[Stillingsutlysning](https://www.jobbnorge.no/en/available-jobs/job/262978/associate-professor-in-cybersecurity)
Søknadsfrist [[12024-06-26]].
### Søknadstekst
Jeg søker herved stillingen som førsteamanuensis i datasikkerhet ved Universitetet i Bergen.
Jeg er trygg på at forskningserfaringen min i kryptografi, samt den mangeårige
undervisningserfaringen både i og utenfor akademia, gjør meg til en attraktiv kandidat.
Jeg er for tiden ansatt som postdoc hos Institutt for Matematiske Fag ved NTNU, hvor
jeg forsker på bevisbar sikkerhet for kvantesikre kryptosystemer. Før dette var jeg
fysikkstudent ved Universitetet i Bergen, hvor jeg fullførte en mastergrad i teoretisk
partikkelfysikk med toppkarakterer i både emner og avhandling. Deretter tok jeg en U-sving
inn i datavitenskap – et fagfelt som alltid har fascinert meg – og mer spesifikt kryptografi,
under veiledning av Martijn Stam ved Simula UiB. Her oppdaget jeg min forkjærlighet for
kvantedatamaskiner, ikke minst gitt deres posisjon i snittet av mine faglige lidenskaper,
kvantefysikk og datavitenskap, og deres uventede konsekvenser for sikkerhet.
Jeg ble tildelt doktorgrad av Universitetet i Bergen i desember i fjor, for avhandlingen
"Cryptology in the Crowd". Denne fokuserer på hvordan sikkerhetsmodeller for offentlig-
nøkkel kryptografi kan komme nærmere å modellere virkeligheten, og konsekvensene dette
har for modellens styrke, og artiklene den huser har blitt publisert på toppkonferanser innen
kryptologi som PKC. I mitt postdocarbeid har jeg fokusert på hvordan trusselen fra
kvantedatamaskiner påvirker sikkerhetsbeviser når hashfunksjoner modelleres som tilfeldige
orakler. Gitt min bakgrunn i teoretisk fysikk, finner jeg det både naturlig og spennende å
etterfølge spørsmål innen bevisbar sikkerhet som involverer _mer_ kvantefysikk, der mange
kryptografer gjerne foretrekker _mindre_, og jeg har flere pågående forskningsprosjekter med
ledende forskere i fagfeltet. Jeg er derfor trygg på at min interdisiplinære bakgrunn vil godt
komplementere instituttets eksisterende ekspertise innen kvantesikker kryptografi.
Ved siden av forskningen, har NTNU tillatt meg å gjenoppdage en forkjærlighet for
undervisning gjennom å først forelese, og deretter også å være fagkoordinator for, TMA4140
Diskret Matematikk, som med rundt 550 semester hver høst er ett av de store
introduksjonskursene for førsteårsstudenter ved NTNU. Ved siden av logikk, tallteori,
grafteori, og grunnleggende datavitenskap, huser faget også en detaljert gjennomgang av
algoritmene for RSA-kryptering og Diffie-Hellman-nøkkelutveksling, samt standardangrep mot
de underliggende sikkerhetsantakelsene. Jeg kommer også til å holde gjesteforelesninger i høst
om hvordan kvantedatamaskiner påvirker datasikkerhet i fagene TTM4205 Sikre
kryptografiske implementasjoner og TFY4355 - Kvanteinformasjon og -beregninger.
Jeg er lidenskapelig opptatt av faget mitt, og dette er en lidenskap jeg ønsker å dele
med omverdenen. Jeg har derfor deltatt aktivt i frivillige formidlingsaktiviteter i flere år, først
ved Arendalsuka 2022, hvor jeg sammen med kolleger fra Simula UiB holdt et
populærvitenskapelig foredrag om kvantedatamaskiner, og senere Hyferfestivalen, hvor jeg
presenterte konseptet kvante_musikk_, Researcher's Night, hvor jeg diskuterte
kvantedatamaskiner med nysgjerrige elever, samt Eurocrypts Rump Session, hvor jeg
introduserte publikum for en kvantefysisk variant av spillet Tre-På-Rad. Jeg har også blitt
intervjuet på NRK P2 om den såkalte Kvanteapokalypsen, og publisert i en blogg om når
kvantedatamaskinene kan forventes å komme. Disse aktivitetene kommer til å fortsette med
foredrag på Sikkerhetsfestivalen, årets utgave av Researcher's Night, arrangementer som Pint
of Science, og forhåpentligvis ytterligere medieopptredener, bloggposter og podcaster.
