Zeromorph: Zero-Knowledge Multilinear-Evaluation Proofs from Homomorphic Univariate Commitments

A multilinear polynomial is a multivariate polynomial that is linear in each variable. This paper presents a scheme to commit to multilinear polynomials and to later prove evaluations of committed polynomials. The construction of the scheme is generic and relies on additively homomorphic schemes to commit to univariate polynomials. As the construction requires to check that several committed univariate polynomials do not exceed given, separate bounds, the paper also gives a method to batch executions of any degree-check protocol on homomorphic commitments. For a multilinear polynomial in n ≥ 2 variables, the instantiation of the scheme with a hiding version of KZG commitments (Kate, Zaverucha and Goldberg at Asiacrypt 2010) gives a pairing-based scheme with evaluations proofs in which the prover sends n + 3 first-group elements, performs at most 5 · 2n−1 + 1 first-group scalar multiplication and uses only n+2 random field elements to achieve the zero-knowledge property. Verification requires at most 2n + 2 first-group scalar multiplications, two second-group scalar multiplications and three pairing computations

Attribute-based Single Sign-On: Secure, Private, and Efficient

A Single Sign-On (SSO) system allows users to access different remote services while authenticating only once. SSO can greatly improve the usability and security of online activities by dispensing with the need to securely remember or store tens or hundreds of authentication secrets. On the downside, today\u27s SSO providers can track users\u27 online behavior, and collect personal data that service providers want to see asserted before letting a user access their resources. In this work, we propose a new policy-based Single Sign-On service, i.e., a system that produces access tokens that are conditioned on the user\u27s attributes fulfilling a specified policy. Our solution is based on multi-party computation and threshold cryptography, and generates access tokens of standardized format. The central idea is to distribute the role of the SSO provider among several entities, in order to shield user attributes and access patterns from each individual entity. We provide a formal security model and analysis in the Universal Composability framework, against proactive adversaries. Our implementation and benchmarking show the practicality of our system for many real-world use cases

Zone Encryption with Anonymous Authentication for V2V Communication

Vehicle-to-vehicle (V2V) communication systems are currently being prepared for real-world deployment, but they face strong opposition over privacy concerns. Position beacon messages are the main culprit, being broadcast in cleartext and pseudonymously signed up to 10 times per second. So far, no practical solutions have been proposed to en- crypt or anonymously authenticate V2V messages. We propose two cryptographic innovations that enhance the privacy of V2V communication. As a core contribution, we introduce zone-encryption schemes, where vehicles generate and authentically distribute encryption keys associated to static geographic zones close to their location. Zone encryption provides security against eavesdropping, and, combined with a suitable anonymous authentication scheme, ensures that messages can only be sent by genuine vehicles, while adding only 224 Bytes of cryptographic overhead to each message. Our second contribution is an authentication mechanism fine-tuned to the needs of V2V which allows vehicles to authentically distribute keys, and is called dynamic group signatures with attributes. Our instantiation features unlimited locally generated pseudonyms, negligible credential download-and-storage costs, identity recovery by a trusted authority, and compact signatures of 216 Bytes at a 128-bit security level

