ご紹介いただきありがとうございます。コンパクトストラクチャープリザービングシグニチュースの話についてお話しします。マサイキアベ、デイス・ホハインツ、ミア・コークボ、ジャシンプランスの仕事です。この仕事についてお話し、新しいストラクチャープリザービングシグニチュースを提供しました。このSPS4ショットは、シンメトリックエクスターナルデフィン・ヘルマンスタンプションについてお話しします。2つのプロバリーです。1つは、スタイトスケキュリティと、スキーマーがコンサンスタイルシンチェ、パブリッキーといいます。次のスライドについてお話しましょう。ストラクチャープリザービングシグニチュースは、エフィニアグループの装着用のフレームマークは、これがグロスハイの 内にあるプロシステムでグロスハイプロシステムによってグロスハイプロシステムの クロスを使っていろいろなアプリケーションを 使っていこうで例えばブランドシグニチュース、 グロスシグニチュース、アノミネスクリデンシアルス、 比較することができますクリプトグラフィーサービングの クリプトグラフィーサービングのプロトコースは マジュラルに使われていますこれらは非常に使用的な技術ですこの話は スキニチューで スキニチューを説明しますSPSの全国のプロトコースは グループの特徴ですメッセージ、ベルフィキューショーキー、 スキニチューは全国のグループの特徴です今のスキニチューで スキニチューやブランドスキニチューのベルフィキューションが作成するための単語を使っていますようなことをしてみますね。では、タイツセキュリティを制御してみます。クリプトグラフィーのセクリティを失礼するために、困難性問題を使用します。困難性問題は、アドバーサーバーのために、スクスプロバータイプは、イプシロンPとランニングタイミズTPセキュアクリトグラフィーを組み立てますアドバーサリーはイプシロンPとランニングタイミズTを組み立てます特にセキュリティのレダクションでチャレンジャーが問題になってアドバーサリーを送りチャレンジャーとバリードシグニチュースをセキュアクリトグラフィーを組み立てますそして アドバーサリーを役に立てますセキュアクリトグラフィー とテレニアルルとランニングタイミズTを組み立てますこれは アドバーサリーを組み立てますセキュラリングタイミズTを組み立てます最初にバリードシグニチュースを送りレダクションコストはY over Yp times Tp over T.ここはタイトルセキュリティです。タイトルセキュリティは、レダクションコストは just constant.だから、セキュリティパラメータや数のクエリースは、セキュリティは、レダクションコストは、セキュリティパラメータのオーダーをロゴをオーダーする。これはタイトルセキュリティです。この話に向かって、セキュリティは、レダクションコストは、セキュリティパラメータのオーダーをオーダーする。ただ、レダクションコストの多くのクリプトグラフィックスキムは、数のクエリースがオーダーする。実際、これがいい。なぜ?タイトルセキュリティはSPSの特徴は、タイツセクリティを使うと、短いセクリティを使うと、そのため、一般的なセクリティの減少のセクリティを使うと2-30の減少が必要です。そのため、長いセクリティを使うとスタンダードセクリティの80ビットのセクリティを使うことができます。とにかく、一般的なセクリティを使うとすいから最高のセクリティが生きているので、タイツセクリティが必要です。一般的なセクリティを使う場合、スタンダードセクリティの提案は、スキルティを使うためにまた、スキルティの携帯を入れ、手のパラメタのスキルティを使うために Nahiの携帯を入れ、同じビルディングブロックを使うためにクリプトを保管するためにタイツセキュリティを使うことができますここはSPSのコンパリソンですホファインス&ウェアガーはタイトルリーセキュアのSPSでディレーンアサンプションを使うことができますしかし、このスキームは3つのディスセキュニチュアを使って2つのディスセキュニチュアを使うことができますディスセキュニチュアのサイズは10xd-6ですこのディスセキュニチュアは不足的なサイズですその後、多くのサイズのスロークチャープリザビングシニチュアをスタッフで使ってディスセキュリティとしてのスキームを使うことができますしかし、このスキームはタイトルリーセキュアを使うことができますだから、クリプトを保管するためにQを積極的なボタンを使うことができますこのスキームはサイズのサイズとサイズそしてタイトルリーセキュリティによく単なるできますこれが俺のスキームですフランスのサイズでDQをですでは、これらのスキームランスを説明してみましょう大量のディスセキュニチュアをクリプトグラフィーは、非常に強力なフレームワークを追加することができます。このフレームワークは、チェンウィーフレームワークを2013年にプロポートしています。このフレームワークのコアテクニックは、パーティションニングバイブです。私はこのテクニックを短く説明します。フレームワークは、この経験xのエントロピーを terraceに突入させます。ではこの結果、セグニチューを改善することができます。ここでは、セグニチューはフォローイングフォームで、セグニチューはサンファンクションユジュースのセシファンクションです。実際、チェンウィーフレームワークはアクリプトアプリカブルのインディティベースのエンクリプションを使用しています。しかし、この話については、サグネチューのケースについてのフォーカスをしています。そのため、サグネチューを改善するために多くのハイブリッドゲームを描くことができます。サグネチューのハイブリッドゲームを描くことができます。サグネチューのケースビットのメッセージMは、サグネチューのケースビットのタゲットメッセージMです。そして、サグネチューのケースビットのメッセージMを描くことができます。像なし、サグネチューをやORNとすると、サグネチューを変えてではありません。サグネチューが、ここのサーなしでresident столのand random function。KBITプレフェクトのメッセージMを選択していますSignatureはX times FK prime of KBITプレフェクトのメッセージMand times H of Mここで、このインデペンデットとランダムのファンクションを使っても多くのエントロピーをインサートさせますランダムのハイブリットゲームで、最後のハイブリットゲームの時が現れたことですどこで全てのサイトがランダムのファンクションでなく、最後のハイブリットゲームは、ギンでアドバスルいくつかを安定させられますこれを使用されていると、アドバスルに出すコンビニのサイトが割り出されますちなみにフレームワークの素材こっちはラフのイデアを使っているそのため、このフレームワークについては、 ストラクチャーフリザーヴィングスキュニチューを作りたいと思います。しかし、このフレームワークについては、 スピエースをアプライする必要があります。