Bergen er min hjemby, og jeg har alltid visst at hvor enn karrieren tar meg i
mellomtiden, så er det her jeg vil ende opp. Jeg ville vært beæret av muligheten til å samtidig
bli en del av Selmersenteret, og slik bidra til å videreføre Ernst Selmers arv til Norge og
Bergen, ved å inspirere studenter i Bergen til å få øynene opp for de mange dype spørsmålene
som skjuler seg i snittet mellom matematikk, fysikk, og sikkerhet.
##### FORSKNING
Siden starten av doktorgradsstudiene mine har forskningen min vært fokusert på bevisbar
sikkerhet for asymmetrisk kryptografi, som offentlig-nøkkel kryptering og digitale signaturer,
og i nyere tid har fokuset spisset seg til bevisbar sikkerhet mot kvantedatamaskiner.
Offentlig-nøkkel kryptering tillater to parter sikker kommunikasjon, uten at de trenger
å bli enige om en hemmelighet i forkant. At dette i det hele tatt er mulig var i seg selv
overraskende, og før offentlig-nøkkel kryptering på syttitallet ble konseptualisert [DH76], og
kort tid etter konstruert [RSA78], var sikker kommunikasjon uten en delt hemmelighet regnet
som "selvinnlysende umulig" [Levy99].
Det er et velkjent faktum at hvis du kan faktorisere store tall, så kan du knekke RSAs
sikkerhet. Men er faktorisering _nødvendig_ for å knekke RSA, eller bare _tilstrekkelig_? Det er
denne type spørsmål bevisbar sikkerhet søker å besvare. Dette gjøres ved å gi en definisjon av
hva det vil si å "knekke" sikkerheten til et system, for eksempel at man kan avgjøre hvilken av
to valgte meldinger en gitt chiffertekst inneholder. Dette formaliseres dermed til et spill, og vi
sier at kryptosystemet er knukket dersom det eksisterer en effektiv strategi for å vinne spillet
med sannsynlighet vesentlig høyere enn gjetning. Slike vinnerstrategier, antatt at de eksisterer,
reduseres så til en effektiv strategi for å løse den antatt vanskelige oppgaven som underligger
systemet, for eksempel faktorisering. Under antagelsen at faktorisering er vanskelig, kan det
da ikke eksistere en effektiv vinnerstrategi i spillet, og vi kan konkludere med at
kryptosystemet er sikkert under den gitte antagelsen.
Innholdet i denne konklusjonen avhenger tungt av hvordan sikkerhetsdefinisjonen,
altså _spillet,_ ser ut, og litteraturen huser mange alternativer. For eksempel kan vi bringe
definisjonen nærmere virkeligheten ved å gi kryptosystemet flere brukere. Kanskje noen
brukere også lar seg korrumpere av motstanderen, som slik lærer den hemmelige nøkkelen
deres. Vil de resterende brukerne forbli sikre? Man forventer at svaret er ja, men å _bevise_
denne intuisjonen har bydd på overraskende utfordringer.
For det første må man bli enige om en sikkerhetsdefinisjon, og allerede her oppstår
flere valg. Vårt første arbeid, _Tightness Subtleties for Multi-User PKE Notions_ [HS21], utforsket
rommet av muligheter når man skal gi en sikkerhetsdefinisjon med flere brukere og adaptiv
korrumpering. Vi viste at noen definisjoner er tett ekvivalente uten korrumpering, dog de
skiller seg i styrke når korrumpering inkluderes. Vi konkluderte ved å gi en
sikkerhetsdefinisjon som generaliserte samtlige øvrige valg, og oppfordret til å benytte denne
når målet er sikkerhet for flere brukere under adaptiv korrumpering.
