Quantum Algorithms for Some Hidden Shift Problems

Almost all of the most successful quantum algorithms discovered to date exploit the ability of the Fourier transform to recover subgroup structures of functions, especially periodicity. The fact that Fourier transforms can also be used to capture shift structure has received far less attention in the context of quantum computation. In this paper, we present three examples of "unknown shift" problems that can be solved efficiently on a quantum computer using the quantum Fourier transform. For one of these problems, the shifted Legendre symbol problem, we give evidence that the problem is hard to solve classically, by showing a reduction from breaking algebraically homomorphic cryptosystems. We also define the hidden coset problem, which generalizes the hidden shift problem and the hidden subgroup problem. This framework provides a unified way of viewing the ability of the Fourier transform to capture subgroup and shift structure

A new cramer-shoup like methodology for group based provably secure encryption schemes

Proceedings of: TCC 2005: Theory of Cryptography Conference, 10-12 February 2005, Cambridge, MA, USA.A theoretical framework for the design of - in the sense of IND-CCA - provably secure public key cryptosystems taking non-abelian groups as a base is given. Our construction is inspired by Cramer and Shoup's general framework for developing secure encryption schemes from certain language membership problems; thus all our proofs are in the standard model, without any idealization assumptions. The skeleton we present is conceived as a guiding tool towards the construction of secure concrete schemes from finite non-abelian groups (although it is possible to use it also in conjunction with finite abelian groups)

Pairings in Cryptology: efficiency, security and applications

Abstract The study of pairings can be considered in so many di�erent ways that it may not be useless to state in a few words the plan which has been adopted, and the chief objects at which it has aimed. This is not an attempt to write the whole history of the pairings in cryptology, or to detail every discovery, but rather a general presentation motivated by the two main requirements in cryptology; e�ciency and security. Starting from the basic underlying mathematics, pairing maps are con- structed and a major security issue related to the question of the minimal embedding �eld [12]1 is resolved. This is followed by an exposition on how to compute e�ciently the �nal exponentiation occurring in the calculation of a pairing [124]2 and a thorough survey on the security of the discrete log- arithm problem from both theoretical and implementational perspectives. These two crucial cryptologic requirements being ful�lled an identity based encryption scheme taking advantage of pairings [24]3 is introduced. Then, perceiving the need to hash identities to points on a pairing-friendly elliptic curve in the more general context of identity based cryptography, a new technique to efficiently solve this practical issue is exhibited. Unveiling pairings in cryptology involves a good understanding of both mathematical and cryptologic principles. Therefore, although �rst pre- sented from an abstract mathematical viewpoint, pairings are then studied from a more practical perspective, slowly drifting away toward cryptologic applications

Public Key Cryptography based on Semigroup Actions

A generalization of the original Diffie-Hellman key exchange in $(\Z/p\Z)^*$ found a new depth when Miller and Koblitz suggested that such a protocol could be used with the group over an elliptic curve. In this paper, we propose a further vast generalization where abelian semigroups act on finite sets. We define a Diffie-Hellman key exchange in this setting and we illustrate how to build interesting semigroup actions using finite (simple) semirings. The practicality of the proposed extensions rely on the orbit sizes of the semigroup actions and at this point it is an open question how to compute the sizes of these orbits in general and also if there exists a square root attack in general. In Section 2 a concrete practical semigroup action built from simple semirings is presented. It will require further research to analyse this system.Comment: 20 pages. To appear in Advances in Mathematics of Communication

Some applications of noncommutative groups and semigroups to information security

We present evidence why the Burnside groups of exponent 3 could be a good candidate for a platform group for the HKKS semidirect product key exchange protocol. We also explore hashing with matrices over SL2(Fp), and compute bounds on the girth of the Cayley graph of the subgroup of SL2(Fp) for specific generators A, B. We demonstrate that even without optimization, these hashes have comparable performance to hashes in the SHA family

