6 CISpA Paper auf der eurocrypt 2026

Cas Cremers, Esra Günsay, Vera Wesselkamp (Hasso Plattner Institute) und Mang Zhao (Wuhan University) untersuchen in ihrer Arbeit die Sicherheit des Messaging-Standards MLS (RFC 9420), der in vielen modernen Chatdiensten eingesetzt wird und Sicherheitsresultate ableiten, die direkte Auswirkungen auf Systeme in der realen Welt haben, die Millionen von Nutzern betreffen. Ziel der Studie ist es, erstmals die finale Version des Standards vollständig kryptografisch zu analysieren, einschließlich sogenannter „externer Operationen“. Diese erlauben etwa, dass Nutzer:innen einer Gruppe wieder beitreten oder externe Dienste Änderungen vorschlagen. Frühere Analysen hatten diese Funktionen nicht berücksichtigt. Die Autor:innen entwickeln dafür ein formales Modell (ETK) sowie eine Erweiterung ETK+, das den Kernmechanismus von MLS realistisch abbildet, und zeigen, dass zentrale Sicherheitsziele wie Vertraulichkeit, Konsistenz und Authentizität grundsätzlich erfüllt werden. Allerdings zeigt die Analyse auch eine Einschränkung: Durch externe Operationen ist ein wichtiges Sicherheitsversprechen – die sogenannte „Post-Compromise Security“, also die Wiederherstellung von Sicherheit nach einem Angriff – schwächer als bislang angenommen. Konkret können Angreifer:innen unter bestimmten Bedingungen langfristige Schlüssel kompromittieren und so erneut Zugriff erlangen. Als Verbesserung schlagen sie eine Erweiterung vor, bei der zusätzliche geheime Schlüssel (PSK) eingebunden werden. Damit lässt sich ein Teil der verlorenen Sicherheit wiederherstellen. Die Arbeit liefert eine präzisere Grundlage für die Bewertung der Sicherheit moderner Gruppenkommunikation. Für die Gesellschaft bedeutet das vor allem: verbreitete Messenger-Protokolle werden besser verstanden und können gezielter verbessert werden. Gleichzeitig zeigt die Studie, dass auch etablierte Standards noch Schwachstellen aufweisen können, die sorgfältig analysiert und adressiert werden müssen.

Lucjan Hanzlik, Yi-Fu Lai (Shanghai Jiao Tong University & KU Leuven), Eugenio Paracucchi und Edoardo Persichetti (Florida Atlantic University) präsentieren ein neues Verfahren für sogenannte Blind-Signaturen, ein wichtiges kryptographisches Werkzeug zum Schutz der Privatsphäre, etwa bei elektronischem Bezahlen oder Abstimmungen.

Blind-Signaturen ermöglichen es, dass eine Instanz eine Nachricht signiert, ohne deren Inhalt zu sehen oder später die Signatur einer bestimmten Interaktion zuordnen zu können. Gleichzeitig muss verhindert werden, dass mehr gültige Signaturen erzeugt werden, als Interaktionen stattgefunden haben.

Bisherige post-quantensichere Ansätze hatten entweder Effizienzprobleme oder stützten sich auf vergleichsweise ungewöhnliche Sicherheitsannahmen. Aufbauend auf einem früheren Konzept („Tanuki“) entwickeln sie nun ein neues Framework („Wombat“), das mit einer etablierteren und besser verstandenen Annahme auskommt, dem sogenannten Inversionsproblem bei Gruppenaktionen.

Ein zentrales Ergebnis ist, dass das Verfahren auch dann sicher bleibt, wenn viele Signaturprozesse gleichzeitig ablaufen (konkurrierende Sicherheit), was in realen Anwendungen wichtig ist. Zusätzlich gelingt es ihnen, die Größe der erzeugten Signaturen deutlich zu reduzieren, insbesondere bei code-basierten Varianten um den Faktor 14,5, ohne die Sicherheitsgarantien zu schwächen.

Technisch führen sie dafür neue Methoden ein, um bestehende Hürden bei der Simulation und Sicherheitsanalyse zu umgehen, und passen mathematische Strukturen so an, dass sie effizienter genutzt werden können.

Die Forschung trägt dazu bei, praktikablere und besser abgesicherte kryptographische Verfahren für eine Zeit nach Quantencomputern zu entwickeln. Sie verbessert damit die Grundlage für Anwendungen, die auf starke Privatsphäre angewiesen sind, ohne dabei neue Risiken durch unsichere Annahmen einzugehen.