I vårt andre arbeid, _Multi-Instance Secure Public-Key Encryption_ [BHS23], tok vi videre
innsikten fra det første arbeidet til et sett nært beslektede sikkerhetsdefinisjoner, hvor vi ikke
lenger ønsker å modellere at én brukers sikkerhet knekkes, men mange _på én gang_. Man ser for
seg en statsaktør med nok maskinkraft til å true sikkerheten til en hvilken som helst bruker.
Spørsmålet skifter da til, gitt nok maskinkraft til å knekke sikkerheten til én bruker, _hvor mange_
brukere kan aktøren knekke sikkerheten til? Dette spørsmålet lar seg ikke fange av
tradisjonelle sikkerhetsmodeller, og dog man håper at svaret er "én bruker", har tidligerearbeid vist at det eksisterer systemer hvor slik beregningskraft er tilstrekkelig til å knekke _alle_
brukernes sikkerhet, ved å fokusere beregningene på systemets delte parametre) [AGK20].
Masseovervåking blir dermed trivielt. Vi observerte at den velkjente teknikken for å konstruere
et hybrid offentlig-nøkkel kryptosystem, fra et symmetrisk kryptosystem og en såkalt _Key_
_Encapsulation Mechanism_ (KEM), bryter sammen i disse sikkerhetsmodellene. Vi tettet dette
gapet ved å gi flere alternative konstruksjoner for hybride kryptosystemer trygge mot
masseovervåking, gitt at den underliggende KEM-en er sikker under tilsvarende
sikkerhetsmodeller. Vi konkluderte så med et bevis for hvordan en slik KEM kan konstrueres
fra en variant av Diffie-Hellmann-antagelsen (Multi-Instance GapCDH med korrumpering).
Vårt tredje arbeid, _SoK: Public Key Encryption with Openings_ [BHS24], fortsatte der det
første arbeidet slapp, men utvidet horisontene til å også se på sikkerhetsmodeller kjent under
navnene _Selective Opening Attacks_ (SOA) og _Non-Committing Encryption_ (NCE). Disse arbeidene
har også som mål å modellere brukstilfeller med flere brukere, hvor noen brukere blir adaptivt
korrumpert av motstanderen, men tross felles motivasjon kontrasterer de betraktelig i styrke i
forhold til tradisjonelle multi-bruker definisjoner, og det er ikke lenger noen garanti for at
sikkerhet under én definisjon impliserer sikkerhet under en annen. Gitt denne situasjonen
oppstår det naturlig flere spørsmål: _Hvorfor_ er det så sterk kontrast i styrke fra definisjon til
definisjon? Og _hvilken_ metode for modellering av sikkerhet under flere bruke og adaptiv
korrumpering er _den rette_? Vi systematiserte de forskjellige fremgangsmetodene ved å
observere at hver sikkerhetsmodell faller inn under én av fire _filosofier_ for sikkerhet, og viste
hvordan eksisterende relasjoner plasserer hver filosofi i et veldefinert hierarki. Med dette
hierarkiet i hånd tok vi deretter fatt på spørsmålene på ny, og ga nye anbefalinger for rollene
hver sikkerhetsmodell kan og bør spille i den bredere konteksten av bevisbar sikkerhet.
Disse tre artiklene ble samlet i avhandlingen _Cryptology in the Crowd_, som også
inkluderer en ekstensiv presentasjon av den fascinerende historien bak asymmetrisk
kryptografi og bevisbar sikkerhet, og avhandlingen ble suksessfullt forsvart 8. desember 2023.
Siden den gang har fokuset mitt vært på utvidelser til kvantesikker kryptografi: Flere
av avhandlingens sikkerhetsbevis belager seg på å modellere hashfunksjoner som tilfeldige
orakler, men gitt at en hashfunksjon er en offentlig algoritme, og gitt at kvantedatamaskiner
kan kjøre en hvilken som helst klassisk algoritme i en superposisjon over flere mulige inputs,
må den såkalte tilfeldig-orakel-modellen (_Random Oracle Model_, eller _ROM_) oppdateres til å
også tillate beregninger i superposisjon (_Quantum Random Oracle Model_, eller _QROM_).
