 Le second talk of this session is on Linear Repairing Codes and Side-Channel Attacks from Hervé Chaban, Houssem Maghrebi et Emmanuel Prouf, et Emmanuel will lead the talk. Thank you for the introduction. This is a joint work with Hervé Chaban from Aydemiah, Houssem Maghrebi from UL and myself from NC. As you all know, one of the main techniques to secure implementation against Side-Channel Attacks est base sur la séquence de secret. Je ne vais pas entrer dans les détails de tous les works qui ont été élus pour ce sujet. Mais la première idée, on peut dire que la première idée, a été introduite en 1999 par deux papiers indépendant, une par Gouben Paterer et la deuxième par Chari Jutlaraou et Roigé. Et la vraie idée est que, pour exemple, si vous vous partez un bâtiment dans deux cartes plus de 1, vous partez x0, x1 et xg et vous assumez que les autres paris sont une entreprise indépendante de l'observation d'un de ces cartes. Et puis, le nombre d'observations que l'adversaire a besoin de distinguer la distribution de l'observation en connaissant que c'est la séance de x0. Et la séance de l'observation, en connaissant que la séance est 1, augmente d'expédentation avec G, le base de l'expédentation, en étant la déviation de l'observation. Ce que c'est bon avec Chari et la séance de l'observation, c'est qu'on a une théorie disponible pour prouver la sécurité dans des modèles relativement. Et aussi, nous avons des outils, grâce à, par exemple, Bart Belay du presseur Foucais Grégoire & Scrib, nous avons des outils pour développer et pour prouver les outils et pour automatiser les outils jusqu'à des ordres de sécurité. Ok, quand vous voulez appliquer la séance de l'observation pour s'assurer l'implémentation, typiquement, vous avez deux sujets à faire. Le premier est de comment partager la sensibilité des données. Et le deuxième est, après que vous avez fait une choisie pour la séance, de comment s'assurer la processation de la séance de l'observation. Le premier souci est, par exemple, à Chami scheme, qui a été proposé en 1979. Il est aussi rapporté à l'esprit d'écart de correction de l'erreur, avec une distance large de deux ordres, qui a été prouvelée par Meissé en 1993. Le deuxième souci est aussi rapporté, par exemple, à la séance de la compétition de la séance de l'observation, la processation de la séance de l'observation, la séance de l'observation, etc. Dans ce souci, je ne vais pas focusser sur le deuxième souci. Je parlerai particulièrement de la première. Ok, nous allons considérer la séance de la séance de l'erreur, proposée par Chami en 1979. Dans cette séance, nous avons deux paramètres, le nombre de séances et la séance de l'erreur. Et essentiellement, la séance consiste à générer un régional polinomiel de degrés d. Et comme ça, le terme constant est dans cet ordre polinomiel. Ce terme constant, dans l'ordre polinomiel, est Z, et toutes les autres conditions sont choisis en rondeur, dans le base-file. Ok, si vous voulez définir les séances avec cet ordre polinomiel, c'est très facile. Vous devez sélectionner et les points publics à l'alpha-i qui sont distincts. Et vous définirez chaque séance, par exemple, Z-i, comme une évaluation de l'ordre polinomiel dans cet ordre public à l'alpha-i. Ok, si vous avez la séance, comment réconstruire Z ? C'est simple, c'est une simple interpellation de l'ordre polinomiel. Vous choisissez un subset de 1-d plus 1-s. Vous n'avez pas besoin de toutes les n-s. Vous avez juste besoin de 1-d plus 1-d plus 1-d. Et ensuite, vous performez l'ordre polinomiel. Donc l'ordre polinomiel, qui donne Z. Et où l'ordre polinomiel, l'ordre polinomiel et l'ordre polinomiel, sont extractés par les points publics à l'alpha-i par la formule d'au-delà. Ok, dans notre paper, nous avons voulu adresser deux questions concernant ce qu'il s'agit de la séance dans le contexte de l'attaque de l'ordre polinomiel. La première est, est-ce que la séance de l'ordre polinomiel impacte la sécurité de la séance de l'ordre polinomiel dans le contexte de l'analysie de l'ordre polinomiel ? Et la deuxième question que nous avons voulu adresser est, dans le contexte de l'analysie de l'ordre polinomiel, qu'est-ce que l'optimal nombre de séances est observée si nous voulons récoverer la séance de l'ordre polinomiel en tant que possible ? En fait, la première question, la première question, ce que nous pouvons dire, c'est que si nous regardons la formule d'interpolation, il semble qu'il n'y a pas d'influence sur l'effectiveness de la construction