こんにちは、みなさん。私の名前は、ふみたかほちの。今日は、私のトピックは、初めのバイニアタイプのコンバジオンを使用するインテジャープログラムのコンバジオンのマサイキアウェアとミアコークボーを使用しています。まずは、私は、質問を聞きたいと思います。どうして私は、クリプトラハーのインテジャープログラムのコンバジオンのマサイキアウェアとミアコークボーを使用しています。クリプトラハーのフォノインプリメンテジャーを使用しています。VLカーブKSSカーブR8ペリングツイストSongクリプトデザイナーのアシメテク1のフォンを使用しています。このシャットは、キーワードを使用しています。キーワードはBDHやDBDHやD-LINを使用しています。シメテクフェリングはDBDHやD-LINを使用しています。ブルワンはXDHやSXDHやXDDHなどアシメテクフェリングを使用しています。アシメテクフェリングになります。マークもポプリ寄¿ですが、 miatik ウィ进寄しているBabyがまだ popularなぜ アシメテクフェリングが多くて好いていますか?しみてルーズンアシメテクフェリング喜歡アシメテクフェリングかアシメテクフェリングしたら出します。アシメテ払 knowsしかし、一つの重要な理想は、スキームはシメトリックのシメトリックを使っていることができますしかし、この真実は、常にシメトリックベストスキームのシメトリックセットを使っていることができますここに問題があります。これをどうするのか?これをどうするのか?この質問について、たくさんのペーパーの答えがあります例えば、このペーパーの研究、スペシックスキームのコンバージョンについてフィギュリスティックガイドラインについてコンバージョンについてCCS2013アキニールエターブプロポーズオートグループのコンバージョンシステムについて普通のスキームの質問についてSMTソルバーが使用されていることができますソフトウェアとソースコードが開催されていることができますしかし、この仕事についてスキームの価値がありませんクリプト2014アキニールエターブプロポーズコンバージョンシステムについてコンバージョンの価値がありますがインプットスキームのサイズについてフィギュリステムについて小さなスキームについてCCS2015アキニールエターブプロポーズセキュアコンバージョンシステムについてオートグループプロポーズハンドライティングスキームのパフォーマンスは素晴らしいしかし、大きなスキームについてフィギュリステムの価値がありませんこれはハンドライティングスキームの素晴らしいイメージですそしてこれはオートグループプロポーズのスキームのパフォーマンスですそしてこれがこれが私たちの試験に使用されています私はこのイメージが大きなスキームについてラテクエラについてしかしこれが私たちの試験についてカリフラワーを紹介しますオートグループプロポーズのこのプロポーズは今日のテーマですこれが私たちの試験についてこのプロポーズはオートグループプロポーズについて私たちのスキームのパフォーマンスを使用されていますこのプロポーズについて私たちの試験についてこのプロポーズは私たちの試験についてコンパクト的なスキームのパフォーマンスを使用されています私たちの試験についてこのプロポーズは私たちの試験についてこのプロポーズは私たちの試験についてG0、G1、GT、E、G0、G1、GT、Cyclic Groups of order QE is a non-degenerate efficient bi-homography groupG0 and G1 are called source groupsGT is called target groupPairing has many typical settingsbut we focus on prime order settingbecause it is most popular onePrime order setting is classified into three typesEfficient homomorphism between G0 and G1If there exist efficient homomorphism in both directionswe call such a setting type 1In this case we do not distinguish G0 and G1simply we call them GIf there exist no efficient homomorphism between G0 and G1in both directions we call such a setting type 3In this case we must distinguish G0 and G1Our problem is quite simpleIt is to convert a type 1 scheme into a type 3 schemeI think there are at least three variants to considerThe first one is to decide whether we can convert or notTemporarily we call this problem decisionThe second one is to find a type 3 scheme if possibleWe call this problem findingThe third one is to find the best type 3 schemeWe call this optimizationClearly finding is harder than decisionand optimization is harder than findingHere we have a new questionWhich problem is really hard?I will answer this question later in this talkto our algorithmConversion is based on Aveda's Secure Conversion Frameworkwhich consists of following stepsSep 1, give a secure scheme in type 1Sep 2 includes all algorithms in construction, correctness, assumption and reductionSep 2 builds the dependency graphwhich represents all the dependencies between source group variables and algorithmsFor example, this assignment statement becomes this directed graphSep 3, split the dependency graph under certain constraintsIn this step, we must derive two subgraphs from the dependency graphEach subgraph represents all the dependencies between source group in type 3 schemeAnd step 4 reconstructs the scheme in type 3 according to the splitAll steps but splitting steps are efficientTherefore, we concentrate splitting steps after this slideAveda proved the following theoremIf above split satisfies the following four conditionsThe derived scheme is secure in type 3Condition 1, the union of the subgraphs recover the original graphCondition 2, if a subgraph contains the node xIt contains all the past xCondition 3, two nodes in a pairing must belong to different subgraphsCondition 4, if a subgraph contains a non-duplicatable nodewhich I will later explainThe other subgraph does not contain itWe call such a split validQuestionHow do we analyze valid split?AnswerWe