Multilinear Maps in Cryptography

Multilineare Abbildungen spielen in der modernen Kryptographie eine immer bedeutendere Rolle. In dieser Arbeit wird auf die Konstruktion, Anwendung und Verbesserung von multilinearen Abbildungen eingegangen

Separating Symmetric and Asymmetric Password-Authenticated Key Exchange

Password-Authenticated Key Exchange (PAKE) is a method to establish cryptographic keys between two users sharing a low-entropy password. In its asymmetric version, one of the users acts as a server and only stores some function of the password, e.g., a hash. Upon server compromise, the adversary learns H(pw). Depending on the strength of the password, the attacker now has to invest more or less work to reconstruct pw from H(pw). Intuitively, asymmetric PAKE seems more challenging than symmetric PAKE since the latter is not supposed to protect the password upon compromise. In this paper, we provide three contributions: - Separating symmetric and asymmetric PAKE. We prove that a strong assumption like a programmable random oracle is necessary to achieve security of asymmetric PAKE in the Universal Composability (UC) framework. For symmetric PAKE, programmability is not required. Our results also rule out the existence of UC-secure asymmetric PAKE in the CRS model. - Revising the security definition. We identify and close some gaps in the UC security definition of 2-party asymmetric PAKE given by Gentry, MacKenzie and Ramzan (Crypto 2006). For this, we specify a natural corruption model for server compromise attacks. We further remove an undesirable weakness that lets parties wrongly believe in security of compromised session keys. We demonstrate usefulness by proving that the Omega-method proposed by Gentry et al. satisfies our new security notion for asymmetric PAKE. To our knowledge, this is the first formal security proof of the Omega-method in the literature. - Composable multi-party asymmetric PAKE. We showcase how our revisited security notion for 2-party asymmetric PAKE can be used to obtain asymmetric PAKE protocols in the multi-user setting and discuss important aspects for implementing such a protocol

Lokales Staging beim Rektumkarzinom

Das Rektumkarzinom zählt zu den häufigsten malignen Neoplasien in den Industrieländern und ist gleichsam mit einer hohen Letalität behaftet. In den letzten Jahrzehnten vollzog sich ein Wandel im bis dato etablierten Therapieregime. Fortschritte im Bereich der Chirurgie im Sinne der von Heald eingeführten TME und die präoperative RCT führten zu einer deutlichen Verminderung der hohen Lokalrezidivrate, welche eines der Hauptprobleme des Rektumkarzinoms darstellt. Eine neoadjuvante RCT ist derzeit bei einem T-Stadium ≥ 3 oder einem positiven Nodalstatus indiziert. Die korrekte Definition der Tumorformel durch die komplementären Stagingverfahren Endosonographie und/oder MRT ist essentiell, um eine stadiengerechte Therapie zu gewährleisten und eine Überbehandlung durch Overstaging zu verhindern. Anhand dieser retrospektiven Studie sollte der Stellenwert von MRT und Endosonographie im klinischen Alltag mit Fokus auf Effektivität und Effizienz evaluiert werden. Hierzu wurden sämtliche Patienten mit der Erstdiagnose Rektumkarzinom in den Jahren 2005 bis 2007 und intern vollzogenem lokalen Staging in die Studie eingeschlossen. Bei 127 Patienten im Gesamtkollektiv war die Endosonographie bei fast jedem dritten Patienten technisch nicht durchführbar. Die Abhängigkeit von erfahrenen Untersuchern stellte ein zusätzliches logistisches Problem dar. Beides führte zu Zeitverzögerungen bei der Therapiefindung und -umsetzung. Der Einsatz der MRT zum lokalen Staging wurde bei jedem zweiten Patienten erforderlich. Dabei war die Durchführung der MRT bei drei Personen nicht möglich. Der Vergleich mit der Histopathologie beschränkte sich aufgrund des Studiendesigns auf die dominierenden Tumorstadien T2 und T3, deren genaue Differenzierung in Hinblick auf die therapeutische Konsequenz absolut entscheidend ist. Bei der Detektion eines wandüberschreitenden T3-Prozesses erwiesen sich beide Verfahren als gleichwertig. Die MRT konnte in Ihrem Patientenkollektiv allerdings besser zwischen T2- und T3-Tumoren differenzieren, was dazu beitragen könnte die Overstagingrate zu reduzieren. Die korrekte Einstufung des Nodalstatus blieb unverändert problematisch und bedeutet eine Herausforderung für alle beteiligten Fachdisziplinen. Die MRT stellt im klinischen Alltag scheinbar ein zunehmend unverzichtbares und wertvolles Instrument zum lokalen Staging des Rektumkarzinoms dar. Ihr Einsatz erscheint hier nicht nur wünschenswert, sondern vielmehr notwendig. Sie zeichnet sich durch eine bessere Praktikabilität bei geringer Versagerquote aus. Ihre Stärken liegen nicht in der exakten Zuordnung zum T-Stadium, aber in der zuverlässigen Vorhersage eines wandüberschreitenden (T3-T4) Prozesses. In Zusammenhang mit der häufig vorzufindenden Dominanz von T3-Tumoren und dem Ziel Prozessabläufe zu optimieren, wirft dies die Überlegung auf, die MRT als primäres Stagingverfahren einzusetzen und als eine Art Selektionsmittel für eine erfolgreiche Endosonographie zu nutzen. Entsprechend der therapeutischen Konsequenz würde eine gröbere Zuordnung des T-Stadiums in „wandüberschreitend“ (T3-T4) und „nicht-wandüberschreitend“ (T1-T2) ausreichen. Erst bei Zuordnung in die Kategorie „nicht-wandüberschreitend“ wäre eine Beurteilung des Nodalstatus obligat und ggf. eine zusätzliche Einschätzung durch die Endosonographie erforderlich. Es bleibt abzuwarten welche Rolle zukünftig das lymphotrope KM USPIO und der CRM spielen werden. Der in der MRT gut darstellbare CRM könnte in Hinblick auf eine gezieltere Selektion derjenigen Patienten, die von einer neoadjuvanten RCT profitieren, an Bedeutung gewinnen und die Bestimmung des T-Stadiums in den Hintergrund drängen

