9 cispa paper auf der crypto 2025

In dieser Arbeit führen die Forschenden ein neues kryptografisches Konzept namens „pseudorandom obfuscation“ (PRO, auf Deutsch etwa: „pseudorandomisierte Verschleierung“) ein. Ziel von Obfuskation ist es, ein Computerprogramm schwer verständlich zu machen, ohne dabei seine Funktionalität zu verändern – eine Idee mit vielen Anwendungsfeldern in Sicherheit und Datenschutz. Traditionelle Ansätze wie „indistinguishability obfuscation“ (iO, „Ununterscheidbarkeits-Obfuskation“) sind zwar sehr leistungsfähig, lassen sich jedoch bislang nur schwer sicher konstruieren, insbesondere im Hinblick auf künftige Quantencomputer.

PRO konzentriert sich darauf, nur eine bestimmte Art von Programmen zu verschleiern: solche, die sich wie pseudorandom functions (PRFs, „pseudorandomisierte Funktionen“) verhalten. Diese sehen für eine beobachtende Person aus, als würden sie rein zufällig reagieren, folgen aber in Wirklichkeit einer verborgenen Logik. Die Autor*innen entwickeln mehrere Varianten von PRO – von schwächeren bis zu stärkeren Definitionen – und untersuchen deren praktische Konsequenzen.

Eine der zentralen Erkenntnisse ist, dass bereits die schwächste Form von PRO, das sogenannte iPRO, genutzt werden kann, um mehrere fortgeschrittene kryptografische Werkzeuge zu bauen. Dazu zählen vollständig homomorphe Verschlüsselung (ein Verfahren, das Berechnungen auf verschlüsselten Daten erlaubt), „succinct randomized encodings“ (kompakte Verfahren zur sicheren Kodierung von Berechnungen) und bestimmte Formen der „witness encryption“ (bei der Informationen nur offengelegt werden, wenn ein Geheimnis bekannt ist). Insbesondere zeigen die Forschenden, wie iPRO als Zwischenschritt zum Bau von iO dienen kann – und so möglicherweise einen neuen Weg in dieser langjährigen Forschungsrichtung eröffnet.

Für die stärkeren PRO-Varianten präsentieren die Forschenden einen möglichen Konstruktionsansatz, der auf Annahmen aus der gitterbasierten Kryptografie beruht – einem Gebiet, das als resistent gegen Quantenangriffe gilt. Allerdings zeigen sie auch, dass es in manchen Szenarien unmöglich ist, diese stärkeren Versionen von PRO universell zu realisieren – und machen damit die konzeptionellen Grenzen dieses Ansatzes deutlich.

Aus gesellschaftlicher Sicht trägt diese Forschung zum übergeordneten Ziel bei, sichere kryptografische Werkzeuge zu entwickeln, die praxistauglich und möglicherweise quantenresistent sind. Auch wenn PRO eine eingeschränktere Form der Obfuskation darstellt, bietet es einen einfacheren und zugänglicheren Weg zu bestimmten Anwendungen – und erweitert damit das Repertoire an Werkzeugen zum Schutz von Daten und Berechnungen in einer digitalen Welt.

Die Forschenden präsentieren ein neues, einfaches Gegenbeispiel, das alle bekannten Formen der sogenannten private-coin evasive Learning With Errors-(LWE)-Annahme infrage stellt – einer grundlegenden Idee, die beim Bau fortgeschrittener kryptografischer Werkzeuge verwendet wird. Diese Annahme diente bislang als Grundlage für die Sicherheit von Konstruktionen wie witness encryption und kompakten Beweissystemen, die in der modernen Kryptografie wichtig sind, um Daten zu schützen und Berechnungen zu verifizieren.

Die evasive LWE-Annahme baut auf dem etablierten LWE-Problem auf, das als selbst für Quantencomputer schwer lösbar gilt. Evasive LWE führt jedoch eine zusätzliche Komplexitätsebene ein: Es wird angenommen, dass, wenn bestimmte mathematische Muster (sogenannte Vorbedingungen) ununterscheidbar sind, auch damit verbundene Muster (Nachbedingungen) ununterscheidbar bleiben. Diese Annahme ist insbesondere in Szenarien relevant, in denen die interne Zufälligkeit zur Datenerzeugung geheim bleibt – das sogenannte private-coin-Setting.