Sikkerhetsbevis gitt i ROM holder ikke uten videre i QROM, og nye teknikker er ofte nødvendig
for å løfte et gitt sikkerhetsbevis fra ROM til QROM.
Jeg er for øyeblikket involvert i fem forskningsprosjekter. Det første, med Tjerand
Silde, konstruerer verdens første bevisbart kvantesikre elektroniske valgsystem, ved å gi et
sikkerhetsbevis av SHUFFLE-protokollen som holder også i QROM. Det andre, med Christian
Majenz, viser hvordan kvantesikker _Non-Committing Encryption_ (NCE)—det høyeste
sikkerhetsmålet inkludert i avhandlingen—kan oppnås i QROM. Det tredje, med Christian
Majenz og Joseph Jaeger, ser på en generalisering av NCE introdusert av Jaeger ved Eurocrypt i
fjor [Jae23], hvor det tilfeldige orakelet bakes inn i selve sikkerhetsdefinisjonen, og stiller seg
spørsmålet hvordan denne definisjonen må oppdateres for å være konsekvent med QROM. Det
fjerde, med Dennis Hofheinz, tar sikte på å vise at det er et _gap_ i hierarkiet av
sikkerhetsmodeller presentert i avhandlingen (spesifikt at _Simulation SOA_ ikke impliserer
_Indistinguishability SOA_ under _Chosen Ciphertext Attacks_, imot all forventning). Det femte, med
Yevgeniy Dodis, tar sikte på å gi konkrete skranker for pseudotilfeldige generatorer konstruert
fra en variant av tilfeldige orakler når de modelleres til å inkludere mer realistiske antagelser,som at den entropiske kilden ikke er uavhengig av beregningen av hashfunksjonen—igjen gitt
at kvantedatamaskiner også vil ha tilgang på algoritmen.
Jeg har også bidratt som subreviewer for konferansene Eurocrypt 2024 og IEEE
GLOBECOM 2024, og er i skrivende stund subreviewer for TCC 2024 og ISC 2024.
Målet mitt for de kommende årene er å fortsette å utforske bevisbar sikkerhet i
QROM. Mer spesifikt er jeg interessert i hvordan man kan oppnå tettere skranker, gitt at
sikkerhetsbevis i QROM ofte kommer med større sikkerhetstap enn det tilsvarende beviset i
ROM (uten at man nødvendigvis kjenner noe kvanteangrep som utnytter dette gapet).
Gitt den økende relevansen av kunstig intelligens i samfunnet, har jeg også stilt meg
spørsmålet om hvordan min ekspertise innen kryptografi kan bidra til sikkerhet i den
kommende KI-revolusjonen. Én interessant retning er å utforske bevisbar sikkerhet for
vannmerking av KI-genererte data, spesifikt hvilke sikkerhetsmodeller som kreves og i hvilken
grad disse lar seg oppnå fra kjente primitiver. En annen retning, inspirert av Leopold
Aschenbrenners _Situational Awareness_ [Asc24], er hvordan kryptografi kan benyttes til å
hindre tyveri av modellvektene, noe som vil bli mer og mer relevant etter hvert som KI-
modellene blir mer og mer verdifulle, militært så vel som kommersielt. Her viser mer
esoteriske primitiver som _Functional Encryption_ seg som naturlige kandidater, og spørsmålet
blir hvorvidt man kan gi en konstruksjon som er effektiv nok til at KI-bedrifter ville vært villig
til å betale et effektivitetstap i bytte mot økt sikkerhet. Mer spekulativt, dersom man ønsker å
sikre modellvektene fra å i det hele tatt kunne kopieres (for eksempel hvis trusselaktøren er KI-
modellen selv, i et scenario hvor den har utviklet en uønsket strategi om å spre seg selv online)
vil det være interessant å se om kvantefysiske primitiver som _Uncloneable Encryption_ kan bidra
til sikkerhetsløsninger som ville vært klassisk umulige.
