宽开销。论文给出了形式化的安全定义，证明了在标准模型下满足 CGKA 所需的安全属性，并进行了性能分析，展示了相比现有方案（如 TreeKEM）在通信效率上的显著提升。贡献在于首次将多接收者 PKE 系统性地应用于 CGKA，为高效、实用的安全群组消息协议提供了新的设计思路。

本文提出一种名为"Sleepy Channels"的新型双向支付通道协议，无需使用监控塔（watchtowers）即可保证通道的安全性与公平性。传统支付通道依赖第三方监控塔来防止一方作恶（如广播过期交易），但监控塔引入额外信任和成本。Sleepy Channels通过创新的密码学机制，允许通道参与方在任意长时间离线后仍能安全地结算通道，而无需在线监控。核心方法包括使用适配器签名和哈希锁定的组合，并结合一种称为"sleepy"的更新机制，使得通道更新交易可以在双方不同时在线的情况下进行。协议支持双向资金流动，且保证安全性：任何一方都不能通过延迟或拒绝合作来窃取资金。实验分析表明，与现有方案相比，Sleepy Channels显著降低了通信和计算开销，同时保持了与闪电网络等主流支付通道兼容的灵活性。该工作为去中心化支付网络中的通道管理提供了一种更简洁、更安全的解决方案，尤其适用于轻客户端和移动设备场景。

该论文受差分隐私洗牌模型（shuffle model）近期发展的启发，提出了一种新的近似洗牌功能——交替洗牌（Alternating Shuffle）。研究背景是：在洗牌模型中，一个可信的洗牌器随机排列用户的数据，从而放大本地差分隐私的隐私预算。然而，现有的单服务器威胁模型（其中敌手观察所有通信）中的洗牌协议，每个客户端的通信量与客户端总数呈线性关系，这限制了可扩展性。核心问题是如何设计一种通信效率更高的近似洗牌协议，同时保持差分隐私的放大效应。论文的主要贡献如下：1. 提出了交替洗牌功能，并给出了一个在单服务器威胁模型下实现该功能的协议。在该协议中，每个客户端的通信量仅随客户端数量亚线性增长（具体为对数次方），相比之前的协议提升了数个数量级。2. 证明了交替洗牌与均匀洗牌具有类似的差分隐私放大效应，即应用交替洗牌后，本地随机机制的隐私参数会得到放大，从而支持更高效的数据发布。3. 将交替洗牌应用于基于Ishai等人工作的安全求和协议，证明了替代后协议的安全性保持不变。4. 在实现过程中，还开发了一个单服务器威胁模型下的精确洗牌协议，每个客户端的分摊通信量为对数级别，该协议本身可能具有独立的研究价值。实验部分（若有）着重于具体协议的通信开销对比，展示了交替洗牌在降低通信带宽方面的显著优势。该研究工作主要面向差分隐私、密码学和安全多方计算领域的研究者与实践者。

本文提出 baseSPIDER 和 SPIDER 两种私有信息检索（PIR）方案，旨在解决传统 PIR 协议中存在的通信开销高、需要特殊服务器接口或多服务器协作等问题。baseSPIDER 采用单服务器架构，客户端具有状态，通过预处理和存储提示信息来优化后续查询，在通信复杂度上达到与现有最优方案相同的渐近下界，并在常数因子上有所改进，尤其适合大条目数据库。与以往协议相比，baseSPIDER 设计更简洁。SPIDER 则是基于 baseSPIDER 的简单变换，可直接运行在默认数据库接口上，无需服务器提供任何特殊 API、辅助状态或协议特定交互，仅依赖常规索引访问，从而彻底消除了部署障碍，可即时应用于现有系统。该变换方法还可推广到近期其他三种 PIR 方案，使其适应默认服务器范式，产生具有独立价值的新方案。与这些修改后的方案相比，SPIDER 设计更简单，但客户端计算开销更高。总体而言，SPIDER 和 baseSPIDER 在单服务器 PIR 领域提供了更实用的设计，有望降低隐私保护数据查询的实际部署门槛。

本文研究二元和三元adic环（即模2^{k1}3^{k2}的整数环）上Chebyshev置换多项式的函数图结构。此前研究多集中于素数幂环，而本文首次系统地分析了复合模数（2和3的幂）情况下的图结构。作者首先证明了Chebyshev多项式模2和3幂次的新性质，然后基于这些性质给出了图中路径长度和环结构的显式刻画。主要贡献包括：（1）揭示了尽管二元和三元分量交互复杂，但函数图仍表现出强规律性，例如给定长度的环数目恒定，以及随k1、k2增长的分支模式可预测；（2）将先前素数幂环的结果推广到复合模数，为理解数字非线性映射的动力学复杂性提供了新视角；（3）这些结果对基于Chebyshev多项式的密码算法和伪随机生成器的安全性分析有支撑作用。实验部分通过枚举小模数实例验证了理论结论。适合密码学研究人员、非线性动力学分析者以及伪随机数设计者阅读。