Die Forschenden entwickeln nun ein neues und allgemeines Gegenbeispiel, das ohne komplexe kryptografische Mechanismen wie Obfuskation auskommt. Ihr Ansatz legt eine Schwachstelle in der Logik hinter evasive LWE offen: Sie zeigen, dass selbst dann, wenn die Vorbedingung sicher erscheint (d. h. ununterscheidbar von Zufall), die Nachbedingung dennoch gebrochen werden kann. Damit wird die zentrale Intuition – bekannt als pseudo-drowning heuristic – in Frage gestellt, wonach zusätzliches Rauschen verborgene Strukturen verschleiern sollte. Ihr Gegenbeispiel beruht allein auf einfachen mathematischen Techniken und lässt sich allgemein auf alle bekannten Varianten von private-coin evasive LWE anwenden, die bislang unter natürlichen Annahmen als sicher galten.

Auch wenn diese Ergebnisse keine bestehenden kryptografischen Konstruktionen brechen, die auf evasive LWE basieren, stellen sie doch die Tragfähigkeit der zugrunde liegenden Annahme in Frage. Aus gesellschaftlicher Sicht trägt diese Arbeit zu einem vorsichtigeren und realistischeren Verständnis kryptografischer Grundlagen bei. Sie betont die Notwendigkeit, Sicherheitsannahmen mit Bedacht zu formulieren, und unterstützt die Ausrichtung zukünftiger Forschung auf sicherere und verlässlichere kryptografische Systeme.

Die Forschenden stellen eine neue kryptografische Methode namens T-Spoon vor, die Mehrparteien-Signaturschemata (Multi-Signature Schemes) verbessert – ein Verfahren, bei dem mehrere Parteien gemeinsam dieselbe Nachricht signieren können. Solche Verfahren sind besonders wichtig in Systemen, in denen kollektive Zustimmung und Sicherheit erforderlich sind, etwa in Kryptowährungen oder sicheren Kommunikationsprotokollen.

Bisher standen Forschende vor einer zentralen Herausforderung: Existierende Zwei-Runden-Mehrparteien-Signaturschemata boten entweder starke Sicherheit (bekannt als tight security) oder erlaubten Key Aggregation – also die Möglichkeit, mehrere öffentliche Schlüssel zu einem einzigen zusammenzufassen, was die Verifikation effizienter macht. Beide Eigenschaften gleichzeitig zu erreichen, war jedoch in pairing-freien kryptografischen Systemen, die wegen ihrer Einfachheit und Effizienz häufig eingesetzt werden, bislang nicht möglich.

T-Spoon löst dieses Problem. Es ist die erste Methode, die sowohl tight security als auch key aggregation in einem Zwei-Runden-Protokoll ohne Pairings ermöglicht. Bemerkenswert ist, dass dies gelingt, ohne die Größe der digitalen Signaturen oder die Systemkomplexität wesentlich zu erhöhen. Die Forschenden führen hierfür einen neuartigen technischen Ansatz ein, den sie Signer Partitioning nennen. Er ermöglicht es, dass das Verfahren auch dann sicher funktioniert, wenn die Unterzeichner unterschiedliche Parameter verwenden.

T-Spoon basiert auf gut verstandenen kryptografischen Annahmen, insbesondere der Decisional Diffie-Hellman-(DDH)-Annahme, und verzichtet auf weniger praxisnahe idealisierte Modelle. Im Vergleich zu früheren Ansätzen bietet es höhere Effizienz, praxisnähere Sicherheitsgarantien und eine einfachere Integration in reale Systeme.