På et mer filosofisk plan er jeg overbevist om at møtet mellom teoretisk fysikk og
datavitenskap representert av kvanteinformasjon og -teknologi bare er starten på en svært
fruktbar utveksling som vil bringe sterk fremgang til begge fagfelt—og dette er en utvikling jeg
føler meg sterkt motivert til, og unikt skikket til, å bidra til.
##### UNDERVISNING
Jeg har mer enn femten års undervisningserfaring på tvers av aldersgrupper, fra jeg begynte å
undervise barn og ungdommer i kampsport som sekstenåring (NTN Taekwon-do), via roller
som undervisningsassistent og kræsjkursholder ved Universitetet i Bergen, privatistkursholder
i matematikk ved Metis Privatistskole, mattelærer på videregående skole, *filmproduksjons*lærer
på barneskoler via Den Kulturelle Skolesekken, og nå som foreleser og emneansvarlig i
matematisk grunnkurs ved NTNU. (Se CV for en detaljert oversikt.)
Disse erfaringene har til sammen gjort meg til formidleren jeg er i dag, og har gitt meg
selvsikkerheten til å dele min egen forståelse og intuisjon for fagstoffet, heller enn å lene meg
for tungt på eksisterende fagstoff. Min tro er at ved å dele min egen intuisjon, og dermed gi
studentene et perspektiv som _supplementerer_ fagbøkene, gir jeg dem anledning til å skreddersy
sin egen intuisjon ved å hente forståelse fra flere kilder med hver sine perspektiver. For å
fasilitere dette oppfordrer jeg til interaktive forelesninger, og jeg gjør det alltid tydelig at jeg
_ønsker_ å bli avbrutt med spørsmål når jeg foreleser. Jeg benytter en blanding av
undervisningsteknikker i mine fag, inkludert klassisk tavleforelesning, håndtegnede slides,
ukentlige quizzer, og orakeltimer. Tilbakemeldinger fra studenter tas alltid på alvor, og
opplegget videreutvikles fra år til år basert blant annet på referansegruppenes rapport.
Jeg er for tiden ansvarlig for avviklingen av TMA4140 Diskret Matematikk, ett av NTNUs grunnkurs i matematikk, med rundt 550 påmeldte studenter hver høst. Av spesiell
interesse her inkluderer dette faget forelesninger i grunnleggende tallteori og kryptografi,
inkludert RSA og Diffie-Hellman-nøkkelutveksling. Jeg har allerede forelest kurset én gang i fjor
høst, da med Professor Aslak Buan som emnekoordinator, og til høsten vil jeg gjenta
suksessen, denne gangen selv som emnekoordinator. Jeg foreleste også denne våren en
fagmodul for Diskret Matematikk, IMAT2024. Utover dette vil jeg til høsten holde
gjesteforelesninger om kvantedatamaskiner, og hvordan Shors kvantealgoritme truer
kryptografiske algoritmer som RSA og Diffie-Hellman, i fagene TTM4205 Sikre kryptografiske
implementasjoner og TFY4355 - Kvanteinformasjon og -beregninger. Jeg co-veileder samtidig
én masterstudent, og bidrar som mentor for én doktorgradsstudent.
Jeg anser meg selv som skikket til å undervise et hvilket som helst grunnkurs i
matematikk, såvel som kurs i grunnleggende datavitenskap, kompleksitetsteori,
informasjonsteori, kvanteberegninger, og avansert kryptografi. Mindre relevant for denne
stillingen ville jeg også vært trygg på å undervise teoretisk fysikk, både klassisk og moderne.
Gjennom mine år som formidler har jeg stadig mottatt ros fra studenter, ofte via
anonyme undersøkelser og referansegrupper, og mine forelesninger nevnes jevnlig som
høydepunkt i semesteret. Dette har gitt meg motivasjonen til å fortsette å utvikle meg som
formidler, og god undervisning har endt opp med å være ikke bare være noe jeg finner glede i,
men en sann lidenskap.