Renas Bacho und Yanbo Chen (University of Ottawa) untersuchen in ihrem Paper neue Verfahren für sogenannte Multi-Signaturen, die in verteilten Systemen – etwa bei Kryptowährungen – eingesetzt werden. Dabei können mehrere Beteiligte gemeinsam eine digitale Signatur erzeugen, die anschließend effizient überprüft wird. Bestehende Verfahren bieten entweder hohe Sicherheit oder praktische Effizienz, selten beides zugleich. Besonders problematisch sind große Signaturen und aufwendige Abläufe. Sie stellen mit „Earpick-MS“ ein neues Multi-Signaturverfahren vor, das zwei Kommunikationsrunden benötigt, ohne auf Paarungs-basierte Kryptografie zurückzugreifen, und gleichzeitig eine sogenannte „strenge“ (tight) Sicherheitsgarantie bietet. Ein zentraler Fortschritt liegt in der deutlich kleineren Signaturgröße: Statt bisher neun Feld- und zwei Gruppenelementen besteht eine Signatur nur noch aus drei Feldwerten und einem einzelnen Bit. Das reduziert die Größe um etwa den Faktor 3,5 und macht die Methode praktischer für Anwendungen mit begrenzten Ressourcen. Zusätzlich präsentieren sie „Earpick-TS“, eine Variante für Schwellenwert-Signaturen. Dabei genügt eine Teilmenge von Beteiligten, um gemeinsam zu signieren. Diese Variante erreicht ebenfalls hohe Sicherheit bei gleichzeitig kompakter Darstellung und benötigt nur zwei Kommunikationsrunden. Laut den Autor:innen ist dies die erste bekannte Lösung dieser Art ohne Paarungen, die sowohl effizient als auch streng sicher ist. Die Arbeit liefert einen technischen Fortschritt in der Kryptografie, indem sie zeigt, dass hohe Sicherheit und praktische Effizienz besser vereinbar sind als bisher angenommen. Für die Gesellschaft bedeutet das vor allem potenziell effizientere und skalierbarere digitale Infrastrukturen, etwa im Bereich sicherer Transaktionen. Der Nutzen bleibt jedoch indirekt und hängt davon ab, ob und wie solche Verfahren in realen Systemen eingesetzt werden.

Marius A. Aardal (Aarhus University), Andrea Basso (IBM Research Europe) und Doreen Riepel stellen ein neues theoretisches Modell für kryptographische Verfahren vor, das sogenannten „Algebraic Isogeny Model“ (AIM). Dieses Modell dient dazu, die Sicherheit moderner Verschlüsselungs- und Signaturverfahren auf Basis sogenannter Isogenien – spezieller mathematischer Abbildungen zwischen elliptischen Kurven – besser zu verstehen.

Bisherige Modelle konnten nur eingeschränkte Varianten dieser Strukturen abbilden. Das AIM erweitert diesen Rahmen deutlich und erlaubt es, allgemeinere Angriffe zu berücksichtigen. Dadurch lassen sich Sicherheitsbeweise realistischer formulieren. Sie zeigen zunächst, dass sich frühere Ergebnisse aus einfacheren Modellen auf das neue Modell übertragen lassen. Damit werden bestehende Sicherheitsannahmen unter strengeren Bedingungen bestätigt.

Ein zentraler Beitrag ist ein stärkerer Sicherheitsbeweis für das Signaturverfahren SQIsign, das als Kandidat für Post-Quanten-Kryptographie gilt. Sie beweisen, dass dieses Verfahren auch gegenüber Angreifern sicher ist, die Quantumzugriff auf das Random Oracle haben (ein idealisiertes Modell für Hashfunktionen). Damit wird ein bislang ungelöstes Problem adressiert.

Zusätzlich zeigen sie für bestimmte kryptographische Schlüsselaustauschverfahren, dass zwei grundlegende mathematische Probleme – das isogenie-basierte Analog zum diskreten Logarithmusproblem und dem Diffie-Hellman-Problem – in diesem Modell äquivalent sind. Das vereinfacht die Bewertung ihrer Sicherheit.

Die Arbeit liefert vor allem ein präziseres theoretisches Fundament für isogeniebasierte Kryptographie. Für die Gesellschaft bedeutet das keine unmittelbare Anwendung, aber eine verbesserte Grundlage für die Entwicklung langfristig sicherer Verschlüsselungstechnologien, insbesondere im Hinblick auf zukünftige Quantencomputer.

Renas Bacho (CISPA Helmholtz Center for Information Security und Universität des Saarlandes), Yanbo Chen (University of Ottawa), Julian Loss (Ruhr-Universität Bochum), Stefano Tessaro (University of Washington) und Chenzhi Zhu (NTT Research) untersuchen ein zentrales Problem moderner Kryptographie: sichere digitale Signaturen, die von mehreren Beteiligten gemeinsam erzeugt werden. Solche sogenannten Schwellen-Signaturen sind besonders relevant für Anwendungen wie Kryptowährungen.

Ein wichtiges Ziel ist dabei „adaptive Sicherheit“: Angreifer:innen können während der Ausführung flexibel entscheiden, welche Teilnehmenden sie angreifen. Bisherige Verfahren – insbesondere das weit verbreitete System FROST – benötigen dafür eine neue und noch wenig untersuchte Annahme über die Schwierigkeit eines mathematischen Problems (LDVR).

Die Autor:innen präsentieren mit „ms-FROST“ ein neues Verfahren, das diese Unsicherheit überwindet. Es erreicht adaptive Sicherheit ohne diese neue Annahme und basiert stattdessen auf etablierteren kryptographischen Grundlagen. Gleichzeitig bleibt es effizient und benötigt nur zwei Kommunikationsrunden zwischen den Beteiligten, was für praktische Anwendungen wichtig ist.

Ein zentrales technisches Mittel ist das sogenannte „Maskieren“ von Teilergebnissen: Einzelne Beiträge der Beteiligten werden so verändert, dass sie keine sensiblen Informationen preisgeben, sich aber am Ende korrekt zu einer gültigen Signatur kombinieren lassen.

Zusätzlich zeigen sie eine theoretische Grenze: Bestimmte Sicherheitsbeweise sind ohne spezielle Modellannahmen grundsätzlich nicht möglich.

Die Arbeit trägt dazu bei, kryptographische Verfahren robuster und besser verstanden zu machen. Für die Gesellschaft bedeutet das vor allem langfristig verlässlichere Sicherheit in digitalen Infrastrukturen, etwa bei Finanzsystemen oder digitalen Identitäten, ohne dabei neue, ungetestete Annahmen einführen zu müssen.