Kommunale Infrastrukturbedarfe: Zwischen Doppik, VGR und Befragungsergebnissen

Die Bestimmung kommunaler Investitionsbedarfe ist komplex und vielschichtig. Es steht keine allgemein gültige Methodik zur Verfügung, mit der sich objektiv „richtige“ Ergebnisse erzielen ließen. Eine Annäherung kann durch die Bestimmung von Nettoinvestitionen und die ergänzende Betrachtung von Befragungsergebnissen erfolgen. Fachpublikationen beklagen bereits seit mehr als einem Jahrzehnt einen erheblichen Verschleiß der kommunalen Infrastruktur. Über den genauen Umfang und die räumliche Verteilung des Problems bestehen dagegen unterschiedliche Auffassungen. Nettoinvestitionen in die kommunale Infrastruktur sind eine wichtige Kenngröße und können auf der Grundlage verschiedener Methoden ermittelt werden. Einerseits dienen die Volkswirtschaftlichen Gesamtrechnungen (VGR) und andererseits die kommunale Doppik dazu. Beiden Methoden ist gemeinsam, dass jeweils Bruttoinvestitionen und Abschreibungen saldiert werden. Allerdings führen beide Methoden zu sehr unterschiedlichen Ergebnissen. Die Diskrepanzen werden in der vorliegenden KOMKIS Analyse untersucht. Es wird aufgezeigt, dass sie im Wesentlichen auf die unterschiedliche Ermittlung der Abschreibungen zurückzuführen sind. Diese sind die Art der Abschreibung (linear, degressiv, Leistungsabschreibung), die unterschiedlich angesetzten Nutzungsdauern und Abschreibungssätze sowie die Bewertungsgrundlage für die Vermögensgegenstände (historische Anschaffungskosten oder Wiederbeschaffungskosten). Während die Nettoinvestitionen im Rahmen der VGR bundesweit einheitlich ermittelt werden, findet die Erhebung der jeweiligen Nettoinvestitionen im Rahmen der kommunalen Doppik dezentral in den einzelnen Kommunen gemäß den jeweils landesspezifischen Doppik- Regelungen statt. Die KOMKIS Analyse enthält daher einen Ländervergleich zu den wesentlichen Bestimmungen. Dieser zeigt sehr unterschiedliche Ausgestaltungen und zusätzliche Spielräume auf der Ebene der einzelnen Kommune. Eine vergleichende Bewertung der doppisch ermittelten kommunalen Nettoinvestitionen ist demzufolge nur mit erheblichen Einschränkungen möglich. Zudem steht für doppische Abschreibungen keine einheitliche (amtliche) Datenbasis zur Verfügung. Die VGR-basierte Berechnung ist zwar methodisch einheitlich, die Daten können allerdings nur bundesweit aggregiert ausgewertet werden, weshalb eine Differenzierung nach Ländern oder Gemeindetypen nicht möglich ist. Angesichts der Unvollkommenheiten der Berechnung auf Ist-Daten wird in der Analyse aufgezeigt, dass Kommunalbefragungen eine weitere Möglichkeit darstellen, die Nettoinvestitionen und Investitionsbedarfe der Kommunen näherungsweise zu bestimmen. Alle drei Methoden tragen in ihrer Summe dazu bei, jene Größen näherungsweise zu bestimmen und ein realistisches Gesamtbild zu erhalten