Aus gesellschaftlicher Perspektive trägt T-Spoon dazu bei, digitale Systeme sicherer und effizienter zu machen. Es unterstützt eine bessere Skalierbarkeit und Verifizierbarkeit in Mehrparteien-Szenarien – ein Aspekt, der mit der zunehmenden digitalen Zusammenarbeit immer wichtiger wird. Auch wenn die Technik für Endnutzer unsichtbar bleibt, stärkt sie die grundlegenden Werkzeuge, auf denen Vertrauen in digitale Kommunikation, Wahlsysteme und dezentrale Finanzanwendungen beruht.

In dieser Arbeit widmen sich die Forschenden einer langjährigen Herausforderung im Bereich verteilter Systeme: der Frage, wie mehrere Parteien gleichzeitig und sicher Nachrichten aneinander übermitteln können – selbst dann, wenn sich ein Teil der Beteiligten unehrlich verhält. Diese Aufgabe, bekannt als Parallel Byzantine Broadcast, ist zentral für viele Anwendungen, darunter sichere Mehrparteienberechnungen (Secure Multi-Party Computation) und fehlertolerante Datenbanken.

Bisherige Ansätze erforderten entweder eine vertrauenswürdige Instanz für die Einrichtung oder stützten sich auf komplexe kryptografische Werkzeuge. Die Autorinnen und Autoren schlagen ein neues Protokoll vor, das beides vermeidet. Ihre Lösung arbeitet im sogenannten Plain Public Key Model – sie benötigt also nur grundlegende kryptografische Werkzeuge wie digitale Signaturen und Public-Key-Verschlüsselung, ohne spezielle Initialisierungsschritte oder fortgeschrittene Kryptografie.

Technisch kann das Protokoll nahezu die Hälfte aller Parteien als bösartig tolerieren und dennoch sicherstellen, dass alle ehrlichen Beteiligten dieselben korrekten Informationen erhalten. Dies gelingt bei Kommunikationskosten, die nahe am theoretischen Minimum liegen. Erreicht wird dies durch einen effizienten Gossip-Mechanismus zum Verbreiten kryptografisch signierter Informationen im Netzwerk und eine neuartige Methode, mehrere Nachrichten zu einer konsistenten Sicht zu vereinen, die alle Teilnehmer teilen.

Das Ergebnis ist ein System, das starke Sicherheitsgarantien mit praktischer Effizienz verbindet. Es funktioniert selbst in Netzwerken mit Tausenden von Teilnehmern zuverlässig und ist skalierbar, ohne auf rechenintensive Techniken angewiesen zu sein.

Aus gesellschaftlicher Sicht stärkt diese Forschung die Zuverlässigkeit verteilter Systeme, die einen großen Teil unserer digitalen Infrastruktur tragen – von Finanznetzwerken bis hin zu kollaborativen Rechenplattformen. Indem die Abhängigkeit von vertrauenswürdigen Instanzen und teurer Kryptografie verringert wird, ebnet die vorgeschlagene Lösung den Weg zu robusteren und besser zugänglichen sicheren Kommunikationsprotokollen in verschiedensten Einsatzbereichen.

Die Forschenden untersuchen das Problem der sogenannten Leader Election in verteilten Systemen – also die Frage, wie eine Gruppe von Teilnehmenden, von denen einige unehrlich handeln können, zuverlässig eine einzelne führende Instanz auswählen kann, ohne dass dabei übermäßige Kommunikationskosten entstehen. Diese Aufgabe ist ein zentrales Grundelement vieler Technologien, darunter Blockchains und sichere Koordinationssysteme.

Bereits vor fast 20 Jahren wurde ein effizienter Lösungsansatz für dieses Problem vorgeschlagen. Dieses Protokoll wies jedoch subtile Schwächen auf. Insbesondere stützte es sich auf eine Methode zur Begrenzung der Kommunikation jedes Teilnehmenden – das sogenannte Silencing –, die in Konflikt mit anderen Teilen des Protokolls geraten konnte und so zu Fehlfunktionen oder unfairen Ergebnissen führen konnte. Zudem berücksichtigte der Ansatz nicht ausreichend, dass unehrliche Teilnehmende ehrliche durch das Simulieren sogenannter Shadow Elections in die Irre führen konnten.

