<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div>I&#39;m happy to announce that we now have seminars scheduled for every Wednesday until the end of the semester. <br></div><div><br></div><div>Next week, Frank Wang from MIT will give a systems security talk about about cryptographic access control for data in untrusted clouds. The following week, Daniel Apon from UMD will give a crypto talk about deniable attribute-based encryption.  And after that, Luke Valenta from UPenn will talk about factoring 512-bit RSA keys.</div><div><br></div><div>All talks on Wednesdays at 10am with lunch to follow. See you there!</div><div><br></div><div dir="ltr">Sharon<br><br>BUsec Calendar:  <a href="http://www.bu.edu/cs/busec/" target="_blank">http://www.bu.edu/cs/busec/</a><br>The busec seminar gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS). <br><br>******<br></div><div dir="ltr">Seive: Access Control for User Data in Untrusted Clouds<br></div><div>Speaker: Frank Wang (MIT)</div><div>Wednesday October 19, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr">Modern web services rob users of low-level control over cloud storage—a user’s single logical data set is scattered across multiple storage silos whose access controls are set by web services, not users. The consequence is that users lack the ultimate authority to determine how their data is shared with other web services. In this talk, we introduce Sieve, a new platform which selectively (and securely) exposes user data to web services. Sieve has a user-centric storage model: each user uploads encrypted data to a single cloud store, and by default, only the user knows the decryption keys. Given this storage model, Sieve defines an infrastructure to support rich, legacy web applications. Using attribute-based encryption, Sieve allows users to define intuitively understandable access policies that are cryptographically enforceable. Using key homomorphism, Sieve can reencrypt user data on storage providers in situ, revoking decryption keys from web services without revealing new keys to the storage provider. Using secret sharing and two-factor authentication, Sieve protects cryptographic secrets against the loss of user devices like smartphones and laptops. The result is that users can enjoy rich, legacy web applications, while benefiting from cryptographically strong controls over which data a web service can access.<br></div><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr">******<br></div><div dir="ltr">Deniable Attribute Based Encryption for Branching Programs from LWE<br></div><div>Speaker: Daniel Apon (UMD)</div><div>Wednesday October 26, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><div><br></div><div dir="ltr"><div dir="ltr">Deniable encryption (Canetti et al. CRYPTO &#39;97) is an intriguing</div><div dir="ltr">primitive that provides a security guarantee against not only</div><div dir="ltr">eavesdropping attacks as required by semantic security, but also stronger</div><div dir="ltr">coercion attacks performed after the fact. The concept of deniability has</div><div dir="ltr">later demonstrated useful and powerful in many other contexts, such as</div><div dir="ltr">leakage resilience, adaptive security of protocols, and security against</div><div dir="ltr">selective opening attacks. Despite its conceptual usefulness, our</div><div dir="ltr">understanding of how to construct deniable primitives under standard</div><div dir="ltr">assumptions is restricted.</div><div dir="ltr"><br></div><div dir="ltr">In particular from standard lattice assumptions, i.e. Learning with Errors (LWE),</div><div dir="ltr">we have only flexibly and non-negligible advantage deniable</div><div dir="ltr">public-key encryption schemes, whereas with the much stronger assumption</div><div dir="ltr">of indistinguishable obfuscation, we can obtain at least fully sender-</div><div dir="ltr">deniable PKE and computation. How to achieve deniability for other</div><div dir="ltr">more advanced encryption schemes under standard assumptions remains</div><div dir="ltr">an interesting open question.</div><div dir="ltr"><br></div><div dir="ltr">In this work, we construct a flexibly bi-deniable Attribute-Based</div><div dir="ltr">Encryption (ABE) scheme for all polynomial-size Branching Programs from</div><div dir="ltr">LWE. Our techniques involve new ways of manipulating Gaussian noise</div><div dir="ltr">that may be of independent interest, and lead to a significantly sharper</div><div dir="ltr">analysis of noise growth in Dual Regev type encryption schemes.We hope</div><div dir="ltr">these ideas give insight into achieving deniability and related properties</div><div dir="ltr">for further, advanced cryptographic systems from lattice assumptions.</div><div dir="ltr"><br></div><div dir="ltr">Joint work with Xiong Fan (Cornell) and Feng-Hao Liu (Florida Atlantic).</div></div></div></div></div></div></div></div></div>
</div>
</div><br>*****<br>
<div><br></div><div><div dir="ltr">Factoring As A Service<br></div><div>Speaker: Luke Valenta (UPenn)</div><div>Wednesday Nov 2, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><div><br></div><div><div><br></div><div>The difficulty of integer factorization is fundamental to modern cryptographic security using RSA encryption and signatures.  Although a 512-bit RSA modulus was first factored in 1999, 512-bit RSA remains surprisingly common in practice across many cryptographic protocols. Popular understanding of the difficulty of 512-bit factorization does not seem to have kept pace with developments in computing power.  In this paper, we optimize the CADO-NFS and Msieve implementations of the number field sieve for use on the Amazon Elastic Compute Cloud platform, allowing a non-expert to factor 512-bit RSA public keys in under four hours for $75.  We go on to survey the RSA key sizes used in popular protocols, finding hundreds or thousands of deployed 512-bit RSA keys in DNSSEC, HTTPS, IMAP, POP3, SMTP, DKIM, SSH, and PGP.</div></div><div dir="ltr"></div></div></div>