##### FORMIDLING
Ved siden av undervisning, er jeg interessert i formidlingsaktiviteter for å inspirere unge til å
lære om datavitenskap, sikkerhet, kvantefysikk, og de mange fascinerende koblingene mellom
dem. Dette startet med et populærvitenskapelig foredrag om kvantedatamaskiner ved
Arendalsuka 2022 (i regi av Simula UiB), og har siden inkludert intervju på NRK P2 om
hvordan kvantedatamaskiner truer datasikkerhet, foredrag om kvantemusikk ved
Hyferfestivalen, engasjerende samtaler med unge under Researcher's Night ved NTNU,
bloggpost om kvantedatamaskinenes fremmarsj, samt et kommende foredrag ved
Sikkerhetsfestivalen i september i år.
Jeg har et personlig mål om å utvide disse aktivitetene til flere eventer,
populærvitenskapelige artikler, medieopptredener, podcaster m.m., med ambisjon om å gjøre
dette til en populærvitenskapelig bok om kvantedatamaskiner og sikkerhet for det norske
markedet. Som de som kjenner meg kan attestere, hopper jeg gladelig på enhver anledning til
å dele min forkjærlighet for datavitenskap og kvantefysikk, og de dype koblingene imellom
dem, og for meg kobler dette alltid tilbake til den evige reisen mot å bli en bedre formidler.
##### KILDER
[Asc24] Aschenbrenner, L.: Situational Awareness: The Decade Ahead. Essay originally
published at situational-awareness.ai (June 2024). PDF available at https://situational-
awareness.ai/wp-content/uploads/2024/06/situationalawareness.pdf
[AGK20] Auerbach, B., Giacon, F., Kiltz, E.: Everybody's a target: Scalability in public-key
encryption. In: Canteaut, A., Ishai, Y. (eds.) EUROCRYPT 2020, Part III. LNCS, vol. 12107, pp.
475—506. Springer, Heidelberg (May 2020). https://doi.org/10.1007/978-3-030-45727-3_16
[BHS23] Brunetta, C., Heum, H., Stam, M.: Multi-instance secure public-key encryption. In:
Boldyvera, A., Kolesnikov, V. (eds.) PKC 2023, Part II. LNCS, vol. 13941, pp. 336—367. Springer,
Heidelberg (May 2023). https://doi.org/10.1007/978-3-031-31371-4_12
[BHS24] Brunetta, C., Heum, H., Stam, M.: SoK: Public Key Encryption with Openings. In:
Tang, Q., Teague, V. (eds) Public-Key Cryptography – PKC 2024. Lecture Notes in Computer
Science, vol 14604. Springer, Cham (2024). https://doi.org/10.1007/978-3-031-57728-4_2
[DH76] Diffie, W., Hellman, M.E.: New directions in cryptography. IEEE Transactions on
Information Theory **22**(6), 644—654 (1976). https://doi.org/10.1109/TIT.1976.1055638
[HS21] Heum, H., Stam, M.: Tightness subtleties for multi-user pke notions. In: Paterson, M.B.
(ed.) Cryptography and Coding. pp. 75—104. Springer International Publishing, Cham (2021).
https://doi.org/10.1007/978-3-030-92641-0_5
[Jae23] Jaeger, J.: Let Attackers Program Ideal Models: Modularity and Composability
for Adaptive Compromise. In: Hazay, C., Stam, M. (eds) Advances in Cryptology – EUROCRYPT
2023. Lecture Notes in Computer Science, vol 14006. Springer, Cham (2023). https://doi.org/
10.1007/978-3-031-30620-4_4
[Levy99] Levy, S.: The open secret. Wired (1999), https://www.wired.com/1999/04/crypto/,
accessed: 2024-04-09
[RSA78] Rivest, R.L., Shamir, A., Adleman, L.M.: A method for obtaining digital signatures and
public-key cryptosystems. Communications of the Association for Computing Machinery **21**(2),
120—126 (Feb 1978). https://doi.org/10.1145/359340.359342