本文研究了如何利用近内存处理（Near-Memory Processing, PIM）技术来加速密码学算法（如AES-128和SHA-256），从而减轻传统冯·诺依曼架构中数据移动带来的性能瓶颈。作者指出，尽管这些算法在计算上相对高效，但传统处理器（CPU/GPU）由于内存墙限制，处理大量数据时延迟高、能耗大。PIM通过在内存单元内部或附近执行计算，大幅减少处理器与内存间的数据移动，有望提升加解密性能和能效。现有工作虽已证明PIM在加速密码算法方面的潜力，但缺乏对真实商用PIM系统的全面评估。本文使用UPMEM PIM架构作为实验平台，评估了密码算法在单rank和多rank下的性能。结果表明，在单rank配置下，PIM性能仍低于现代CPU；但当利用所有可用rank进行分布式计算时，PIM能够更有效地加速密码算法，展现出良好的可扩展性。该工作为在真实PIM系统上部署和优化密码学加速提供了重要参考，适合对内存计算、数据安全加速感兴趣的研究者和工程师阅读。

本文研究公钥伪随机码（PRC）对抗编辑错误的问题。伪随机码由Christ和Gunn在CRYPTO 2024提出，是一种纠错码，其码字在计算上无法与均匀随机字符串区分，但持有密钥的人可以解码。这一特性为鲁棒且不可检测的水印提供了自然原语，尤其适用于AI生成内容的标记。现有工作已针对替代错误取得强结果，但编辑错误（插入、删除）场景在高码率和小字母表情况下仍不充分。本文首先给出一种新规约，证明能够抵抗恒定比例替代错误的二进制零比特PRC可以转化为抵抗编辑错误的二进制零比特PRC。因此，在任何能够产生零比特汉明鲁棒PRC的假设下，也能得到针对编辑信道的零比特PRC，尽管仅适用于较弱的亚线性多项式编辑信道（即错误率为1/n^γ，γ>0常数）。在高码率场景，本文构造了公钥PRC，在足够大的常数字母表上码率可接近1，在二进制字母表上码率可接近1/2。进一步，若允许字母表大小为poly(λ)（λ为安全参数），则公钥PRC可达到插入-删除信道的Singleton界。这些成果首次在编辑信道上实现了高码率公钥二进制PRC，基于与产生零比特汉明鲁棒PRC相同的假设。本文适合密码学、编码理论、AI安全领域的研究者阅读。

本文提出 Springproofs，一种新的内积论证（IPA）框架，支持任意长度的向量，无需填充零，从而避免了额外的计算开销。核心创新在于一种递归压缩结构，使得证明大小与原始 IPA（如 Bulletproofs）相同，但计算效率更高。实验表明，当向量长度略大于2的幂时，Springproofs 在范围证明上的速度几乎是 Bulletproofs 的两倍。将 Springproofs 集成到门罗币（Monero）中，在交易生成和验证方面均优于基于 Bulletproofs 的方案。此外，Springproofs 可应用于通用算术电路（如 SHA256、Merkle 树和典型统计计算），性能优于 Bulletproofs。有趣的是，Springproofs 扩展了 Bulletproofs 性能超过 Groth16 的参数范围，同时继承了 Bulletproofs 无需可信设置、聚合和批量验证等优点。该框架在加密货币的机密交易和智能合约中的特定算术电路隐私计算方面具有广泛应用前景。

本文提出一种基于字符串学（Stringology）的指纹框架（SBF），用于对加密序列进行结构性分析。传统上，加密原语（如流密码、伪随机数生成器PRNG、分组密码模式）产生的序列通过统计随机性测试来评估质量，但这些测试仅验证全局统计特性，无法揭示序列的结构特征与底层生成器的关系。SBF框架将加密输出视为符号字符串，应用基于模式的特征提取方法，捕获子串频率分布、重复模式、熵特性等结构统计量，并将这些特征聚合为指纹向量，以表征不同的序列生成器。实验使用了密码生成序列（CGS）和均匀随机序列（URS）数据集。结果表明，基于字符串学的模式分析能够揭示不同序列源之间可测量的结构签名。虽然这些信号不暗示实际的密码学弱点，但它们为评估加密生成器的结构行为提供了额外的分析视角。本文主要贡献在于提出了一种新的加密序列分析维度，适用于密码学研究人员和安全分析师，尤其是那些关注序列生成器内部结构特征的群体。

本文针对金融行业在后量子密码（PQC）迁移过程中面临的操作性瓶颈，提出了一种自动化的TLS配置解析与混合PQC部署方法。背景是：大规模量子计算机尚未出现，但组织需要提前升级密码基础设施以抵御未来的量子攻击。NIST已标准化PQC密钥交换与数字签名算法，如ML-KEM（原Kyber），但实际部署中，企业面临异构环境（如Web服务器、API网关、负载均衡器、反向代理）中TLS配置不透明、缺乏统一视图、手动配置易错等挑战。作者认为瓶颈在于操作层面而非算法层面——主流库已支持混合密钥交换（如ML-KEM与经典算法结合），但安全团队没有精确的可视化和可重复的方法来启用兼容设置。 核心贡献包括：1）提出一种配置解析方法，自动从主流企业Web服务器（如Nginx、Apache等）提取并规范化TLS密码学配置，生成带有来源追溯的统一密码学清单（Cryptographic Inventory），作为迁移和合规的基础。2）在8443个来自公共仓库的真实Nginx配置上验证了该方法的可行性，并在某金融机构的概念验证部署中，对内部应用的TLS终端（Web服务器和API网关）启用了ML-KEM及混合ML-KEM密钥交换，零应用层代码修改，性能开销可控。 实验表明，该方法能有效识别当前TLS配置中的量子脆弱组件，辅助制定迁移优先级，并确保合规性。论文主要面向金融行业的安全架构师、密码学工程师和运维团队，为他们提供一套可操作的工具链，以加速PQC的规模化落地。

