<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote">We continue to have weekly busec talks. This week, Daniel Apon from UMD will talk about deniable attribute-based encryption.  The following week, Luke Valenta from UPenn will talk about factoring 512-bit RSA keys. And the week after that, George Bissias from UMass Amherst will talk about Bitcoin security. <br><div><br></div><div>All talks on Wednesdays at 10am with lunch to follow. See you there!</div><div><br></div><div dir="ltr">Sharon<br><br>BUsec Calendar:  <a href="http://www.bu.edu/cs/busec/" target="_blank">http://www.bu.edu/cs/busec/</a><br>The busec seminar gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS). <br><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr">******<br></div><div dir="ltr">Deniable Attribute Based Encryption for Branching Programs from LWE<br></div><div>Speaker: Daniel Apon (UMD)</div><div>Wednesday October 26, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><div><br></div><div dir="ltr"><div dir="ltr">Deniable encryption (Canetti et al. CRYPTO &#39;97) is an intriguing</div><div dir="ltr">primitive that provides a security guarantee against not only</div><div dir="ltr">eavesdropping attacks as required by semantic security, but also stronger</div><div dir="ltr">coercion attacks performed after the fact. The concept of deniability has</div><div dir="ltr">later demonstrated useful and powerful in many other contexts, such as</div><div dir="ltr">leakage resilience, adaptive security of protocols, and security against</div><div dir="ltr">selective opening attacks. Despite its conceptual usefulness, our</div><div dir="ltr">understanding of how to construct deniable primitives under standard</div><div dir="ltr">assumptions is restricted.</div><div dir="ltr"><br></div><div dir="ltr">In particular from standard lattice assumptions, i.e. Learning with Errors (LWE),</div><div dir="ltr">we have only flexibly and non-negligible advantage deniable</div><div dir="ltr">public-key encryption schemes, whereas with the much stronger assumption</div><div dir="ltr">of indistinguishable obfuscation, we can obtain at least fully sender-</div><div dir="ltr">deniable PKE and computation. How to achieve deniability for other</div><div dir="ltr">more advanced encryption schemes under standard assumptions remains</div><div dir="ltr">an interesting open question.</div><div dir="ltr"><br></div><div dir="ltr">In this work, we construct a flexibly bi-deniable Attribute-Based</div><div dir="ltr">Encryption (ABE) scheme for all polynomial-size Branching Programs from</div><div dir="ltr">LWE. Our techniques involve new ways of manipulating Gaussian noise</div><div dir="ltr">that may be of independent interest, and lead to a significantly sharper</div><div dir="ltr">analysis of noise growth in Dual Regev type encryption schemes.We hope</div><div dir="ltr">these ideas give insight into achieving deniability and related properties</div><div dir="ltr">for further, advanced cryptographic systems from lattice assumptions.</div><div dir="ltr"><br></div><div dir="ltr">Joint work with Xiong Fan (Cornell) and Feng-Hao Liu (Florida Atlantic).</div></div></div></div></div></div></div></div></div>
</div>
</div><br>*****<br>
<div><br></div><div><div dir="ltr">Factoring As A Service<br></div><div>Speaker: Luke Valenta (UPenn)</div><div>Wednesday Nov 2, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><div><br></div><div><div><br></div><div>The difficulty of integer factorization is fundamental to modern cryptographic security using RSA encryption and signatures.  Although a 512-bit RSA modulus was first factored in 1999, 512-bit RSA remains surprisingly common in practice across many cryptographic protocols. Popular understanding of the difficulty of 512-bit factorization does not seem to have kept pace with developments in computing power.  In this paper, we optimize the CADO-NFS and Msieve implementations of the number field sieve for use on the Amazon Elastic Compute Cloud platform, allowing a non-expert to factor 512-bit RSA public keys in under four hours for $75.  We go on to survey the RSA key sizes used in popular protocols, finding hundreds or thousands of deployed 512-bit RSA keys in DNSSEC, HTTPS, IMAP, POP3, SMTP, DKIM, SSH, and PGP.</div></div><div dir="ltr"></div></div></div>
</div><br>*******<br>Double-Spend Attack Analysis and an Improved Network Architecture for Bitcoin<br>George Bissias. (UMass) <br><div>Wednesday Nov 9, 10am</div><div>Hariri Institute (111 Cummington St, Boston MA 02215)</div><br>We contribute two complementary analyses to increase Bitcoin’s security, efficiency, and transparency. First, we present a novel economic evaluation of the double-spend attack with and without a contemporaneous eclipse attack. We derive and validate a mathematical model focused on the value of transactions that can be secured. Our model quantifies the importance of each factor that determines the attack’s success. Our model also quantifies the threat posed by eclipse-based double-spend attacks.<br><br>Second, we design and evaluate a replacement for Bitcoin’s inefficient, opaque network architecture comprised of a high-degree, random graph of peers. In our approach, called Canary, peers submit transactions directly to miners, who announce new blocks and transactions via self-managed, one-way trees of peers. Canary uses byte-efficient status report messages that, like canaries in a coal mine, allow peers to detect both malicious miners and eclipse attacks almost immediately. Canary’s structured topology reduces total overhead traffic significantly, e.g., to about 30% of the cost of the current topology.<br><br></div>