Protocoles cryptographiques pour la protection de la vie privée

Ce manuscrit propose des nouveaux protocoles cryptographiques qui sont respectueux de la vie privée des utilisateurs et qui ont des applications dans la vie réelle. Dans une première partie, l’accent est mis sur les signatures de groupe, une primitive cryptographique qui permet aux membres d’un groupe d’utilisateurs de signer anonymement au nom du groupe, et sur la confidentialité des messages. Pour éviter de faire confiance à des autorités uniques, les signatures de groupe sont ici définies avec plusieurs autorités et permettent l’émission à seuil de titres de créance ainsi que l’ouverture à seuil. Ces signatures de groupe sont alors utilisées comme mécanisme d’authentification pour la communication entre véhicules, et, combinées au chiffrement par zone, une nouvelle primitive permettant aux véhicules de chiffrer éfficacement leur communication, elles assurent de fortes garanties de sécurité bien définies pour les systèmes de transport coopératifs et intelligents. Par la suite, le chiffrement à clef publique est étudié dans un contexte plus général dans lequel les utilisateurs n’ont pas accès à un support de stockage sécurisé pour leurs clefs secrètes, mais peuvent tirer parti de mots de passe et de l’interaction avec des serveurs pour obtenir des garanties de sécurité comparables tout en préservant leurs vies privées. Dans une deuxième partie, nous étudions des primitives cryptographiques à portée générale qui ont des applications à la protection de la vie privée. Dans un premier temps, nous étudions les arguments à divulgation nulle, un type de schémas cryptographiques qui permettent à un prouveur avec une puissance de calcul limitée de convaincre un vérifieur d’une assertion sans révéler aucune information supplémentaire. Plus précisement, nous étudions des arguments de satisfiabilité d’équations diophantiennes qui ont une complexité de communication et une complexité de tour logarithmiques, ainsi que leurs applications à la cryptographie qui vise à protéger la vie privée. Ensuite, nous considérons la question de prouver que l’algorithme d’un utilisateur a correctement choisi et utilisé une graine réellement aléatoire pour générer les clefs de l’utilisateur, un problème d’une importance capitale pour la sécurité de tout système cryptographique à clef publique.This manuscript proposes new cryptographic protocols that are respectful of users’ privacy and which have real-world applications. In a first part, the focus is on group signatures, a primitive which allows members of a user group to anonymously sign on behalf of the group, and on message confidentiality. To remove the trust on single authorities, group signatures are here defined in a setting with multiple authorities and support both threshold issuance and threshold opening. These group signatures are then used as authentication mechanism for vehicle-to-vehicle communication, and combined with zone encryption, a new primitive whereby vehicles can efficiently encrypt their communication, they provide strong, well-defined privacy guarantees for cooperative intelligent transport systems. Thereafter, public-key encryption is studied in a more general context in which users do not have access to secure storage to protect their secret keys, but can leverage passwords and interaction with servers to obtain comparable security guarantees without renouncing their privacy. In a second part, the topic of study are general-purpose cryptographic primitives which have privacy-preserving applications. First come zero-knowledge arguments, a type of cryptographic schemes which enable a computationally bounded prover to convince a verifier of a statement without disclosing any information beyond that. More specifically, we study arguments to prove the satisfiability of Diophantine equations which have logarithmic communication and round complexity, as well as their applications to privacy-preserving cryptography. Then, we tackle the problem of proving that a user algorithm selected and correctly used a truly random seed in the generation of her cryptographic key, a problem of fundamental importance to the security of any public-key cryptographic scheme