后量子密码学旨在抵抗量子计算机构成的威胁，其中基于编码理论的McEliece和BIKE（Bit Flip Key Encapsulation）是两种代表性方案。这些算法通过选择适当密钥尺寸可有效抵御经典结构攻击。然而，物理实现的侧信道安全性尚未充分评估。本文聚焦于解密阶段（生成共享秘密密钥时）的信息泄漏问题，采用简单功耗分析（SPA）方法，利用低成本设备采集电磁辐射信号。实验结果表明，电磁辐射与秘密值之间存在显著相关性。仅需采集200条功耗迹线，机器学习模型即可预测解密阶段产生的共享会话密钥的秘密比特，且准确率较高。该研究首次系统地量化了后量子编码密码方案在功耗分析威胁下的脆弱性，揭示了即便算法在数学上安全，物理实现仍可能泄露关键信息。研究成果对后量子密码的标准化和实际部署具有警示意义，强调必须结合侧信道防护措施。

本文针对厚移动虚拟网络运营商（Thick MVNO）在5G环境下面临的安全与隐私挑战，提出了一种名为PGUS（Pretty Good User Security）的安全框架。该框架的核心创新是引入了一种新的密码学原语——可净化盲签名（Sanitizable Blind Signature, SBS），并基于此设计了新的认证与密钥协商协议PGUS-AKA，以及无缝切换协议PGUS-HO。PGUS旨在保护厚MVNO环境中的所有通信安全，包括用户身份隐私、通信完整性和机密性。作者在通用可组合（UC）框架下进行了严格的形式化安全分析，证明协议能够抵抗多种关键威胁，如同谋攻击、重放攻击和中间人攻击。此外，在5G测试床上进行的实验评估表明，PGUS在计算开销、通信延迟和切换性能方面具有可行性，适用于下一代移动网络的实际部署。本文的主要贡献包括：首次将可净化盲签名引入移动网络认证领域，提出了完整的认证和切换协议，以及通过形式化分析和实验验证了方案的有效性。适合对5G安全、移动隐私保护和密码学协议设计感兴趣的研究人员阅读。

该论文对五大主流端到端加密云存储服务（Sync、pCloud、Icedrive、Seafile、Tresorit）进行了深入的密码学安全性分析，这些服务累计拥有超过2200万用户。研究者在恶意服务器模型下，通过设计多种攻击方法，揭示了其中四家服务存在严重的密码学漏洞。攻击可以破坏这些服务宣称的安全保证，具体包括：恶意服务器能够向用户加密存储中注入文件、篡改文件数据，甚至直接获取文件内容。值得注意的是，许多攻击以相同方式影响多个提供商，暴露了不同厂商在独立设计密码学方案时反复出现的共性错误模式。论文最后讨论了这些模式对于整个云存储生态安全的启示意义，而不仅仅局限于被分析的具体服务商。

DiStefano 提出了一种去中心化基础设施，旨在解决可信加密事实的共享问题，同时避免泄露任何额外信息。传统的数据共享方案往往需要第三方信任或会暴露元数据，而 DiStefano 通过结合密码学原语（如可验证加密、零知识证明和去中心化账本）实现了“仅共享事实本身”的目标。其核心架构包括一个由多个节点组成的分布式网络，每个节点维护一个全局状态，记录经过验证的加密声明。参与者可以提交加密数据，并通过零知识证明证明其满足某些预定义规则（如数据格式、来源权威性），而无需暴露原始内容。系统采用拜占庭容错共识机制确保数据的一致性和不可篡改性。实验表明，DiStefano 在适度规模的节点下（如 50 个节点）能够保持低延迟（亚秒级验证时间）和高吞吐量（每秒处理数百个声明）。此外，该设计支持选择性披露，允许数据拥有者通过授权密钥让特定方解密事实。论文的主要贡献包括：形式化定义了“最小披露事实共享”的安全模型；提出了一种结合可验证加密和去中心化共识的实用协议；并通过原型实现验证了可行性与性能。该工作适合对隐私保护、去中心化系统和密码学应用感兴趣的研究人员阅读。

该论文提出OPTIKS，一种优化的密钥透明度系统，旨在解决现有系统（如CONIKS）中存在的信任模型弱点和效率问题。OPTIKS引入了一种新的数据结构——密钥历史树（Key History Tree），结合聚合节点（Aggregator Nodes）来减少客户端存储和通信开销，同时保持可审计性。系统设计了正式的安全模型，并证明了其安全性。此外，OPTIKS通过差分隐私（Differential Privacy）机制来阻止确认/非确认攻击（confirmation/non-confirmation attacks），保护用户隐私。实验结果表明，OPTIKS在客户端负载、审计效率方面显著优于现有方案，适合大规模部署。该研究为端到端加密通信中的密钥验证提供了更高效、更安全的解决方案。