In dieser Arbeit identifizieren und erläutern die Autorinnen und Autoren diese Probleme im Detail. Anschließend schlagen sie ein neues, korrigiertes Protokoll vor, das das Problem der Leader Election unter denselben grundlegenden Bedingungen löst, dabei aber die Kommunikationskosten niedrig hält. Ihr überarbeiteter Ansatz nutzt verbesserte mathematische Strukturen (Expander und Sampler), um die Teilnehmenden effizient zu organisieren. Außerdem wird ein Mechanismus eingeführt, um Wahlergebnisse auch bei unehrlichem Verhalten zuverlässiger zu bestätigen.

Das neue Protokoll stellt sicher, dass jede Person nur eine relativ geringe Anzahl von Nachrichten senden muss – deren Menge wächst nur sehr langsam mit der Anzahl der Teilnehmenden – und dass der Prozess in den meisten Fällen zuverlässig eine ehrliche Führungsperson auswählt. Die Lösung kommt ohne Kryptografie oder eine vertrauenswürdige Einrichtung aus und funktioniert in einem einfachen Kommunikationsmodell, in dem allen dieselben Informationen zur Verfügung stehen.

Aus gesellschaftlicher Sicht stärkt diese Forschung das Fundament für skalierbare und sichere digitale Systeme, die nicht von zentralen Autoritäten abhängen. Dies kann Anwendungen zugutekommen, die von sicheren Kollaborationstools bis hin zu dezentralen Finanznetzwerken reichen. Auch wenn die Arbeit stark technisch geprägt ist, trägt sie dazu bei, künftige digitale Infrastrukturen robuster, fairer und effizienter zu gestalten.

Die Forschenden stellen eine neue Methode zur Konstruktion eines statistischen, nicht-interaktiven Zero-Knowledge-(NIZK)-Arguments of Knowledge vor, das eine sogenannte „Rate-1“-Beweisgröße erreicht. Vereinfacht gesagt handelt es sich um ein kryptografisches Beweissystem, bei dem die Größe des Beweises nahezu der Größe des Geheimnisses entspricht, das er belegt – ohne dieses Geheimnis preiszugeben. Die Arbeit adressiert eine langjährige offene Frage in der Kryptografie: ob sich solche kompakten Beweise mit starken Datenschutzgarantien – konkret statistischer Zero-Knowledge – realisieren lassen.

In herkömmlichen NIZKs sendet eine beweisführende Partei (Prover) eine einzige Nachricht an die überprüfende Partei (Verifier), um die Wahrheit einer Aussage zu belegen, ohne weitere Informationen preiszugeben. Die Besonderheit hier liegt darin, dass statistische Zero-Knowledge erreicht wird – das heißt, selbst ein beliebig mächtiger Verifier, auch in ferner Zukunft, kann keine zusätzlichen Informationen extrahieren. Gleichzeitig bleibt das System ein „Argument of Knowledge“, was sicherstellt, dass jeder gültige Beweis einem tatsächlich existierenden Geheimnis entsprechen muss.

Um bekannte Einschränkungen bei Beweisgröße und Effizienz zu überwinden, kombinieren die Forschenden spezialisierte kryptografische Werkzeuge, darunter ein neuartiges Commitment-Verfahren und optimierte Beweisstrukturen. Das Design baut auf mehreren kryptografischen Annahmen auf, wie der Schwierigkeit des Learning-With-Errors-Problems, und nutzt Techniken, die sowohl Effizienz als auch starke Sicherheit gewährleisten.

Ein besonders wichtiger Aspekt ist, dass das System sogenannte „everlasting privacy“ bietet: Selbst wenn zukünftige Fortschritte in der Rechentechnik die Annahmen hinter der Soundness des Systems brechen sollten, bleibt die Vertraulichkeit der in früheren Beweisen verwendeten Geheimnisse geschützt.

