[Stillingsutlysning](https://www.jobbnorge.no/en/available-jobs/job/262978/associate-professor-in-cybersecurity) Søknadsfrist [[12024-06-26]]. ### Søknadstekst Jeg søker herved stillingen som førsteamanuensis i datasikkerhet ved Universitetet i Bergen. Jeg er trygg på at forskningserfaringen min i kryptografi, samt den mangeårige undervisningserfaringen både i og utenfor akademia, gjør meg til en attraktiv kandidat. Jeg er for tiden ansatt som postdoc hos Institutt for Matematiske Fag ved NTNU, hvor jeg forsker på bevisbar sikkerhet for kvantesikre kryptosystemer. Før dette var jeg fysikkstudent ved Universitetet i Bergen, hvor jeg fullførte en mastergrad i teoretisk partikkelfysikk med toppkarakterer i både emner og avhandling. Deretter tok jeg en U-sving inn i datavitenskap – et fagfelt som alltid har fascinert meg – og mer spesifikt kryptografi, under veiledning av Martijn Stam ved Simula UiB. Her oppdaget jeg min forkjærlighet for kvantedatamaskiner, ikke minst gitt deres posisjon i snittet av mine faglige lidenskaper, kvantefysikk og datavitenskap, og deres uventede konsekvenser for sikkerhet. Jeg ble tildelt doktorgrad av Universitetet i Bergen i desember i fjor, for avhandlingen "Cryptology in the Crowd". Denne fokuserer på hvordan sikkerhetsmodeller for offentlig- nøkkel kryptografi kan komme nærmere å modellere virkeligheten, og konsekvensene dette har for modellens styrke, og artiklene den huser har blitt publisert på toppkonferanser innen kryptologi som PKC. I mitt postdocarbeid har jeg fokusert på hvordan trusselen fra kvantedatamaskiner påvirker sikkerhetsbeviser når hashfunksjoner modelleres som tilfeldige orakler. Gitt min bakgrunn i teoretisk fysikk, finner jeg det både naturlig og spennende å etterfølge spørsmål innen bevisbar sikkerhet som involverer _mer_ kvantefysikk, der mange kryptografer gjerne foretrekker _mindre_, og jeg har flere pågående forskningsprosjekter med ledende forskere i fagfeltet. Jeg er derfor trygg på at min interdisiplinære bakgrunn vil godt komplementere instituttets eksisterende ekspertise innen kvantesikker kryptografi. Ved siden av forskningen, har NTNU tillatt meg å gjenoppdage en forkjærlighet for undervisning gjennom å først forelese, og deretter også å være fagkoordinator for, TMA4140 Diskret Matematikk, som med rundt 550 semester hver høst er ett av de store introduksjonskursene for førsteårsstudenter ved NTNU. Ved siden av logikk, tallteori, grafteori, og grunnleggende datavitenskap, huser faget også en detaljert gjennomgang av algoritmene for RSA-kryptering og Diffie-Hellman-nøkkelutveksling, samt standardangrep mot de underliggende sikkerhetsantakelsene. Jeg kommer også til å holde gjesteforelesninger i høst om hvordan kvantedatamaskiner påvirker datasikkerhet i fagene TTM4205 Sikre kryptografiske implementasjoner og TFY4355 - Kvanteinformasjon og -beregninger. Jeg er lidenskapelig opptatt av faget mitt, og dette er en lidenskap jeg ønsker å dele med omverdenen. Jeg har derfor deltatt aktivt i frivillige formidlingsaktiviteter i flere år, først ved Arendalsuka 2022, hvor jeg sammen med kolleger fra Simula UiB holdt et populærvitenskapelig foredrag om kvantedatamaskiner, og senere Hyferfestivalen, hvor jeg presenterte konseptet kvante_musikk_, Researcher's Night, hvor jeg diskuterte kvantedatamaskiner med nysgjerrige elever, samt Eurocrypts Rump Session, hvor jeg introduserte publikum for en kvantefysisk variant av spillet Tre-På-Rad. Jeg