do it by converting graph problem into algebraic problemTo analyze valid split algebraicallyWe introduce some notions and notationsIn previous slideG0 and G1Source group in type 1 and type 3 settingBut we redefine G as the dependency graphOr its vertex setAnd G sub B as the piece subgraphOr its vertex setIf a node x belongs to both G0 and G1We say x is duplicatedFor example, a group generator of G becomes duplicated in typical casesAnd we define duplicatable node as a node which can be duplicatedAnd non-duplicatable nodes are the nodes which cannot be duplicatedIf x is non-duplicatablex belongs to G0 or G1exclusivelyIt is known that out of hash function becomes non-duplicatableAnd we can treat leaf node as non-duplicatableAnd we occasionally treat the expression x in G sub B as a binary variable like thisWe call x in G sub B assignment variableIf we define all the values of assignment variablesWe can decide the split G0 and G1Furthermore, if x is non-duplicatableWe treat x as a binary variableThat is x equals BIf x belongs to BIf x is non-duplicatableThis equation holdsI will skip detailed discussion butWe can easily derive several facts from the conditions of valid splitFact 1, we can treat all leaves as non-duplicatableFact 2, let x y be the pair of the pairingThis equation holdsFact 3, let x y be non-duplicatable nodes on the pathThis equation holdsAnd let L, I, BAll of descendant use of node yWe can assume this equationBy using facts in previous slideWe can derive the following algorithmStep 1Decide all non-duplicatable nodesBy solving linear equations this and thisThereafter, assign all duplicatable nodes by using this equationClearly, this algorithm runs in polynomial time in number of nodesBecause linear satisfiability can be solved by Gaussian eliminationThis means satisfiability of our problem is easyNow we go back to the previous questionWhich problem is really hard?According to our observation, decision and finding are easyWhy we have no idea of how hard optimization isThis is my answerTherefore, the problem to tackle is just optimizationNow we have new questionWhich solver should we use to solve optimization?I borrowed this picture from a tutorial of certain related problemsThere are many certain related problemsThe more to the right, the better for optimizationIf we believe this picture, SMT is not so suitable for our problemClearly, integer programming is the best oneAs you know, an integer programming problem is a class of the mathematical programming problemExpressors minimize linear function f of x subject to linear constraintsor find search integer x where abc are constant real numbersOur basic idea is quite simple and straightforwardIf we convert all constraints into linear expressionsWe will find the best assignment by defining f as a function of assignment variablesThis can be easily achievedBut due to time consideration, I will skip detailsSee our paper for detailsThis table is performance for real schemesIP comp has good performanceThis chart is performance for randomly generated examplesProcessing time of auto group plus is not stable for relatively large examplesBut IP comp keeps good performanceThis is performance for carry flowersI think at least IP comp is commercial solverStill keep good performanceThis table is somewhat counterintuitive resultConversion means converted scheme based on cross-highCross-high is a large proof in dealing settingDirect means direct instantiation of cross-high is a large in sx-dh settingwhich is usually more compact than dealing settingConverted scheme is the most compact proofsWe have proposed an efficient type conversion method based on 0-1 integer programmingThe performance and scalability is demonstrated over real schemes and randomly generated samplesCounterintuitive example is demonstratedUse fullness of the conversion edit designOpen source development is certainly in our future planThat's all. Thank you