Scalable symmetric block ciphers based on group bases

Neben der Sicherheit und Effizienz werden Skalierbarkeit und Einstellbarkeit als besonders wichtige Eigenschaften einer Blockchiffre betrachtet. Einer der möglichen Ansätze zur Konstruktion von skalierbaren und einstellbaren Blockchiffren basiert auf Gruppenbasen. Dieser Ansatz ist aus mathematischer Sicht sehr direkt und einfach, und die resultierende Chiffren besitzen mehrere wünschenswerten Eigenschaften, wie z.B. eine skalierbare Block- und Schlüssellänge und einen extrem großen Schlüsselraum. In dieser Arbeit werden einige bisher unbeantwortete Fragen bezüglich Sicherheit, Effizienz und Implementierungstauglichkeit dieser Kryptosysteme - insbesondere des neuesten Repräsentanten TST - untersucht und zwei neue verbesserte Chiffren-Designs präsentiert. Im ersten Teil der Arbeit wird das Kryptosystem TST analysiert. Dabei werden zwei möglichen Permutationsdarstellungen verglichen, eine effiziente Implementierung der Schlüsselgenerierung diskutiert, und die wichtigsten Charakteristiken wie Durchsatz, Speicherbedarf und Initialisierungsverzögerung gemessen. Außerdem wird eine Sicherheitsanalyse durchgeführt, bei der die statistischen Eigenschaften des Kryptosystems untersucht werden und ein kryptographischer Angriff konstruiert wird. Die Ergebnisse dieser Analyse zeigen, dass die Effizienz und Sicherheit von TST nicht zufriedenstellend sind. Eine mögliche Lösung dieser bei TST auftretenden Probleme wird in dem zweiten Teil der Arbeit präsentiert. Mit Hilfe erweiterter Gruppenbasen kann die Diffusion von TST deutlich verbessert werden, was durch statistische Tests belegt wird. Aufgrund den besseren Diffusionseigenschaften kann auch eine einfachere Trägergruppe eingesetzt werden, mit der der Speicherbedarf reduziert und der Durchsatz erhöht werden kann. In dem letzten Teil der Arbeit wird eine iterative Version von TST vorgestellt. Der elementare Baustein dieses Designs entspricht einem Faktorisierungsschritt in einer Gruppenbasis, statt einer echten Faktorisierung wird jedoch eine konstante Funktion mehrmals iterativ angewandt. Die wesentlichen Vorteile dieses Ansatzes gegenüber TST sind ein deutlich reduzierter Speicherbedarf, erhöhter Durchsatz und verbesserte Flexibilität. Die Block- und Schlüssellänge sind, genau wie bei TST, frei wählbar. Zusätzlich ermöglicht das neue Kryptosystem eine freie Einstellung der Sicherheit, der Geschwindigkeit und des Speicherbedarfs. Mit der entsprechenden Anzahl von Runden bietet die neue Chiffre eine hervorragende Sicherheit, was sowohl unsere Kryptanalyse, als auch die statistischen Tests bestätigt haben