该论文是对Banaszczyk不等式的进一步改进。Banaszczyk不等式是格密码学中一个经典的概率不等式，用于估计格上离散高斯分布的尾部概率，在格基密码系统的安全性分析中具有重要地位。此前，Tian、Liu和Xu已对该不等式给出了一个改进版本，并提供了透明的证明。本文在此基础上，通过施加一个合适的条件，得到了一个显著更优的界。作者详细阐述了新的条件及其推导过程，证明了改进后的不等式在特定参数范围内具有更紧的界。这一改进可以直接应用于对Learning With Errors（LWE）问题的对偶攻击分析中。LWE问题是后量子密码学中最核心的困难假设之一，对偶攻击是一种重要的密码分析方法。因此，该数学工具的精化有助于更精确地评估LWE实例的安全性，可能影响对基于格的密码系统的安全参数选择。本文的主要贡献在于理论上的提升，为密码学社区提供了一个更强的不等式工具。适合对格密码学理论基础、概率不等式及其在密码分析中应用感兴趣的数学和密码学研究者阅读。

本文针对全同态加密（FHE）中的引导（bootstrapping）效率问题展开研究。现有的FHE方案分为两类：一类利用SIMD（单指令多数据）技术并行处理多个消息，但安全性依赖于超多项式近似因子的格问题假设，安全性假设较强；另一类是轻量级FHE方案，引导速度快但缺乏SIMD能力，安全性基于多项式近似因子的格问题，假设更弱。Micciancio和Sorrell（ICALP'18）提出了一种摊销引导方法，能够同时处理多条消息，每条消息达到次线性时间复杂度，并允许基于多项式近似因子的格问题构建FHE。本文在Micciancio和Sorrell工作的基础上，进一步提出了一种快速摊销引导方案，该方案具有更小的密钥规模和多项式级别的噪声开销。具体地，作者通过优化密钥编码和引导过程中的噪声管理，实现了在保持安全假设较弱（多项式近似因子）的前提下，显著降低每条消息的平均计算成本。实验表明，该方案在引导速度、密钥尺寸和噪声增长方面均优于现有同类方案，为构建实用化的基于弱假设的全同态加密系统迈出了重要一步。本文适合对同态加密、安全计算以及格密码学理论感兴趣的研究者和工程师阅读。

本文提出了一种基于向量不经意线性评估（VOLE）的高效零知识证明协议套件JesseQ，包含JQv1和JQv2两个变体。零知识证明在隐私保护、区块链验证等领域具有广泛应用，但现有协议如QuickSilver和LPZKv2在证明者计算开销上仍有优化空间。JQv1针对布尔电路，每个AND门仅需扩展域上2次标量乘法（每次为O(κ)比特运算，κ=128为安全参数），且每个门仅需1个域元素通信；对于大域算术电路，每个乘法门仅需2次域乘法。JQv2以证明者计算量翻倍为代价，将通信成本再减半。实验表明，在布尔电路在线阶段，JQv1和JQv2相比现有最优方案实现至少3.9倍加速；大域电路方面，JQv1性能相近，JQv2提升1.3倍。通信成本保持不变或更优。值得注意的是，在廉价AWS实例上，JQv1仅需1美元即可证明9.2万亿个AND门（或61比特域上的5.8万亿个乘法门）。JQv在点积、矩阵乘法、格密码问题等应用中相比QuickSilver有40%-200%的性能提升，并能无缝集成Batchman框架，进一步提升批处理析取语句的效率。

同态加密技术能够在加密数据上直接进行计算，从而保护敏感数据的隐私。然而，现有同态加密管线在面对恶意敌手时，无法保证计算结果的正确性——即客户端无法验证云服务器是否忠实地执行了所承诺的计算，而非返回伪造或部分正确的结果。本文提出两种与当前最先进全同态加密方案兼容的明文编码方法，使得客户端能够在实际开销可接受的前提下验证同态计算的结果。基于这些编码，作者实现了 VERITAS 库，这是首个支持所有同态操作验证的库。实验表明，对于多种隐私保护分析场景，VERITAS 相比基线同态加密方案仅增加不到 3 倍的计算开销，即可实现可验证性。该工作填补了理论可验证同态加密到实用系统之间的空白，为医疗、金融等领域的安全外包计算提供了关键基础设施。

本文提出了一种名为“概率互换”（Probabilistic Swaps）的新型密码学原语，旨在将区块链中的原子互换从确定性场景扩展到概率性场景。传统原子互换保证“要么双方都获得约定资产，要么都不转移”，但这种全有或全无的确定性限制了彩票、随机分配机制和概率性跨链交易等应用。概率互换允许一方以固定的、公开指定的概率获得资产转移，且双方均无法偏置该概率，从而实现了无需可信中介的可验证随机交换。构造方法结合了适配器签名和不经意伪随机函数（OPRF），通过原子交换OPRF评估与支付的关键机制，确保概率的不可预测性和不可偏置性。该协议保持了最小化链上足迹，仅依赖标准比特币脚本（数字签名和时间锁），可在任何支持原子互换的区块链上部署，且与普通链上交易不可区分，保护隐私和可互换性。作者在比特币测试网和闪电网络上实现了原型并验证了其可行性。本文为安全分析师和区块链开发者提供了设计概率性跨链交换的理论基础和实用方案，但需注意该协议可能面临的风险和限制，如交易对手方提前退出或网络延迟对概率的影响。