har også blitt intervjuet på NRK P2 om den såkalte Kvanteapokalypsen, og publisert i en blogg om når kvantedatamaskinene kan forventes å komme. Disse aktivitetene kommer til å fortsette med foredrag på Sikkerhetsfestivalen, årets utgave av Researcher's Night, arrangementer som Pint of Science, og forhåpentligvis ytterligere medieopptredener, bloggposter og podcaster. Bergen er min hjemby, og jeg har alltid visst at hvor enn karrieren tar meg i mellomtiden, så er det her jeg vil ende opp. Jeg ville vært beæret av muligheten til å samtidig bli en del av Selmersenteret, og slik bidra til å videreføre Ernst Selmers arv til Norge og Bergen, ved å inspirere studenter i Bergen til å få øynene opp for de mange dype spørsmålene som skjuler seg i snittet mellom matematikk, fysikk, og sikkerhet. ##### FORSKNING Siden starten av doktorgradsstudiene mine har forskningen min vært fokusert på bevisbar sikkerhet for asymmetrisk kryptografi, som offentlig-nøkkel kryptering og digitale signaturer, og i nyere tid har fokuset spisset seg til bevisbar sikkerhet mot kvantedatamaskiner. Offentlig-nøkkel kryptering tillater to parter sikker kommunikasjon, uten at de trenger å bli enige om en hemmelighet i forkant. At dette i det hele tatt er mulig var i seg selv overraskende, og før offentlig-nøkkel kryptering på syttitallet ble konseptualisert [DH76], og kort tid etter konstruert [RSA78], var sikker kommunikasjon uten en delt hemmelighet regnet som "selvinnlysende umulig" [Levy99]. Det er et velkjent faktum at hvis du kan faktorisere store tall, så kan du knekke RSAs sikkerhet. Men er faktorisering _nødvendig_ for å knekke RSA, eller bare _tilstrekkelig_? Det er denne type spørsmål bevisbar sikkerhet søker å besvare. Dette gjøres ved å gi en definisjon av hva det vil si å "knekke" sikkerheten til et system, for eksempel at man kan avgjøre hvilken av to valgte meldinger en gitt chiffertekst inneholder. Dette formaliseres dermed til et spill, og vi sier at kryptosystemet er knukket dersom det eksisterer en effektiv strategi for å vinne spillet med sannsynlighet vesentlig høyere enn gjetning. Slike vinnerstrategier, antatt at de eksisterer, reduseres så til en effektiv strategi for å løse den antatt vanskelige oppgaven som underligger systemet, for eksempel faktorisering. Under antagelsen at faktorisering er vanskelig, kan det da ikke eksistere en effektiv vinnerstrategi i spillet, og vi kan konkludere med at kryptosystemet er sikkert under den gitte antagelsen. Innholdet i denne konklusjonen avhenger tungt av hvordan sikkerhetsdefinisjonen, altså _spillet,_ ser ut, og litteraturen huser mange alternativer. For eksempel kan vi bringe definisjonen nærmere virkeligheten ved å gi kryptosystemet flere brukere. Kanskje noen brukere også lar seg korrumpere av motstanderen, som slik lærer den hemmelige nøkkelen deres. Vil de resterende brukerne forbli sikre? Man forventer at svaret er ja, men å _bevise_ denne intuisjonen har bydd på overraskende utfordringer. For det første må man bli enige om en sikkerhetsdefinisjon, og allerede her oppstår flere valg. Vårt første arbeid, _Tightness Subtleties for Multi-User PKE Notions_ [HS21], utforsket rommet av muligheter når man skal gi en sikkerhetsdefinisjon med flere brukere og adaptiv korrumpering. Vi viste at noen definisjoner er tett ekvivalente uten korrumpering, dog de skiller seg i styrke når korrumpering inkluderes. Vi konkluderte ved å gi en sikkerhetsdefinisjon