Protocoles cryptographiques pour la protection de la vie privée

This manuscript proposes new cryptographic protocols that are respectful of users’ privacy and which have real-world applications. In a first part, the focus is on group signatures, a primitive which allows members of a user group to anonymously sign on behalf of the group, and on message confidentiality. To remove the trust on single authorities, group signatures are here defined in a setting with multiple authorities and support both threshold issuance and threshold opening. These group signatures are then used as authentication mechanism for vehicle-to-vehicle communication, and combined with zone encryption, a new primitive whereby vehicles can efficiently encrypt their communication, they provide strong, well-defined privacy guarantees for cooperative intelligent transport systems. Thereafter, public-key encryption is studied in a more general context in which users do not have access to secure storage to protect their secret keys, but can leverage passwords and interaction with servers to obtain comparable security guarantees without renouncing their privacy. In a second part, the topic of study are general-purpose cryptographic primitives which have privacy-preserving applications. First come zero-knowledge arguments, a type of cryptographic schemes which enable a computationally bounded prover to convince a verifier of a statement without disclosing any information beyond that. More specifically, we study arguments to prove the satisfiability of Diophantine equations which have logarithmic communication and round complexity, as well as their applications to privacy-preserving cryptography. Then, we tackle the problem of proving that a user algorithm selected and correctly used a truly random seed in the generation of her cryptographic key, a problem of fundamental importance to the security of any public-key cryptographic scheme.Ce manuscrit propose des nouveaux protocoles cryptographiques qui sont respectueux de la vie privée des utilisateurs et qui ont des applications dans la vie réelle. Dans une première partie, l’accent est mis sur les signatures de groupe, une primitive cryptographique qui permet aux membres d’un groupe d’utilisateurs de signer anonymement au nom du groupe, et sur la confidentialité des messages. Pour éviter de faire confiance à des autorités uniques, les signatures de groupe sont ici définies avec plusieurs autorités et permettent l’émission à seuil de titres de créance ainsi que l’ouverture à seuil. Ces signatures de groupe sont alors utilisées comme mécanisme d’authentification pour la communication entre véhicules, et, combinées au chiffrement par zone, une nouvelle primitive permettant aux véhicules de chiffrer éfficacement leur communication, elles assurent de fortes garanties de sécurité bien définies pour les systèmes de transport coopératifs et intelligents. Par la suite, le chiffrement à clef publique est étudié dans un contexte plus général dans lequel les utilisateurs n’ont pas accès à un support de stockage sécurisé pour leurs clefs secrètes, mais peuvent tirer parti de mots de passe et de l’interaction avec des serveurs pour obtenir des garanties de sécurité comparables tout en préservant leurs vies privées. Dans une deuxième partie, nous étudions des primitives cryptographiques à portée générale qui ont des applications à la protection de la vie privée. Dans un premier temps, nous étudions les arguments à divulgation nulle, un type de schémas cryptographiques qui permettent à un prouveur avec une puissance de calcul limitée de convaincre un vérifieur d’une assertion sans révéler aucune information supplémentaire. Plus précisement, nous étudions des arguments de satisfiabilité d’équations diophantiennes qui ont une complexité de communication et une complexité de tour logarithmiques, ainsi que leurs applications à la cryptographie qui vise à protéger la vie privée. Ensuite, nous considérons la question de prouver que l’algorithme d’un utilisateur a correctement choisi et utilisé une graine réellement aléatoire pour générer les clefs de l’utilisateur, un problème d’une importance capitale pour la sécurité de tout système cryptographique à clef publique

Protocoles cryptographiques pour la protection de la vie privée

This manuscript proposes new cryptographic protocols that are respectful of users’ privacy and which have real-world applications. In a first part, the focus is on group signatures, a primitive which allows members of a user group to anonymously sign on behalf of the group, and on message confidentiality. To remove the trust on single authorities, group signatures are here defined in a setting with multiple authorities and support both threshold issuance and threshold opening. These group signatures are then used as authentication mechanism for vehicle-to-vehicle communication, and combined with zone encryption, a new primitive whereby vehicles can efficiently encrypt their communication, they provide strong, well-defined privacy guarantees for cooperative intelligent transport systems. Thereafter, public-key encryption is studied in a more general context in which users do not have access to secure storage to protect their secret keys, but can leverage passwords and interaction with servers to obtain comparable security guarantees without renouncing their privacy. In a second part, the topic of study are general-purpose cryptographic primitives which have privacy-preserving applications. First come zero-knowledge arguments, a type of cryptographic schemes which enable a computationally bounded prover to convince a verifier of a statement without disclosing any information beyond that. More specifically, we study arguments to prove the satisfiability of Diophantine equations which have logarithmic communication and round complexity, as well as their applications to privacy-preserving cryptography. Then, we tackle the problem of proving that a user algorithm selected and correctly used a truly random seed in the generation of her cryptographic key, a problem of fundamental importance to the security of any public-key cryptographic scheme.Ce manuscrit propose des nouveaux protocoles cryptographiques qui sont respectueux de la vie privée des utilisateurs et qui ont des applications dans la vie réelle. Dans une première partie, l’accent est mis sur les signatures de groupe, une primitive cryptographique qui permet aux membres d’un groupe d’utilisateurs de signer anonymement au nom du groupe, et sur la confidentialité des messages. Pour éviter de faire confiance à des autorités uniques, les signatures de groupe sont ici définies avec plusieurs autorités et permettent l’émission à seuil de titres de créance ainsi que l’ouverture à seuil. Ces signatures de groupe sont alors utilisées comme mécanisme d’authentification pour la communication entre véhicules, et, combinées au chiffrement par zone, une nouvelle primitive permettant aux véhicules de chiffrer éfficacement leur communication, elles assurent de fortes garanties de sécurité bien définies pour les systèmes de transport coopératifs et intelligents. Par la suite, le chiffrement à clef publique est étudié dans un contexte plus général dans lequel les utilisateurs n’ont pas accès à un support de stockage sécurisé pour leurs clefs secrètes, mais peuvent tirer parti de mots de passe et de l’interaction avec des serveurs pour obtenir des garanties de sécurité comparables tout en préservant leurs vies privées. Dans une deuxième partie, nous étudions des primitives cryptographiques à portée générale qui ont des applications à la protection de la vie privée. Dans un premier temps, nous étudions les arguments à divulgation nulle, un type de schémas cryptographiques qui permettent à un prouveur avec une puissance de calcul limitée de convaincre un vérifieur d’une assertion sans révéler aucune information supplémentaire. Plus précisement, nous étudions des arguments de satisfiabilité d’équations diophantiennes qui ont une complexité de communication et une complexité de tour logarithmiques, ainsi que leurs applications à la cryptographie qui vise à protéger la vie privée. Ensuite, nous considérons la question de prouver que l’algorithme d’un utilisateur a correctement choisi et utilisé une graine réellement aléatoire pour générer les clefs de l’utilisateur, un problème d’une importance capitale pour la sécurité de tout système cryptographique à clef publique