このフレームワークについては、 スピエースキュニチューを使う必要があります。しかし、ストラクチャーフリザーヴィングスキュニチューは、 グループエレメントを使う必要があります。そのため、このフレームワークについては、 スピエースキュニチューを使う必要があります。次のフレームワークについては、 スピエースキュニチューを使う必要があります。こんなきっきりスキュニチューを作りましょう。スキュニチューのส supers is ... So a signature ... …includes the Ciphertext of X and To Put الosa… …and a verification key includes some values…ここでこれはオーステートの記録ですオーステートの記録はこのようにサイファテクトはクリフトキーのエッグとコミュートメントのエッグを使いますそしてパチュニーのトラップの技術を使って私は今後も何かトラップ技術を使っていますこのスキーは最も重要ですここでエルガーマールエンクリプションを使っていますエルガーマールエンクリプションはストロクチャープリザービンとタイトルAセキューアルで SXCH アサンプリュームを使用しますそしてグロスタハイコミッタミットスキームを使用しますこれもストロクチャープリザービンクリプトウタイトルAセキューアルで SXCH アサンプリュームを使用しますここで2つのプロベンスを使用しますエルガーマールエンクリプションを使用しますまず、グループのメッセージを組み込むことができますこのアイデアではないメッセージがありますそれについて、スキーの技術についてのメッセージがあります2つのプロベンスは、どのようなプロベンスを使用するか?スキーの技術についてのメッセージを組み込むことができますスキーの技術についてのメッセージは、どのようなプロベンスを使用するか?エンクリプトウワンタイムマークを使用しますここで、X0はランダムリーを選択するバリューですX1は0ですエルガーマールエンクリプションはX0とX1のコミッタミットを使用します技術二のコミッタミットを選びますPencil 3、Z0とG2Dの対比の接近などについてのセイファ fryと女子プロベンスを使用します同じランダムリーと同じг奏の読み、Αと2と3とg0についてのセイファは、G2DとG0を近い状態で競争させるわけではなく、0x0xmx1このような意味はこのエクスポネントのこのエクスポネントの0x0x1のマークの一番目のメッセージをどうしてもセキュリティを一番目のマークでエクスポネントのエクスポネントのスキムをエクスポネントの2つのレクロイメントを一番目のセキュニチュースをサイニングオラクルにアドバーサリーを使ってエクスポネントの一番目のセキュリティをリーチできるでセキュリティを一番目のセキュニチュースをサイニングオラクルに一番目のセキュリティをサイニングオラクルにアドバーサリーを使って残念な技術をセキュリティやフレームワークでここではZ0のエントロピーを設定するため、パーチシュニングでセキュリティを追加することができます。セキュリティを追加するため、オープルーフテクニックを使用します。このエクセンションのアダプティブパーチシュニングのテクニックはデインスホファインスで提供されました。次に、X2を解説します。X2は0と同じです。バレフィケーションのキーはX2と同じです。X0とX1のコミュニケーションのセキュリティを解説します。この段階のバレフィケーションは、パーチシュニングのテクニックについて説明します。セキュリティはG2Z0とG2Z1とG2Z2のサイファテクスについて説明します。ニズクプルフはローオールです。ローオールは、G0-G1x2-G2は0と同じです。このエクセンションは、オープルテクニックについて説明します。このエクセンションは、G0-G1とG2Z1を解説します。この最初は、NOW I&Wエンクリーションのテクニックです。このテクニックは、2サイファテクスについて説明します。X2とG2と同じですが、エクセンションと同じです。これは、パーチシュニングのテクニックについて説明します。次の段階にも詳しくお聞きします。この文字の辞め方は、アダプティブパッシュリングを得ることができます。そのため、このアダプティブパッシュリングを得ることができます。このアダプティブパッシュリングを得ることができます。次の段階にも詳しくお聞きしましょう。次の段階にも詳しくお聞きしましょう。この文字については、この文字の辞め方は、この文字のひどいのに施されました。最初にも詳しくお聞きしましょう。その意味では、字の城は詞の単純を使わないにより、この文字には詳しくお聞きしましょう。ok so now i briefly explained the proof outline for part tuning part so i omit other part other than part tuning partso our innawa sps scheme a verification key includes commitment of x0 and x1 under crs0and the commitment x2 and the and the crs1 here x2 is equal to 0 and the signature includes ciphertext ofz2zz0 z2zz1 and z2zz2 and there are two non-interactive zero range proofs in thepartition new part only lower is important so i focus on lower lower prove that this equationfirst the simulator gets z2 star output by the adversary i define this as betterand we switch the crs1 from binding mode to hiding mode there so in the gross high proof system there aretwo modes hiding and binding mode so first we change the crs1 to hiding mode so we canchange value x2 from from zero to one minus beta because we use the hiding mode now next we use the security ofpublic inclusion under pk2 and we change z2 from zero to case bit of mu what is mu mu is a randombinary encoding of message m so we