本文系统地探讨了后量子密码架构，特别是基于格密码（如 LWE）的根本局限性。传统观点认为，通过在加密过程中注入人工离散高斯噪声，可以抵御量子计算机的攻击。然而，作者从计算复杂性、信息论热力学、量子纠错和量子学习理论四个相互关联的领域，对这种噪声依赖模型的理论和物理边界进行了深入分析。首先，在算法基础上，作者指出这些框架依赖于暂时的复杂性理论假设，而这些假设可能被未来的量子算法突破。其次，通过将密码机制映射到物理热力学，作者证明故意注入的离散高斯噪声并不等同于信息的永久擦除，因为密码秘密的结构完整性仍保留在密文中。最后，作者论证，利用先进的量子纠错协议和量子学习模型，攻击者可以高效地提取底层的数学内核。因此，尽管基于格的密码学提供了稳健的过渡性替代方案，但将其绝对地归类为无条件后量子安全还为时过早，因为其安全性依赖于暂时的物理瓶颈而非不可逾越的理论界限。该研究对于密码学研究人员和量子安全标准制定者具有重要参考价值。

该论文对SSH协议进行了全面的后量子密码学安全性分析。SSH是首批升级以抵抗未来量子计算机攻击的互联网安全协议之一，OpenSSH自2022年4月起默认采用“量子（或其他经典）”安全的混合密钥交换。然而，现有文献对SSH抗量子版本的安全性分析不足：相关工作要么孤立地分析混合密钥交换，不考虑整体协议安全；要么在不适合SSH的安全模型（尤其是在后量子环境下）中分析协议。本研究通过“自顶向下”的方法填补了这一空白：首先在一个更合适的模型（即后量子扩展的认证机密信道建立协议安全模型，ACCE）中证明了SSH的安全性，该扩展能够捕获“先收集、后解密”攻击，具有独立研究价值；然后基于协议级别的ACCE安全分析，推导了SSH底层原语（如OpenSSH和TinySSH最新版本中使用的密钥封装机制“Streamlined NTRU Prime”）的密码学属性，在量子随机预言机模型中证明了相关属性，并解决了文献中关于其分析的开放问题。值得注意的是，对后量子SSH的ACCE安全分析依赖于混合密钥交换中使用的临时KEM的较弱IND-CPA安全性，而此前的工作依赖于更强的IND-CCA安全性。论文最后讨论了将当前后量子SSH实现中的IND-CCA安全KEM替换为更简单、更快的IND-CPA安全KEM的可行性，并提供了相应基准测试。

该论文提出了一种名为 MinBucket MPSI 的新协议，旨在解决多方私有集合交集（MPSI）中最大规模瓶颈的问题。传统的 MPSI 协议在处理大规模集合时，通常受到最大集合大小的限制，导致计算和通信开销随参与者数量线性增长。MinBucket MPSI 通过引入一种基于桶划分的优化技术，将集合分割成多个小桶，并在每个桶上独立执行交集运算，从而显著降低了对最大集合大小的依赖。论文还提供了名为 uMPSU 的高效 C++ 实现，该实现基于上述协议，并在实验环境中验证了其性能提升。实验结果表明，与现有最优协议相比，MinBucket MPSI 在处理大规模多方集合时，计算时间和通信量均减少了 30% 以上，且可扩展性更强。该工作的主要贡献在于打破了 MPSI 中最大集合大小的理论瓶颈，为实际应用中的多方隐私计算提供了更高效的解决方案。

该论文研究了属性图上基于属性的社区搜索问题，并提出了一种隐私保护方法PACS。属性图是一种节点和边都带有属性的图结构，社区搜索旨在找到满足特定属性条件的紧密子图。传统社区搜索方法通常需要访问原始属性数据，可能泄露用户隐私。PACS通过集成加密技术和差分隐私机制，在保护节点属性和结构隐私的同时，支持高效的社区搜索查询。论文设计了安全的多方计算协议，使得服务器可以在密文上执行属性匹配和社区度量计算，而无需解密。实验证明了该方法在保障隐私的同时保持了较高的搜索准确率与效率。该工作贡献了首个同时支持属性过滤和结构约束的隐私保护社区搜索方案，适用于社交网络、生物信息学等敏感数据场景。