som generaliserte samtlige øvrige valg, og oppfordret til å benytte denne når målet er sikkerhet for flere brukere under adaptiv korrumpering. I vårt andre arbeid, _Multi-Instance Secure Public-Key Encryption_ [BHS23], tok vi videre innsikten fra det første arbeidet til et sett nært beslektede sikkerhetsdefinisjoner, hvor vi ikke lenger ønsker å modellere at én brukers sikkerhet knekkes, men mange _på én gang_. Man ser for seg en statsaktør med nok maskinkraft til å true sikkerheten til en hvilken som helst bruker. Spørsmålet skifter da til, gitt nok maskinkraft til å knekke sikkerheten til én bruker, _hvor mange_ brukere kan aktøren knekke sikkerheten til? Dette spørsmålet lar seg ikke fange av tradisjonelle sikkerhetsmodeller, og dog man håper at svaret er "én bruker", har tidligerearbeid vist at det eksisterer systemer hvor slik beregningskraft er tilstrekkelig til å knekke _alle_ brukernes sikkerhet, ved å fokusere beregningene på systemets delte parametre) [AGK20]. Masseovervåking blir dermed trivielt. Vi observerte at den velkjente teknikken for å konstruere et hybrid offentlig-nøkkel kryptosystem, fra et symmetrisk kryptosystem og en såkalt _Key_ _Encapsulation Mechanism_ (KEM), bryter sammen i disse sikkerhetsmodellene. Vi tettet dette gapet ved å gi flere alternative konstruksjoner for hybride kryptosystemer trygge mot masseovervåking, gitt at den underliggende KEM-en er sikker under tilsvarende sikkerhetsmodeller. Vi konkluderte så med et bevis for hvordan en slik KEM kan konstrueres fra en variant av Diffie-Hellmann-antagelsen (Multi-Instance GapCDH med korrumpering). Vårt tredje arbeid, _SoK: Public Key Encryption with Openings_ [BHS24], fortsatte der det første arbeidet slapp, men utvidet horisontene til å også se på sikkerhetsmodeller kjent under navnene _Selective Opening Attacks_ (SOA) og _Non-Committing Encryption_ (NCE). Disse arbeidene har også som mål å modellere brukstilfeller med flere brukere, hvor noen brukere blir adaptivt korrumpert av motstanderen, men tross felles motivasjon kontrasterer de betraktelig i styrke i forhold til tradisjonelle multi-bruker definisjoner, og det er ikke lenger noen garanti for at sikkerhet under én definisjon impliserer sikkerhet under en annen. Gitt denne situasjonen oppstår det naturlig flere spørsmål: _Hvorfor_ er det så sterk kontrast i styrke fra definisjon til definisjon? Og _hvilken_ metode for modellering av sikkerhet under flere bruke og adaptiv korrumpering er _den rette_? Vi systematiserte de forskjellige fremgangsmetodene ved å observere at hver sikkerhetsmodell faller inn under én av fire _filosofier_ for sikkerhet, og viste hvordan eksisterende relasjoner plasserer hver filosofi i et veldefinert hierarki. Med dette hierarkiet i hånd tok vi deretter fatt på spørsmålene på ny, og ga nye anbefalinger for rollene hver sikkerhetsmodell kan og bør spille i den bredere konteksten av bevisbar sikkerhet. Disse tre artiklene ble samlet i avhandlingen _Cryptology in the Crowd_, som også inkluderer en ekstensiv presentasjon av den fascinerende historien bak asymmetrisk kryptografi og bevisbar sikkerhet, og avhandlingen ble suksessfullt forsvart 8. desember 2023. Siden den gang har fokuset mitt vært på utvidelser til kvantesikker kryptografi: Flere av avhandlingens sikkerhetsbevis belager seg på å modellere hashfunksjoner som tilfeldige orakler, men gitt at en hashfunksjon er en offentlig algoritme, og gitt at kvantedatamaskiner