Kommunaler Investitionsbedarf im Freistaat Sachsen: Kommunalbefragung 2018

Die vorliegende Studie des Kompetenzzentrums für kommunale Infrastruktur Sachsen (KOMKIS) untersucht das kommunale Ausgabeverhalten sowie den gegenwärtigen Investitions- und Instandhaltungsbedarf der Kommunen im Freistaat Sachsen. Dazu führt das KOMKIS im regelmäßigen Abstand von zwei Jahren eine flächendeckende Kommunalbefragung in Sachsen durch, in der die Kommunen zu ihrer gegenwärtigen Finanzlage, ihrem wahrgenommenen Investitions- und Instandhaltungsbedarf, sowie ihrem tatsächlichen Investitions- und Ausgabeverhalten in ausgewählten Aufgabenbereichen befragt werden. Die Investitionen der sächsischen Kommunen, welche in der Vergangenheit deutlich über dem Bundesdurchschnitt lagen, sind seit 2013 deutlich darunter gesunken. Diese reichen folglich nicht mehr aus, um die Abnutzung der kommunalen Infrastruktur voll auszugleichen. Aus diesem unzureichenden Investitions- und Ausgabeverhalten resultiert auch in Sachsen ein wachsender Investitionsrückstand. Folglich müssen ausgebliebene, nicht getätigte Investitionen aus der Vergangenheit in der Zukunft nachgeholt werden. Die diesjährige Kommunalbefragung hat ergeben, dass die kommunalen Investitions- und Instandhaltungsbedarfe im Freistaat Sachsen im Zeitverlauf gestiegen sind. Der gesamte kommunale Investitionsbedarf in Sachsen beträgt gegenwärtig 7,73 Mrd. Euro. Hinzu kommt ein kommunaler Instandhaltungsbedarf (laufende Rechnung) in Höhe von 1,63 Mrd. Euro. Die Schwerpunkte der Infrastrukturbedarfe liegen in den Bereichen der Straßen- und Bildungsinfrastruktur sowie im Breitbandausbau. Der Erhalt der vorhandenen Infrastruktur hat hierbei eine wesentlich größere Bedeutung als klassische Neuinvestitionen. Eine Fortsetzung des derzeitigen Ausgabenvolumens für Investitions- und Instandhaltungszwecke wird den ungedeckten Bedarf auch weiterhin steigen lassen. Um dem drohenden Vermögensverzehr entgegen zu wirken, muss die derzeit bestehende Lücke zwischen dem tatsächlichen Ausgabeverhalten der Kommunen und dem kommunalen Gesamtbedarf an Investitionen und Erhaltungsaufwendungen geschlossen werden. Diese Lücke ist trotz eines Zuwachses im Vergleich zur Befragung 2016 noch überschaubar und in den kommenden Jahren mit moderaten zusätzlichen Aufwendungen in den Neubau sowie den Erhalt der kommunalen Infrastruktur zu bewältigen. Eine verstärkte kommunale Investitions- und Instandhaltungstätigkeit kann durch die Landesoder Bundespolitik mithilfe geeigneter Förderprogramme bzw. einer Erweiterung der Förderprogramme sowie einer Verstetigung der Mittelvergabe auf der Zeitachse forciert werden. In diesem Zusammenhang sind ebenso Erhaltungsmaßnahmen besonders zu berücksichtigen