Aus gesellschaftlicher Sicht leistet diese Forschung einen Beitrag zum Fortschritt von datenschutzfreundlichen digitalen Systemen. Auch wenn die Arbeit stark theoretisch geprägt ist, legt sie die Grundlage für sicherere und effizientere Protokolle in Anwendungen wie digitaler Identitätsprüfung, Datenschutz in Blockchains oder sicherem Cloud Computing. Die zurückhaltende Nutzung von Annahmen und die sorgfältige Konstruktion machen den Ansatz zu einem verlässlichen Baustein für künftige kryptografische Systeme.

Diese Forschung stellt das erste adaptiv sichere hierarchische Identity-Based-Encryption-(HIBE)-System vor, das weder auf komplexe mathematische Werkzeuge wie bilineare Pairings noch auf heuristische Annahmen (etwa Random Oracles) angewiesen ist. Frühere HIBE-Systeme konnten lediglich eine schwächere Form der Sicherheit garantieren, die sogenannte Selective Security, bei der angenommen wird, dass ein Angreifer sein Ziel auswählt, bevor das System eingerichtet wird – eine in der Praxis unrealistische Voraussetzung.

Die Forschenden bauen auf der Arbeit von Döttling und Garg auf, die eine Methode entwickelt hatten, um volle Sicherheit für einfachere Identity-Based-Encryption-(IBE)-Systeme zu erreichen. Deren Techniken ließen sich jedoch nicht auf hierarchische Systeme übertragen, die in der Praxis entscheidend sind, um reale Organisationsstrukturen abzubilden. Durch eine sorgfältige Analyse und Neugestaltung der Erzeugung und Verarbeitung hierarchischer Schlüssel und Chiffretexte gelingt es dieser Arbeit, langjährige technische Hürden zu überwinden.

Eine der größten Herausforderungen war es, ein Verschlüsselungssystem so zu simulieren, dass es auch dann sicher bleibt, wenn Angreifer ihre Ziele adaptiv wählen und teilweise Zugriff auf das System erlangen können. Die Forschenden führen hierfür einen neuen Beweisansatz ein, der ein Nested-Hybrid-Argument mit einer Pebbling-Strategie kombiniert. Dabei greifen sie auf jüngste Fortschritte bei kryptografischen Bausteinen wie adaptiv sicheren delegierbaren pseudorandomisierten Funktionen zurück. Dieses Zusammenspiel ermöglicht ein System, das selbst unter starken und flexiblen Angriffsmodellen robust bleibt.

Darüber hinaus erweitern sie ihre Methode auf anonymes HIBE, das nicht nur die Nachricht, sondern auch die Identität des Empfängers verbirgt. Dies geschieht unter etablierten kryptografischen Annahmen wie der Schwierigkeit bestimmter Probleme aus der Zahlentheorie oder gitterbasierter Kryptografie.

Aus gesellschaftlicher Sicht stärkt diese Forschung das Fundament sicherer Kommunikationssysteme, die in hierarchischen Strukturen wie Behörden, Unternehmen oder verteilten Netzwerken eingesetzt werden können. Durch den Verzicht auf ad-hoc-Annahmen ebnet sie den Weg für kryptografische Systeme, die sowohl praktisch einsetzbar als auch unter gut verstandenen Bedingungen nachweisbar sicher sind.

Diese Forschung stellt Gargos vor, ein neues Threshold-Signaturverfahren, das die Praktikabilität und Sicherheit gemeinschaftlicher digitaler Signaturen verbessert. In Threshold-Signatursystemen signiert eine Gruppe von Teilnehmenden gemeinsam eine Nachricht, wobei mindestens eine festgelegte Anzahl (der Schwellenwert) zustimmen muss, damit die Signatur gültig ist. Solche Systeme sind besonders relevant für Anwendungen wie Blockchain-Konsens oder verteiltes Schlüsselmanagement.

Ein zentrales Ziel in diesem Bereich ist adaptive Sicherheit – also die Fähigkeit, auch dann sicher zu bleiben, wenn ein Angreifer im Laufe der Zeit und auf Basis beobachteter Daten gezielt entscheidet, welche Teilnehmenden er kompromittiert. Die meisten bestehenden Threshold-Signaturverfahren sind entweder nicht adaptiv sicher oder beruhen auf unpraktischen Annahmen, erfordern das sichere Löschen von Daten oder benötigen viele Kommunikationsrunden, was ihre Effizienz einschränkt.