kan kjøre en hvilken som helst klassisk algoritme i en superposisjon over flere mulige inputs, må den såkalte tilfeldig-orakel-modellen (_Random Oracle Model_, eller _ROM_) oppdateres til å også tillate beregninger i superposisjon (_Quantum Random Oracle Model_, eller _QROM_). Sikkerhetsbevis gitt i ROM holder ikke uten videre i QROM, og nye teknikker er ofte nødvendig for å løfte et gitt sikkerhetsbevis fra ROM til QROM. Jeg er for øyeblikket involvert i fem forskningsprosjekter. Det første, med Tjerand Silde, konstruerer verdens første bevisbart kvantesikre elektroniske valgsystem, ved å gi et sikkerhetsbevis av SHUFFLE-protokollen som holder også i QROM. Det andre, med Christian Majenz, viser hvordan kvantesikker _Non-Committing Encryption_ (NCE)—det høyeste sikkerhetsmålet inkludert i avhandlingen—kan oppnås i QROM. Det tredje, med Christian Majenz og Joseph Jaeger, ser på en generalisering av NCE introdusert av Jaeger ved Eurocrypt i fjor [Jae23], hvor det tilfeldige orakelet bakes inn i selve sikkerhetsdefinisjonen, og stiller seg spørsmålet hvordan denne definisjonen må oppdateres for å være konsekvent med QROM. Det fjerde, med Dennis Hofheinz, tar sikte på å vise at det er et _gap_ i hierarkiet av sikkerhetsmodeller presentert i avhandlingen (spesifikt at _Simulation SOA_ ikke impliserer _Indistinguishability SOA_ under _Chosen Ciphertext Attacks_, imot all forventning). Det femte, med Yevgeniy Dodis, tar sikte på å gi konkrete skranker for pseudotilfeldige generatorer konstruert fra en variant av tilfeldige orakler når de modelleres til å inkludere mer realistiske antagelser,som at den entropiske kilden ikke er uavhengig av beregningen av hashfunksjonen—igjen gitt at kvantedatamaskiner også vil ha tilgang på algoritmen. Jeg har også bidratt som subreviewer for konferansene Eurocrypt 2024 og IEEE GLOBECOM 2024, og er i skrivende stund subreviewer for TCC 2024 og ISC 2024. Målet mitt for de kommende årene er å fortsette å utforske bevisbar sikkerhet i QROM. Mer spesifikt er jeg interessert i hvordan man kan oppnå tettere skranker, gitt at sikkerhetsbevis i QROM ofte kommer med større sikkerhetstap enn det tilsvarende beviset i ROM (uten at man nødvendigvis kjenner noe kvanteangrep som utnytter dette gapet). Gitt den økende relevansen av kunstig intelligens i samfunnet, har jeg også stilt meg spørsmålet om hvordan min ekspertise innen kryptografi kan bidra til sikkerhet i den kommende KI-revolusjonen. Én interessant retning er å utforske bevisbar sikkerhet for vannmerking av KI-genererte data, spesifikt hvilke sikkerhetsmodeller som kreves og i hvilken grad disse lar seg oppnå fra kjente primitiver. En annen retning, inspirert av Leopold Aschenbrenners _Situational Awareness_ [Asc24], er hvordan kryptografi kan benyttes til å hindre tyveri av modellvektene, noe som vil bli mer og mer relevant etter hvert som KI- modellene blir mer og mer verdifulle, militært så vel som kommersielt. Her viser mer esoteriske primitiver som _Functional Encryption_ seg som naturlige kandidater, og spørsmålet blir hvorvidt man kan gi en konstruksjon som er effektiv nok til at KI-bedrifter ville vært villig til å betale et effektivitetstap i bytte mot økt sikkerhet. Mer spekulativt, dersom man ønsker å sikre modellvektene fra å i det hele tatt kunne kopieres (for eksempel hvis trusselaktøren er KI- modellen selv, i et scenario hvor den har utviklet en uønsket strategi om å spre seg selv