consider sps so a message is a group element however inthis this random binary encoding does not appear in the scheme in the real world so this is only for thesecurity proof so we can use a random binary encoding for for the simulation andhere z2 is defined as case bit of random encoding mu so we use the security of in the cpa of pk under pk2so we can now use the decryption key of pk2 so we check z2 star by decryption by decryptingthe ciphertext under pk2 so we can check whether the guess is correct or not if the guess is not correctwe abort this is just probably one over one one over two so now we move to randomization by patching so if z2 star is equal to case bit of mu then nothing is changed like chain we framework so z0 is equal to z1and this is a random value from the previous hybrid game however if z2 star is not equal to case bit of muthen we can change the contents of ciphertext under pk1 because if this condition holdswe x2 is defined by one minus beta so in this case x2 is equal to z2 by the simulation so we do not need to satisfy the first conditionI mean we do not satisfy z0 is equal to z1 so we cansafely change the contents of ciphertext under pk1 fromprevious value to the new random value we use independent random function f primeand takes k bit prefix of mu so now z0 is not equal to z1 and we can insert more entropy to z1so now and move to next step to check the validity of forgery of the adversary we need to check the contentsof ciphertext to whether whether mark is valid or not so we need decryptciphertext under pk1 now we already change the contents of ciphertext under pk1 so we now we can use thedecryption key of pk1 so we now check by z1 star by decryption so next we canchange the contents of ciphertext under pk0 now in a similar way we change the contents ofciphertext under pk0 fromprevious value to the independent and random functionso now again we can satisfy z0 and equal to z1 so we canpartition the set of signature by using this technique and we can repeat these processesso at the last hybrid game all signature has a sufficient entropyand all signatures are useless for the adversaries and the adversary mustuse must reuse some signature from given signatures by the signing or approvalso this contradict contradict to the one-time security of mark this is a outline of prooflet's summarize of this talk we propose new structure preserving signaturebased on sxdh assumption which satisfies all most of type securityand constant size signature and public key to achieve this we introduce a new adaptivepartitioning technique for structure preserving cryptography based on gloss hyper systemit seems that our scheme is not super efficient because signature consists of1225 or 28 group element but if we use the best parameter setting actually our schemevery efficient compared with previous sbs schemesand there is a so one open question is whether we can construct more efficienttitle resecure sbs or structure preserving cryptography that's it thank you