Group Factorizations and Cryptology

Asymmetric cryptosystems, also called public-key systems, can for instance be used for encrypting data, authentication and integrity checking of data. Such systems can be found in numerous protocols, e.g. in the areas World Wide Web (HTTPS based on SSL/TLS), e-mail (S/MIME, OpenPGP/PGP), remote command execution (SSH), file transfer (SCP), and many more. One-way functions are functions that can be computed efficiently, but are hard to invert. One-way functions that can be inverted efficiently with an additional information (the private key) are called trap-door functions. Asymmetric cryptosystems are based on trap-door functions. Most of the currently used asymmetric systems, especially RSA and ElGamal, are based on such functions in commutative algebraic structures. Whether commutative structures are a security issue due to their properties is unknown up to now. In any case the development and analysis of systems that are based on non-commutative structures is reasonable. A cryptosystem called MST1, which has been introduced by S. S. Magliveras, D. R. Stinson and T. van Trung, is based on so-called logarithmic signatures of arbitrary (also including non-commutative, i.e. non-abelian) finite groups. For a finite group G an ordered set L of subsets of G is being regarded, where each element of G has a unique representation as product of one element from each subset in L. L is then called a logarithmic signature. An interesting question now is whether there exist logarithmic signatures where it is hard to find a factorization as product in L for a given group element. If yes, this would be a one-way function: products of group elements (with factors from L) can be computed efficiently, but the inversion, i.e. finding a factorization as product in L, would be hard. In this dissertation the realizability and security of MST1 is analyzed for various groups and logarithmic signature types. The first part of the dissertation deals with the generation of logarithmic signatures. The ability to efficiently generate logarithmic signatures is a requirement for a concrete realization of the MST1 cryptosystem. We first investigate transformations of logarithmic signatures (their effect on factorization mappings, subclasses of transformations, compositions of transformations, etc.). Based on this, we develop an algorithm for generating logarithmic signatures. This algorithm also works with non-abelian groups, and for abelian groups the set of generated logarithmic signatures is typically a proper superset of the logarithmic signatures generated by the methods usually used in literature. Subsequently, we regard the factorization problem with respect to logarithmic signatures for various groups. For abelian groups we develop factorization algorithms that are efficient for specific classes of logarithmic signatures. Furthermore, we develop a generic factorization algorithm, which not only works with logarithmic signatures but all block sequences (and the run-time depends on the structure of the input), and for which the efficiency can be shown for some large classes of logarithmic signatures. Moreover, we analyze logarithmic signatures of dihedral groups, and present efficient factorization algorithms for specific types of logarithmic signatures. These results are generalized and extended: we analyze the generalized quaternion group and wreath products. In the previous investigations we used a specific representation of the group. In another part of the dissertation we analyze in which cases one can give an efficient algorithm for converting elements of an arbitrarily represented group (black box group) with known structure to the representation used in the previous chapters. Finally, we present our program, in which a cryptosystem (based on a generalized MST1) and the various generation and factorization algorithms developed in this work have been implemented.Asymmetrische Kryptosysteme, auch Public-Key-Systeme genannt, können u.a. zur Verschlüsselung von Daten, Authentifizierung und Sicherstellung der Integrität von Daten eingesetzt werden. Solche Systeme sind in zahlreichen Protokollen zu finden, z.B. in den Bereichen World Wide Web (HTTPS basierend auf SSL/TLS), E-Mail (S/MIME, OpenPGP/PGP), entfernte Befehlsausführung (SSH), Dateitransfer (SCP), und vielen weiteren. Einwegfunktionen sind Funktionen, die sich effizient berechnen lassen, aber sehr schwierig zu invertieren sind. Einwegfunktionen, die sich mit einer Zusatzinformation (dem privaten Schlüssel) doch effizient invertieren lassen, werden Falltürfunktionen genannt. Asymmetrische Kryptosysteme basieren auf Falltürfunktionen. Die meisten der heute verwendeten asymmetrischen Verfahren, insbesondere RSA und ElGamal, basieren