online) vil det være interessant å se om kvantefysiske primitiver som _Uncloneable Encryption_ kan bidra til sikkerhetsløsninger som ville vært klassisk umulige. På et mer filosofisk plan er jeg overbevist om at møtet mellom teoretisk fysikk og datavitenskap representert av kvanteinformasjon og -teknologi bare er starten på en svært fruktbar utveksling som vil bringe sterk fremgang til begge fagfelt—og dette er en utvikling jeg føler meg sterkt motivert til, og unikt skikket til, å bidra til. ##### UNDERVISNING Jeg har mer enn femten års undervisningserfaring på tvers av aldersgrupper, fra jeg begynte å undervise barn og ungdommer i kampsport som sekstenåring (NTN Taekwon-do), via roller som undervisningsassistent og kræsjkursholder ved Universitetet i Bergen, privatistkursholder i matematikk ved Metis Privatistskole, mattelærer på videregående skole, *filmproduksjons*lærer på barneskoler via Den Kulturelle Skolesekken, og nå som foreleser og emneansvarlig i matematisk grunnkurs ved NTNU. (Se CV for en detaljert oversikt.) Disse erfaringene har til sammen gjort meg til formidleren jeg er i dag, og har gitt meg selvsikkerheten til å dele min egen forståelse og intuisjon for fagstoffet, heller enn å lene meg for tungt på eksisterende fagstoff. Min tro er at ved å dele min egen intuisjon, og dermed gi studentene et perspektiv som _supplementerer_ fagbøkene, gir jeg dem anledning til å skreddersy sin egen intuisjon ved å hente forståelse fra flere kilder med hver sine perspektiver. For å fasilitere dette oppfordrer jeg til interaktive forelesninger, og jeg gjør det alltid tydelig at jeg _ønsker_ å bli avbrutt med spørsmål når jeg foreleser. Jeg benytter en blanding av undervisningsteknikker i mine fag, inkludert klassisk tavleforelesning, håndtegnede slides, ukentlige quizzer, og orakeltimer. Tilbakemeldinger fra studenter tas alltid på alvor, og opplegget videreutvikles fra år til år basert blant annet på referansegruppenes rapport. Jeg er for tiden ansvarlig for avviklingen av TMA4140 Diskret Matematikk, ett av NTNUs grunnkurs i matematikk, med rundt 550 påmeldte studenter hver høst. Av spesiell interesse her inkluderer dette faget forelesninger i grunnleggende tallteori og kryptografi, inkludert RSA og Diffie-Hellman-nøkkelutveksling. Jeg har allerede forelest kurset én gang i fjor høst, da med Professor Aslak Buan som emnekoordinator, og til høsten vil jeg gjenta suksessen, denne gangen selv som emnekoordinator. Jeg foreleste også denne våren en fagmodul for Diskret Matematikk, IMAT2024. Utover dette vil jeg til høsten holde gjesteforelesninger om kvantedatamaskiner, og hvordan Shors kvantealgoritme truer kryptografiske algoritmer som RSA og Diffie-Hellman, i fagene TTM4205 Sikre kryptografiske implementasjoner og TFY4355 - Kvanteinformasjon og -beregninger. Jeg co-veileder samtidig én masterstudent, og bidrar som mentor for én doktorgradsstudent. Jeg anser meg selv som skikket til å undervise et hvilket som helst grunnkurs i matematikk, såvel som kurs i grunnleggende datavitenskap, kompleksitetsteori, informasjonsteori, kvanteberegninger, og avansert kryptografi. Mindre relevant for denne stillingen ville jeg også vært trygg på å undervise teoretisk fysikk, både klassisk og moderne. Gjennom mine år som formidler har jeg stadig mottatt ros fra studenter, ofte via anonyme undersøkelser og referansegrupper, og mine forelesninger nevnes jevnlig som høydepunkt i semesteret. Dette har gitt meg