Succinct Diophantine-Satisfiability Arguments

International audienceA Diophantine equation is a multi-variate polynomial equation with integer coefficients, and it is satisfiable if it has a solution with all unknowns taking integer values. Davis, Putnam, Robinson and Matiyasevich showed that the general Diophantine satisfiability problem is undecidable (giving a negative answer to Hilbert’s tenth problem) but it is nevertheless possible to argue in zero-knowledge the knowledge of a solution, if a solution is known to a prover. We provide the first succinct honest-verifier zero-knowledge argument for the satisfiability of Diophantine equations with a communication complexity and a round complexity that grows logarithmically in the size of the polynomial equation. The security of our argument relies on standard assumptions on hidden-order groups. As the argument requires to commit to integers, we introduce a new integer-commitment scheme that has much smaller parameters than Damgard and Fujisaki’s scheme. We finally show how to succinctly argue knowledge of solutions to several NP-complete problems and cryptographic problems by encoding them as Diophantine equations

KEMTLS with Delayed Forward Identity Protection in (Almost) a Single Round Trip

ISSN:0302-9743ISSN:1611-334

Hardware security without secure hardware: How to decrypt with a password and a server

ISSN:0304-397

Hardware security without secure hardware: How to decrypt with a password and a server

International audienceHardware security tokens have now been used for several decades to store cryptographic keys. When deployed, the security of the corresponding schemes fundamentally relies on the tamper-resistance of the tokens – a very strong assumption in practice. Moreover, even secure tokens, which are expensive and cumbersome, can often be subverted.We introduce a new cryptographic primitive called Encryption schemes with Password-protected Assisted Decryption (EPAD schemes), in which a user's decryption key is shared between a user device (or token) on which no assumption is made, and an online server. The user shares a human-memorizable password with the server. To decrypt a ciphertext, the user launches, from a public computer, a distributed protocol with the device and the server, authenticating herself to the server with her password (unknown to the device); in such a way that her secret key is never reconstructed during the interaction. We propose a strong security model which guarantees that (1) for an efficient adversary to infer any information about a user's plaintexts, it must know her password and have corrupted her device (secrecy is guaranteed if only one of the two conditions is fulfilled), (2) the device and the server are unable to infer any information about the ciphertexts they help to decrypt (even though they could together reconstruct the secret key), and (3) the user is able to verify that the device and the server both performed the expected computations. These EPAD schemes are in the password-only model, meaning that the user is not required to remember a trusted public key, and her password remains safe even if she is led to interact with a wrong server and a malicious device.We then give a practical pairing-based EPAD scheme. Our construction is provably secure under standard computational assumptions, using non-interactive proof systems which can be efficiently instantiated in the standard security model, i.e., without relying on the random oracle heuristic