auf solchen Funktionen in kommutativen algebraischen Strukturen. Ob kommutative Strukturen aufgrund deren Eigenschaften ein Sicherheitsproblem darstellen könnten, lässt sich derzeit nicht sagen. Auf jeden Fall ist die Entwicklung und Untersuchung von Verfahren, die auf nicht-kommutativen Strukturen beruhen, sinnvoll. Ein Kryptosystem namens MST1, das von S. S. Magliveras, D. R. Stinson und T. van Trung vorgestellt wurde, basiert auf sogenannten logarithmischen Signaturen von beliebigen (also auch nicht-kommutativen, d.h. nicht-abelschen) endlichen Gruppen. Für eine endliche Gruppe G wird eine geordnete Menge L von Teilmengen von G betrachtet, wobei jedes Element von G eine eindeutige Darstellung als Produkt von jeweils einem Element aus den Teilmengen in L haben soll. L wird dann eine logarithmische Signatur genannt. Interessant ist nun die Frage, ob es logarithmische Signaturen gibt, für die es schwierig ist, für ein gegebenes Gruppenelement eine solche Faktorisierung als Produkt in L zu finden. Falls ja, dann wäre dies eine Einwegfunktion: Produkte von Gruppenelementen (mit Faktoren aus L) können effizient berechnet werden, aber die Invertierung, d.h. das Finden einer Faktorisierung als Produkt in L, wäre schwierig. In dieser Dissertation wird für verschiedene Gruppen und Typen logarithmischer Signaturen die Realisierbarkeit und Sicherheit von MST1 untersucht. Der erste Teil der Dissertation befasst sich mit der Erzeugung von logarithmischen Signaturen. Logarithmische Signaturen effizient erzeugen zu können ist eine Voraussetzung für eine konkrete Realisierung des MST1-Kryptosystems. Wir untersuchen zunächst Transformationen logarithmischer Signaturen (deren Effekt auf Faktorisierungsabbildungen, Unterklassen von Transformationen, Hintereinanderausführungen von Transformationen, usw.). Basierend darauf entwickeln wir einen Algorithmus zur Erzeugung logarithmischer Signaturen. Dieser funktioniert auch mit nicht-abelschen Gruppen, und bei abelschen Gruppen werden in der Regel mehr logarithmische Signaturen erzeugt als bei den üblicherweise in der Literatur verwendeten Verfahren. Danach betrachten wir das Faktorisierungsproblem bzgl. logarithmischer Signaturen für verschiedene Gruppen. Für abelsche Gruppen entwickeln wir Faktorisierungsalgorithmen, die bei bestimmten Klassen von logarithmischen Signaturen effizient sind. Außerdem entwickeln wir einen generischen Faktorisierungsalgorithmus, der nicht nur mit logarithmischen Signaturen sondern mit allen Blocksequenzen funktioniert (wobei die Laufzeit von der Struktur der Eingabe abhängig ist), und bei dem für einige große Klassen logarithmischer Signaturen die Effizienz gezeigt werden kann. Des Weiteren untersuchen wir logarithmische Signaturen von Diedergruppen, und geben effiziente Faktorisierungsalgorithmen für bestimmte Typen logarithmischer Signaturen an. Diese Ergebnisse werden verallgemeinert und ausgebaut; wir untersuchen u.a. die verallgemeinerte Quaternionengruppe und Kranzprodukte. Bei den vorherigen Untersuchungen wurde jeweils eine bestimmte Darstellung der Gruppe verwendet. In einem weiteren Teil der Dissertation analysieren wir, in welchen Fällen sich für eine beliebig gegebene Gruppe (Black-Box-Gruppe) mit bekannter Struktur ein effizienter Algorithmus zur Konvertierung von Gruppenelementen in die Darstellung, die in den vorherigen Kapiteln verwendet wurde, angeben lässt. Abschließend stellen wir unser Programm vor, in dem ein Kryptosystem (basierend auf einem verallgemeinerten MST1) und die verschiedenen in dieser Arbeit entwickelten Erzeugungs- und Faktorisierungsalgorithmen implementiert wurden

Learning with Errors in the Exponent

We initiate the study of a novel class of group-theoretic intractability problems. Inspired by the theory of learning in presence of errors [Regev, STOC\u2705] we ask if noise in the exponent amplifies intractability. We put forth the notion of Learning with Errors in the Exponent (LWEE) and rather surprisingly show that various attractive properties known to exclusively hold for lattices carry over. Most notably are worst-case hardness and post-quantum resistance. In fact, LWEE\u27s duality is due to the reducibility to two seemingly unrelated assumptions: learning with errors and the representation problem [Brands, Crypto\u2793] in finite groups. For suitable parameter choices LWEE superposes properties from each individual intractability problem. The argument holds in the classical and quantum model of computation. We give the very first construction of a semantically secure public-key encryption system in the standard model. The heart of our construction is an ``error recovery\u27\u27 technique inspired by [Joye-Libert, Eurocrypt\u2713] to handle critical propagations of noise terms in the exponent