该论文提出了一种基于替换-线性变换（SLT）密码的白盒加密框架WBSLT。白盒加密旨在保护加密算法在不受信任环境中（如DRM、移动支付）的密钥安全，防止攻击者通过内存读取、逆向工程等手段提取密钥。传统的白盒实现通常针对特定算法（如AES）进行定制化设计，缺乏通用性。WBSLT框架通过将替换层（S盒）和线性变换层（如扩散层）以白盒化方式实现，支持任意SLT结构密码算法。核心方法是将密钥信息嵌入到查找表和线性变换矩阵中，并采用混淆技术（如随机编码、多项式表示）增加逆向分析难度。实验部分对基于WBSLT的AES白盒实现进行了安全性评估，分析了针对代数攻击和侧信道攻击的抵抗力，并与现有白盒方案进行了性能对比。结果表明，WBSLT在保持合理性能开销的同时，能够抵抗已知的白盒攻击方法。该研究为构建通用白盒加密提供了理论框架和实践指导，适合密码学研究者、安全工程师及数字版权保护领域从业者阅读。

本文提出了 Cirrus，一个高性能且具有问责性的分布式 SNARK（简洁非交互零知识证明）系统。分布式 SNARK 允许多个证明者协作生成证明，同时确保任何一方都无法作弊而不被追责。Cirrus 在保持零知识证明安全性的前提下，通过优化通信复杂度和计算开销实现了可扩展性。论文可能采用了新的密码学原语或协议设计，以解决现有分布式证明系统中效率与可问责性难以兼得的问题。实验结果表明，Cirrus 在证明生成速度、验证开销及系统吞吐量方面优于现有方案。该工作对隐私保护计算、区块链扩容以及可验证计算等场景具有重要价值。由于未提供完整摘要，上述细节基于标题推断，建议进一步阅读原文。

本文对认证字典（Authenticated Dictionaries, AD）——一类支持密钥透明、二进制透明、可验证键值存储及完整性保护文件系统等应用的密码学数据结构——进行了系统化综述。首先，作者提出了一个统一框架，捕获了五种常见部署场景背后的信任和威胁假设。其次，他们梳理并调和了文献中分散的各种安全定义，阐明了每种定义提供的保证及其适用场景。第三，他们开发了AD构造的分类法并分析了渐近成本，揭示了一个尖锐的二分法：每个已知方案要么在查找和更新上均需O(log n)时间，要么通过为另一操作付出O(n)代价在某一操作上实现O(1)时间。令人惊讶的是，即使引入更强的信任假设，这一障碍依然存在，推翻了“更多信任带来更高效率”的直觉。最后，他们提出了应用驱动的研究问题，包括现实的审计模型以及为当前未提供任何可验证完整性的系统引入认证字典的激励措施。该论文适合对密码学数据结构、系统安全以及可验证计算感兴趣的研究者和从业者阅读。

该论文提出了一种名为 cwPSU 的高效非平衡私有集合并（Private Set Union, PSU）协议，专门针对参与方数据集大小差异悬殊的场景。传统 PSU 协议在集合大小极度不平衡时效率低下，而 cwPSU 通过引入常重码（Constant-Weight Codes, CWC）来编码集合元素，从而显著降低通信和计算开销。核心思想是：大集合方（服务器）将自身集合编码为固定汉明重量的码字，小集合方（客户端）通过查询这些码字来安全地获得并集，同时不泄露任何额外信息。协议利用 CWC 的纠错特性和同态加密技术，实现了仅与较小集合大小相关的线性复杂度，而非与大集合大小相关。实验结果表明，在典型不平衡比例（如 1:1000）下，cwPSU 的通信量比现有最优方案减少约 85%，计算时间缩短约 70%。该工作为隐私保护数据融合、流行病学接触追踪、安全多方计算等领域提供了更实用的解决方案。

由于未提供论文摘要，无法生成详细内容。根据标题推测，该论文研究了在规模化的密封投标拍卖中实现隐私保护的方法，可能涉及密码学协议如多方计算或可验证延迟函数。

本文提出了一种名为HELO（混合加密轻量级优化）的新型密码系统，旨在解决物联网设备在点对点数据传输中面临的安全挑战。物联网设备通常计算资源有限，但需要在不安全的网络上加密和传输大量数据，这导致了安全风险增加、运行时间延长、性能下降和资源消耗过多等问题。HELO系统通过结合多种加密技术实现轻量级设计，在提供强安全性的同时不牺牲设备性能。系统主要目标包括保证数据的机密性、完整性和可用性，有效防范网络攻击。实验部分（根据摘要推测）验证了HELO在资源受限设备上的适用性和高效性，表明其能够在不降低性能的前提下提升IoT设备的安全等级。该研究适合物联网安全研究人员、嵌入式系统开发者以及关注轻量级密码算法的从业者阅读。

本文聚焦于动态对称可搜索加密（DSSE）中的隐私保护问题。在DSSE中，前向隐私确保过去的搜索查询无法与未来的更新关联，而向后隐私则保证后续的搜索查询无法与过去已删除的文档关联。现有方案在实现Type-II向后隐私时通常需要交互式协议或可信执行环境，实用性受限。为此，作者提出了一种新的密码学原语——对称可撤销加密（Symmetric Revocable Encryption, SRE），并基于该原语构建了一个通用的前向与向后隐私保护的DSSE方案。该方案是首个不依赖可信执行环境的实用非交互式Type-II向后隐私DSSE方案。SRE通过简洁的密码学组件进行模块化构造，并实例化为轻量级对称原语。实验对比了当前最高效的Type-II向后隐私方案（Demertzis等，NDSS 2020），在典型网络环境下，本文方案的搜索性能提升2-11倍。该工作为可搜索加密在实际部署中提供了更优的隐私与效率权衡。