Gargos löst diese Probleme, indem es das erste Dreirunden-Threshold-Schnorr-Signatursystem bietet, das nachweislich gegen adaptive Angriffe sicher ist, kein sicheres Löschen erfordert und nur auf etablierten kryptografischen Annahmen beruht. Es ist kompatibel mit den weit verbreiteten Signaturverfahren Schnorr und EdDSA. Die Forschenden erreichten dies, indem sie aktuelle Ansätze verfeinerten und neue Beweistechniken einführten, die die Anzahl der notwendigen Kommunikationsrunden reduzieren und gleichzeitig Robustheit gegen starke Angreifer sicherstellen.

Aus einer breiteren Perspektive stärkt diese Arbeit die kryptografischen Grundlagen sicherer, dezentraler Systeme. Sie trägt zum Aufbau effizienterer und vertrauenswürdiger digitaler Infrastrukturen bei – entscheidend in Umgebungen, in denen Zusammenarbeit, Fehlertoleranz und Widerstandsfähigkeit gegen Kompromittierungen notwendig sind, etwa in Finanzsystemen, Wahlsystemen oder neuen dezentralen Technologien. Durch die Verringerung des Kommunikationsaufwands bei gleichbleibender Sicherheit macht Gargos fortgeschrittene kryptografische Protokolle praxistauglicher.

Diese Forschung untersucht, wie kryptografische Beweise noch kompakter gestaltet werden können, mit einem Schwerpunkt auf sogenannten Designated-Verifier SNARGs. Dabei handelt es sich um Beweise, mit denen eine Partei (der Prover) einer bestimmten anderen Partei (dem Verifier) ohne jegliche Interaktion nachweisen kann, dass eine Aussage wahr ist – ohne zu erklären, warum sie wahr ist. Solche Beweise sind besonders nützlich in datenschutzfreundlichen Systemen, etwa beim privaten Zugriff auf Datenbanken oder bei anonymen Zugangsnachweisen.

Frühere Systeme benötigten entweder mehrere Elemente aus einer mathematischen Struktur namens Gruppe oder stützten sich auf abgeschwächte Sicherheitsannahmen. Die Forschenden wollten herausfinden, wie klein ein solcher Beweis sein kann, ohne dass die Sicherheit darunter leidet – also ohne dass selbst mächtige Angreifer eine realistische Chance zum Schummeln haben.

Das zentrale Ergebnis ist eine neue Konstruktion, die solche Beweise mit nur einem einzigen Gruppenelement und einer kleinen Anzahl zusätzlicher Bits ermöglicht, bei gleichzeitig hohem Sicherheitsniveau. Konkret konnten sie die Beweisgröße im Vergleich zu den bisher besten Systemen nahezu halbieren. Der Ansatz basiert darauf, neu zu denken, wie Verschlüsselungen nach der Verarbeitung versteckter Daten „komprimiert“ werden können. Durch eine genaue Analyse und Einschränkung der Möglichkeiten, wie böswillige Nutzer diese Kompression ausnutzen könnten, gelang es, die Beweise kurz zu halten, ohne die Sicherheit zu schwächen.

Zusätzlich schlagen die Forschenden eine etwas längere Variante des Systems vor, die mit einem zufälligen Hash arbeitet, um die Angriffsfläche weiter zu reduzieren. In beiden Fällen wächst die Beweisgröße nur moderat, wenn höhere Sicherheitsniveaus gefordert werden.

Aus gesellschaftlicher Sicht trägt diese Arbeit dazu bei, kryptografische Systeme effizienter und praktischer zu machen – insbesondere in Szenarien mit begrenzter Bandbreite, Speicherplatz oder Verifikationszeit. Solche Fortschritte könnten langfristig Datenschutztechnologien, sichere Kommunikationssysteme und Blockchain-Anwendungen zugutekommen, indem sie den Aufwand verringern und zugleich starke Sicherheitsgarantien erhalten.