Gitter-basierte Kryptographie ist benannt nach dem mathematischen Objekt eines Gitters, über dem verschiedene interessante Probleme definiert werden können. Das bekannteste ist das sogenannte "shortest vector problem" (SVP), das nach dem kürzesten Vektor in einem gegebenen Gitter fragt. Das besondere an diesem Problem ist, dass trotz intensiver Forschung kein Algorithmus bekannt ist, der das Problem effizient löst. Noch viel mehr ist auch kein Quanten-Algorithmus bekannt, der das Problem deutlich schneller löst, was im Kontrast zu den in der Kryptographie typischerweise genutzten Problemen des Faktorisierens und des diskreten Logarithmus steht, die von Shors Algorithmus in polynomieller Zeit gelöst werden. Somit stellen Gitterprobleme eine Möglichkeit, post-quantum-sichere Kryptographie zu entwickeln.

Typischerweise wird bei der Konstruktion von gitterbasierten Verfahren jedoch nicht SVP benutzt. Stattdessen verwendet man Probleme wie "short integer solution" (SIS) oder "learning with errors" (LWE) oder ihre effizienteren Verwandten RSIS und RLWE, welche ihre Sicherheit nur auf einer mehr strukturierten Klasse von Gittern basiert.

Neben der post-quantum Sicherheit von Gitterproblemen existiert noch ein weiterer Vorteil. Gitter ermöglichen die Konstruktion von sogenannter "fully homomorphic encryption" (FHE). Hierbei ist es möglich, sensible Daten zu verschlüsseln, um dann auf den Daten rechnen zu können, ohne die Daten kennen zu müssen, also während die Daten verschlüsselt bleiben. Als Beispiel ist es einem Krankenhaus möglich, verschlüsselte Krankendaten einem externen Dienstleister zu geben, sodass dieser Statistiken über die Krankendaten berechnen kann, ohne irgendeine Information über den Inhalt der Krankendaten zu bekommen.

Zu FHE mit seinen Verschlüsselungen existiert das Equivalent für Signaturen, also homomorphe Signaturen. Mit ihnen kann man Daten signieren, um dann parallel zu einem Ergebnis über die Daten eine Signatur für das Ergebnis zu berechnen, ohne den geheimen Schlüssel zu kennen. Dies ermöglicht Ideen wie "verifiable computation", bei der man zum Beispiel Daten signiert an einen externen Dienstleister gibt, der wie bei FHE Statistiken über die Daten berechnet. Statt aber die Geheimhaltung der Daten zu schützen, kann der Dienstleister eine Signatur ohne den geheimen Schlüssel für das Ergebnis berechnen, sodass man danach verifizieren kann, dass das Ergebnis der Statistik korrekt berechnet wurde.

Eine Forschungsrichtung von uns ist es, homomorphe Signaturen weiterzuentwickeln. Hier schauen wir uns zum Beispiel an, wie man sogenanntes "context-hiding" verbessern kann, was erlaubt, anhand einer Signatur eines Ergebnisses nicht erkennen zu können, welche Signaturen zur Erstellung der Ergebnissignatur beigetragen haben. Eine andere Eigenschaft von homomorphen Signaturen, die wir versuchen zu verbessern, ist die Aggregierbarkeit. Hier versucht man, Signaturen aus mehreren Quellen zu einer Signatur zusammenzufassen, die dann insgesamt kürzer ist.

Ein Forschungsschwerpunkt von uns liegt in der gitterbasierten Privatheit-wahrenden Kryptographie. Das Ziel hier ist es, Benutzern Kontrolle über ihre eigenen Daten zu geben, um so zum Beispiel deren Anonymität zu schützen. Ein klassisches Beispiel in diesem Bereich sind Gruppensignaturen. Hier gibt es eine Gruppe, zum Beispiel die Mitarbeiter einer Firma, die alle berechtigt sind, eine Signatur im Namen der Gruppe zu erstellen, also zum Beispiel einen Vertrag zu unterschreiben. Jedoch soll man nicht unterscheiden können, wer aus der Gruppe einen Vertrag unterschrieben hat, um so zu verhindern, dass Informationen über die Nutzer gelernt werden kann, zum Beispiel wer sich in der Firma um welche Verträge kümmert.

Eine Erweiterung dieser Idee sind anonyme Reputationssysteme. Diese bilden das Privatheit-wahrende Gegenstück zu Kundenbewertungen in Online-Portalen. Während momentan klar zu sehen ist, welcher Kunde welchen Händler wie bewertet hat, kann man mit anonymen Reputationssystemen dafür sorgen, das die Autorschaft über Rezensionen verborgen bleibt. So verhindert man zum Beispiel, dass ein Händler einen Kunden für eine schlechte Bewertung bestraft. Gleichzeitig kann man mit anonymen Reputationssystemen aber auch sicherstellen, dass nur Kunden einen Händler bewerten können, die dazu die Berechtigung erhalten haben. Weiterhin ist es erkennbar, wenn ein Kunde einen Händler zweimal bewertet hat, weil dieser zum Beispiel seine Bewertung aktualisiert hat.

Weitere Beispiele aus dem Bereich der Privatheit-wahrenden Kryptographie sind Anonymous Credential Systems und Incentive Systems.