motivasjonen til å fortsette å utvikle meg som formidler, og god undervisning har endt opp med å være ikke bare være noe jeg finner glede i, men en sann lidenskap. ##### FORMIDLING Ved siden av undervisning, er jeg interessert i formidlingsaktiviteter for å inspirere unge til å lære om datavitenskap, sikkerhet, kvantefysikk, og de mange fascinerende koblingene mellom dem. Dette startet med et populærvitenskapelig foredrag om kvantedatamaskiner ved Arendalsuka 2022 (i regi av Simula UiB), og har siden inkludert intervju på NRK P2 om hvordan kvantedatamaskiner truer datasikkerhet, foredrag om kvantemusikk ved Hyferfestivalen, engasjerende samtaler med unge under Researcher's Night ved NTNU, bloggpost om kvantedatamaskinenes fremmarsj, samt et kommende foredrag ved Sikkerhetsfestivalen i september i år. Jeg har et personlig mål om å utvide disse aktivitetene til flere eventer, populærvitenskapelige artikler, medieopptredener, podcaster m.m., med ambisjon om å gjøre dette til en populærvitenskapelig bok om kvantedatamaskiner og sikkerhet for det norske markedet. Som de som kjenner meg kan attestere, hopper jeg gladelig på enhver anledning til å dele min forkjærlighet for datavitenskap og kvantefysikk, og de dype koblingene imellom dem, og for meg kobler dette alltid tilbake til den evige reisen mot å bli en bedre formidler. ##### KILDER [Asc24] Aschenbrenner, L.: Situational Awareness: The Decade Ahead. Essay originally published at situational-awareness.ai (June 2024). PDF available at https://situational- awareness.ai/wp-content/uploads/2024/06/situationalawareness.pdf [AGK20] Auerbach, B., Giacon, F., Kiltz, E.: Everybody's a target: Scalability in public-key encryption. In: Canteaut, A., Ishai, Y. (eds.) EUROCRYPT 2020, Part III. LNCS, vol. 12107, pp. 475—506. Springer, Heidelberg (May 2020). https://doi.org/10.1007/978-3-030-45727-3_16 [BHS23] Brunetta, C., Heum, H., Stam, M.: Multi-instance secure public-key encryption. In: Boldyvera, A., Kolesnikov, V. (eds.) PKC 2023, Part II. LNCS, vol. 13941, pp. 336—367. Springer, Heidelberg (May 2023). https://doi.org/10.1007/978-3-031-31371-4_12 [BHS24] Brunetta, C., Heum, H., Stam, M.: SoK: Public Key Encryption with Openings. In: Tang, Q., Teague, V. (eds) Public-Key Cryptography – PKC 2024. Lecture Notes in Computer Science, vol 14604. Springer, Cham (2024). https://doi.org/10.1007/978-3-031-57728-4_2 [DH76] Diffie, W., Hellman, M.E.: New directions in cryptography. IEEE Transactions on Information Theory **22**(6), 644—654 (1976). https://doi.org/10.1109/TIT.1976.1055638 [HS21] Heum, H., Stam, M.: Tightness subtleties for multi-user pke notions. In: Paterson, M.B. (ed.) Cryptography and Coding. pp. 75—104. Springer International Publishing, Cham (2021). https://doi.org/10.1007/978-3-030-92641-0_5 [Jae23] Jaeger, J.: Let Attackers Program Ideal Models: Modularity and Composability for Adaptive Compromise. In: Hazay, C., Stam, M. (eds) Advances in Cryptology – EUROCRYPT 2023. Lecture Notes in Computer Science, vol 14006. Springer, Cham (2023). https://doi.org/ 10.1007/978-3-031-30620-4_4 [Levy99] Levy, S.: The open secret. Wired (1999), https://www.wired.com/1999/04/crypto/, accessed: 2024-04-09 [RSA78] Rivest, R.L., Shamir, A., Adleman, L.M.: A method for obtaining digital signatures and public-key cryptosystems. Communications of the Association for Computing Machinery **21**(2), 120—126 (Feb 1978). https://doi.org/10.1145/359340.359342