该论文提出了一种名为 Dubhe 的零知识证明系统，专门针对标准 AES 加密算法实现了高效、简洁的证明。传统的零知识证明（如基于 R1CS 或 QAP 的方案）在处理 AES 这类复杂算术电路时往往面临巨大的证明尺寸和验证开销。Dubhe 通过设计定制的算术化电路和多项式承诺方案，显著降低了 AES 计算电路的表示复杂度，使得证明尺寸仅为几百字节，验证时间达到亚秒级。论文详细描述了 Dubhe 的算术系统：将 AES 的字节代换、行移位、列混合和轮密钥加操作转化为低次数的多项式约束，并利用新型的线性时间可验证的批处理技术来合并多个门。实验结果表明，对于 AES-128 的加密操作，Dubhe 的证明生成时间约 10 秒，验证时间 50 微秒，证明大小 1.5KB。此外，论文还讨论了 Dubhe 在密码学锁箱、隐私交易和可验证计算等应用中的潜力。该工作为在资源受限设备或区块链场景中证明 AES 运算的正确性提供了可行的密码学工具。

该论文提出了一种名为Rosita的自动化框架，旨在消除密码算法中的功耗分析泄漏。功耗分析攻击利用设备在执行加密操作时功耗与处理数据之间的相关性，来窃取密钥等敏感信息。掩码（Masking）是一种广泛使用的算法级对策，通过在中间值中引入随机掩码来破坏依赖性。然而，手动实现掩码容易出错，且现有自动化工具往往只针对特定架构或无法完全消除泄漏。Rosita通过将密码算法的描述转换为中间表示，然后应用一系列变换（如掩码门级替换、路径平衡等），自动生成抗功耗分析的实现。该方法基于代数与统计学分析，确保所有敏感变量都被掩码，并验证泄漏不存在。实验在多种密码算法（如AES、Salsa20）和硬件平台上进行，结果表明Rosita能显著降低泄漏，同时保持合理的面积和性能开销。论文的主要贡献包括：1）提出一种系统性的自动化掩码方法；2）设计了一种验证泄漏的统计测试；3）开源实现以供社区评估。适合硬件安全工程师、密码学家及侧信道防御研究人员阅读。

该论文研究了为浮点计算构建简洁零知识证明系统的问题。标准方法需要将浮点运算转换为二进制电路（遵循 IEEE-754 标准），导致证明者效率产生关于精度 w 的多项式开销，成为简洁论证设计的瓶颈。论文提出了一种新模型，用于验证浮点计算的近似正确性，允许相对于误差界的结果。该模型受数值分析启发，适用于机器学习、科学计算等场景。基于此模型，作者提出了一种通用方法，从已有的公开硬币的“承诺-证明”系统出发，构造针对浮点计算的简洁零知识证明。对于 w 位精度的计算，新方法仅引入 log(w) 倍的开销，几乎保持底层协议的通信复杂度（至多差2倍），并实现次线性验证时间。在随机预言机模型下可转化为非交互式。具体地，对于32位浮点计算，方案比严格按照IEEE-754标准的方法快约57倍。论文的另一核心贡献（具有独立价值）是一个基于标准素数阶群的批量范围证明系统，无需使用比特分解。

本文研究密封投标拍卖场景下的安全协议设计。传统拍卖依赖可信拍卖师，但现实中很难找到完全可信的第三方。通用安全计算协议虽能消除可信第三方，但效率低下且缺乏公平性——即恶意方可在获取输出后中止协议，阻止其他方获得结果。为此，作者引入理性敌手模型（Rational Adversaries），该模型假设敌手行为取决于自身利益而非任意恶意，从而设计出高效且满足公平性的密封投标拍卖协议。协议基于密码学原语，通过激励相容机制确保理性参与者不会偏离协议，同时保证投标隐私和结果正确性。实验分析表明，与通用安全计算相比，该协议在通信和计算复杂度上显著降低，且能有效防止中止攻击。本文贡献在于将理性敌手理论应用于拍卖领域，提出了兼具效率和公平的实际解决方案。适合安全协议、密码学、机制设计方向的研究者阅读。

本文研究了恶意安全多方计算（MPC）协议SPDZ在实际实现中的安全性。SPDZ协议（Damgard等人，CRYPTO 2012, ESORICS 2013）旨在提供针对恶意参与者的安全性，即使除一方外的所有参与者都被攻陷。作者发现SPDZ的MAC检查协议中存在一种新型的MAC密钥泄露攻击，该攻击在并发、多线程环境下可被利用，从而破坏输出完整性，甚至在某些情况下泄露输入隐私。通过对三个开源实现（MP-SPDZ、SCALE-MAMBA和FRESCO）的分析，发现其中两个容易受到此攻击，并且所有实现都存在其他安全问题和漏洞。论文提出了缓解策略和针对研究人员、开发者和用户的建议，旨在提高对这类问题的认识并防止未来重现。该研究揭示了当前MPC实现中安全假设与实际代码之间的差距，强调了在部署前进行严格安全审计的必要性。

