（stable），如果离它最近的 checkpoint 以及它的 starting message 之间，所有的接收到的消息都已经完成了 logging。容易看出，进程 crash 之后 recover，加载最近的检查点，然后可以根据接收日志，重构这个稳定的状态区间。悲观的消息日志：接收到的消息，在被进程执行（processing）之前，首先保存（saving）到日志里。是一个生成树，且除了 ro

各类商业产品采取了不同等级的防护，基本上就是：基于 TCB 的访问控制、上述三种技术的各类变体：Split Counter Tree (SCT), Bonsai Merkle Tree (MT), TCB-managed Page Tables (PTs), Tagged Memory, Logs Hashes, MACs in ECC bits 等等。大体上来说，将多个 CTR 组装成一个 “计

使用 google-perftools 分析该实现，可以发现在整个密钥传输过程中，KEM.Dec 占据了 72% 的总时间，而其中的 Decode 就占据了 67% 的总时间。

国科大《机器学习》内容# 机器学习流程1. 数据的采集和预处理2. 模型选择：选择一组带参数的 **models**，以及对应的 **error function**3. 利用 **Learning Algorithm**，寻找最小化 error function 的一个模型与对应的参数4. 应用学到的模型

Fiat-Shamir 范式：令 Π\PiΠ 是一个 Sigma 协议（333-round public-coin ZK proof/argument），证明者和验证者交互的副本形如 (a,e,z)(a,e,z)(a,e,z)，其中 aaa 是承诺，eee 是公开掷币的一系列挑战（使得 soundness error 可忽略），zzz 是对这些挑战的回应，证明者将证据 www 作为私钥。我们用 H

DFT离散傅里叶变换和相应的逆变换为：Xk=∑l=0n−1xlwnkl,  k=0,1,⋯ ,n−1xl=1n∑k=0n−1Xkwn−kl,  l=0,1,⋯ ,n−1\begin{aligned}X_k = \sum_{l=0}^{n-1} x_l w_n^{kl},\,\,k=0,1,\cdots,n-1 \\x_l = \dfrac{1}{n} \sum_{k=0}^{n-1} X_k w_

群签名方案是算法组ΠGS=(Gen,Sign,Ver,Open)ΠGS​=(Gen,Sign,Ver,Open)，Gen(1λ,n)Gen(1λ,n)：密钥生成算法，nnn为群成员数，输出gvkgvkgvk：群公钥，用于验签gmskgmskgmsk：主私钥，由管理员持有，用于追踪成员身份gsk=(gsk[1],⋯,g。

LDPCLDPC码：低密度奇偶校验码（Low Density Parity Check Code），最初由Gallager提出，后被其他人重新发现。LDPC码可以从稀疏二部图（sparse bipartite graphs）G=({M,C},E)\mathbb G = (\{\mathbb M,\mathbb C\},\mathbb E)G=({M,C},E)中得到：图的一边的nnn个点叫做消息点

如果给定一个长度为 $N$ 的序列片段 $\textbf{a} = a_1a_2 \cdots a_N \in \mathbb F^N$，已知它是由线性递归关系生成的。如何计算出生成它的最短的 LFSR ？我们使用联接多项式 $f$ 以及阶数 $l$ 来描述 LFSR。我们将 $(f_N,l_N)$ 称作 $\textbf{a}$ 的**线性综合解**，如果 $f_N$ 对应的 $l_N$ 级 L

成为了唯一进入 NIST PQC 第 3 轮的 KEM 方案（一共 4 个方案，另外 3 个都是签名，其中 2 个也基于 MLWE，另外 1 个基于 Hash）。在 CPA PKE 中，公钥的第二分量包含中心二项分布噪声和舍入噪声，在压缩时简单丢弃了低位比特，因此可以近似地认为舍入噪声是均匀的。为解密时的累积噪声规模。使用 MLWE 的一个优势是：改变安全级别时，的思路，通过压缩密钥和密文来减小规