FastZIP: Faster and More Secure Zero-Interaction Pairing

With the advent of the Internet of Things (IoT), establishing a secure channel between smart devices becomes crucial. Recent research proposes zero-interaction pairing (ZIP), which enables pairing without user assistance by utilizing devices' physical context (e.g., ambient audio) to obtain a shared secret key. The state-of-the-art ZIP schemes suffer from three limitations: (1) prolonged pairing time (i.e., minutes or hours), (2) vulnerability to brute-force offline attacks on a shared key, and (3) susceptibility to attacks caused by predictable context (e.g., replay attack) because they rely on limited entropy of physical context to protect a shared key. We address these limitations, proposing FastZIP, a novel ZIP scheme that significantly reduces pairing time while preventing offline and predictable context attacks. In particular, we adapt a recently introduced Fuzzy Password-Authenticated Key Exchange (fPAKE) protocol and utilize sensor fusion, maximizing their advantages. We instantiate FastZIP for intra-car device pairing to demonstrate its feasibility and show how the design of FastZIP can be adapted to other ZIP use cases. We implement FastZIP and evaluate it by driving four cars for a total of 800 km. We achieve up to three times shorter pairing time compared to the state-of-the-art ZIP schemes while assuring robust security with adversarial error rates below 0.5%.Comment: ACM MobiSys '21 - Code and data at: https://github.com/seemoo-lab/fastzi

SoK: Oblivious Pseudorandom Functions

In recent years, oblivious pseudorandom functions (OPRFs) have become a ubiquitous primitive used in cryptographic protocols and privacy-preserving technologies. The growing interest in OPRFs, both theoretical and applied, has produced a vast number of different constructions and functionality variations. In this paper, we provide a systematic overview of how to build and use OPRFs. We first categorize existing OPRFs into essentially four families based on their underlying PRF (Naor-Reingold, Dodis-Yampolskiy, Hashed Diffie-Hellman, and generic constructions). This categorization allows us to give a unified presentation of all oblivious evaluation methods in the literature, and to understand which properties OPRFs can (or cannot) have. We further demonstrate the theoretical and practical power of OPRFs by visualizing them in the landscape of cryptographic primitives, and by providing a comprehensive overview of how OPRFs are leveraged for improving the privacy of internet users. Our work systematizes 15 years of research on OPRFs and provides inspiration for new OPRF constructions and applications thereof

On the (Ir)Replaceability of Global Setups, or How (Not) to Use a Global Ledger

In universally composable (UC) security, a global setup is intended to capture the ideal behavior of a primitive which is accessible by multiple protocols, allowing them to share state. A representative example is the Bitcoin ledger. Indeed, since Bitcoin---and more generally blockchain ledgers---are known to be useful in various scenarios, it has become increasingly popular to capture such ledgers as global setup. Intuitively, one would expect UC to allow us to make security statements about protocols that use such a global setup, e.g., a global ledger, which can then be automatically translated into the setting where the setup is replaced by a protocol implementing it, such as Bitcoin. We show that the above reasoning is flawed and such a generic security-preserving replacement can only work under very (often unrealistic) strong conditions on the global setup and the security statement. For example, the UC security of Bitcoin for realizing a ledger proved by Badertscher et al. [CRYPTO\u2717] is not sufficient per se to allow us to replace the ledger by Bitcoin when used as a global setup. In particular, we cannot expect that all security statements in the global ledger-hybrid world would be preserved when using Bitcoin as a ledger. On the positive side, we provide characterizations of security statements for protocols that make use of global setups, for which the replacement is sound. Our results can be seen as a first guide on how to navigate the very tricky question of what constitutes a ``good\u27\u27 global setup and how to use it in order to keep the modular protocol-design approach intact

Security Analysis of CPace

In response to standardization requests regarding password-authenticated key exchange (PAKE) protocols, the IRTF working group CFRG has setup a PAKE selection process in 2019, which led to the selection of the CPace protocol in the balanced setting, in which parties share a common password. In subsequent standardization efforts, the CPace protocol further developed, yielding a protocol family whose actual security guarantees in practical settings are not well understood. In this paper, we provide a comprehensive security analysis of CPace in the universal composability framework. Our analysis is realistic in the sense that it captures adaptive corruptions and refrains from modeling CPace's Map2Pt function that maps field elements to curve points as an idealized function. In order to extend our proofs to different CPace variants optimized for specific elliptic-curve ecosystems, we employ a new approach which represents the assumptions required by the proof as libraries accessed by a simulator. By allowing for the modular replacement of assumptions used in the proof, this new approach avoids a repeated analysis of unchanged protocol parts and lets us efficiently analyze the security guarantees of all the different CPace variants. As a result of our analysis, all of the investigated practical CPace variants enjoy adaptive UC security