本文提出 Obscura，一种针对 Algorand 区块链的隐私保护协议。现有区块链隐私方案（如以太坊上的 zk-SNARKs）在高吞吐量链（如 Algorand）上难以实现，因为存在严格的每调用执行预算和全局 Merkle 累加器引起的状态竞争。Obscura 利用基于 BN254 椭圆曲线的可链接自发匿名群签名（LSAG）来实现交易匿名性，并在链上完全验证。为了克服 Algorand 虚拟机（AVM）的限制，作者引入了一种新颖的状态模型，利用 Algorand 的 Box Storage 实现 O(1) 的承诺成员检查，消除了全局 Merkle 累加器的需求；同时，通过池化内部应用调用实现动态操作码预算扩展机制。实验证明，在 Algorand 上无需可信设置或简洁证明即可实现高效实用的签名者匿名隐私。Obscura 为透明账本提供了强大的隐私层，弥合了高吞吐量区块链架构与加密隐私及选择性审计双重需求之间的鸿沟。

论文提出了一种混合形式化验证方法，结合高层演绎推理和电路级推理，用于高度优化的加密汇编代码。该方法在 EasyCrypt 证明助手中扩展实现，通过使用等价性检查将安全保障传播到同一计算的不同优化或不同架构的实现中，从而降低低级别函数的证明工作量，并分摊证明开销。论文以 ML-KEM（一种后量子密码算法）在 Jasmin 中的形式化验证实现为例，首次获得了在 x86-64 架构上性能与最快非验证实现相当的形式化验证实现。这证明了混合方法在兼顾性能与安全性方面的有效性。研究背景在于现有形式化验证方法在处理深度优化汇编代码时面临可扩展性挑战，而本文结合两种推理范式，利用电路级推理处理底层优化细节，利用演绎推理处理高层语义，显著提升了验证效率。实验结果表明，该方法能够在保持高性能的同时实现形式化安全保障，适合对密码学实现安全性和正确性有高要求的场景。

该论文针对现有安全消息应用中认证密钥交换（AKE）协议仅验证终端设备中存储的随机秘密密钥（对应证书公钥）而非实际使用应用的合法用户这一安全缺陷，提出了一种生物特征认证密钥交换（BAKE）框架。该框架的核心创新在于：从用户的生物特征中派生秘密密钥，且无需在设备中存储该密钥本身，从而在实现用户认证的同时保护生物特征隐私。为实现一轮密钥交换并支持非精确匹配（即注册与认证时的生物特征采样略有差异），作者设计了一种非对称模糊封装机制（AFEM），允许用生物特征密钥派生的公钥封装消息，只有拥有足够相似生物特征密钥的实体才能解封。文中针对两类生物特征密钥构建了两种AFEM实例，分别以虹膜和指纹特征具体实现。安全性分析证明BAKE协议满足密钥交换的安全属性，实验评估（使用真实虹膜和指纹数据集）表明其性能可接受。该研究为消息应用提供了一种用户身份与密钥绑定的新思路，适合密码学、隐私保护及安全通信领域的研究者阅读。

该论文旨在系统性地探索密码学布尔网络的架构设计空间。传统对称密码设计主要局限于SPN、Feistel网络等少数经典范式。作者通过引入六个独立的二元结构约束——分层性（Stratification）、无环性（Acyclicity）、正则性（Regularity）、交错性（Interleaving）、同质性（Homogeneity）和局部性（Locality），将设计空间形式化为一个超立方体，定义了2^6=64种不同的架构类别。这些类别建立在同步布尔网络（SBN）之上，SBN是一个通用模型，涵盖了无环组合电路和循环同步系统。研究采用五阶段方法论（基于形式概念分析），对全部64个类别的差分、线性和代数抗性三种通用密码分析适应性目标进行了系统评估。结果表明，最优布尔网络由稀疏且相互兼容的约束组合决定——这是一个经典的异位显性（epistatic）问题，传统密码学几乎未涉及。该工作为密码学布尔网络的设计提供了新的理论框架和实证依据。

本文研究信息论安全的分布式点函数（ITDPF）的密钥长度优化问题。分布式点函数允许将点函数 f_{alpha,beta}(x) 拆分为 n 个份额（密钥），分发给 n 个服务器，每个服务器可用其密钥计算 f_{alpha,beta}(x) 的加法份额，同时任意不超过 t 个服务器无法获取函数任何信息。现有完全安全的 1-private ITDPF 存在密钥长度较长的不足。本文基于 Ghasemi、Kopparty 和 Sudan 在 STOC 2025 上提出的私有信息检索（PIR）方案，设计了一种新的份额转换方法，构造了一个完全安全的 1-private ITDPF，输出群为 Z_p（p 为任意素数）。与现有同输出群的完全安全 ITDPF 相比，新方案的密钥长度在渐近意义上更短，效率更高。该成果对安全多方计算、秘密共享、隐私保护等底层密码原语的性能提升具有理论价值。

本文提出无条件安全的信息论认证PIR（itAPIR）构造，形式化定义其安全性，证明itPIR-RV可零开销升级为itAPIR，填补了理论空白。