de l'ordre polinomiel. Donc, la séance de l'ordre polinomiel n'a pas d'influence sur la formule d'interpolation. Mais, ça a été observé dans le prévu du paper, que l'information d'influence de l'ordre polinomiel entre des séances de l'ordre polinomiel de la séance de l'ordre polinomiel et de l'ordre polinomiel semble dépendre de la séance de l'ordre polinomiel. Ok ? Est-ce qu'il y a une explication pour cela ? Relais à la deuxième question, nous pouvons dire que, si l'knowledge de seulement des séances de l'ordre polinomiel est suffisant de récoverer l'ordre polinomiel, cela pourrait être naturel que l'optimal nombre de séances de l'ordre polinomiel est exactement la séance de l'ordre polinomiel. Pour sûr, vous savez que vous ne pouvez pas réconstruire l'ordre polinomiel d'un plus ou moins que l'ordre polinomiel. Vous n'avez pas besoin de réconstruire l'ordre polinomiel, donc on pourrait imaginer que c'est l'optimal choice. Et c'est quelque chose que nous allons discuter. Ok, avant d'entrer dans quelques explications, dans les formes de l'explanation, nous allons considérer quelques exemples, quelques expériments. Ici, je suis en train d'exprimer pour deux différents choix de points publics sur la gauche et sur la droite. Je suis en train d'exprimer le nombre minimum des observations des séances de l'ordre polinomiel. J'ai besoin de réconstruire l'ordre polinomiel pour quelques choix de l'ordre polinomiel et pour un nombre d'incrédients d'incrédients de l'ordre polinomiel. Donc, en ce cas, nous avons choisi de se sécriter avec cinq séances et un nombre de l'ordre polinomiel qui signifie que nous avons besoin d'à moins, pour sûr, trois séances de réconstruire. Nous avons besoin d'à moins de trois séances pour réconstruire l'ordre polinomiel. Ok, donc j'ai testé beaucoup de combinations de séances, beaucoup d'observations. Et ce que nous pouvons voir, c'est que l'efficacité de les attaques de l'ordre polinomiel sur la gauche semble être mieux que l'efficacité de l'attache sur la gauche, ce qui signifie que, d'un point de vue de sécurité, la choisi de les points publics sur la gauche est meilleure, semble offerter plus de résistance en respectant les attaques de l'ordre polinomiel. Ok, c'est la première observation et la deuxième observation que nous pouvons avoir est que il semble que la choisi de la triplette ou de les séances que nous observons pour construire l'attaque semble avoir un impact aussi sur l'efficacité de l'attache, c'est-à-dire que toutes les triplettes ne sont pas équivalentes en respectant l'efficacité de l'attaque de l'ordre polinomiel qui s'est performée pour récoverir l'attaque. Ok, c'est la seconde observation et si nous regardons ça, nous pouvons aussi demander si ici je considère seulement 3 séances donc je considère seulement l'attaque de l'ordre polinomiel où j'observe 3 séances pour construire l'attaque est-ce qu'il y a un certain nombre de noises pour qui il serait mieux d'observer 4 séances? Pour sûr, je n'ai pas besoin de 30 points de vue, je n'ai pas besoin de 4 séances, j'ai une autre information avec 3 mais d'une perspective efficacité de l'attaque est-ce qu'il est mieux? Est-ce qu'il y a quelques cas où 4 séances doivent être observées pour obtenir un improvement de l'attaque? Ok, c'était pour une seconde expérimentation dans cette seconde expérimentation nous avons testé toutes les combinations toutes les combinations de séances qui peuvent être observées et spécialement, nous avons sélecté quelques 4 séances et nous avons performé un attaque avec 4 séances plutôt que 3 et ce que nous pouvons observer est-ce qu'indique pour un certain nombre de noises il est mieux d'observer plus strictement que 3 séances ok pourquoi? qu'est-ce qu'il y a de la raison donc, nous allons juste sumer les observations la première observation c'est que le choix des points publics impacte la sécurité l'attaque efficacité et aussi la sécurité la deuxième expérimentation c'est que pour un certain signal de noises ratio c'est mieux d'obtenir plus strictement que le nombre de séances qui ont besoin de récover le reste de cette expérimentation c'est d'expliquer ce phénomène et de voir pourquoi cela s'occupe avec le secret Chamea avec le secret Chamea Chamea Chamea ok en fait le point principal c'est que nous devons changer l'équation l'équation n'est pas que combien de séances j'ai besoin de récuperer mais que combien d'informations j'ai besoin de récuperer quand la séance est faite avec le Chamea scheme et en fait il y a été une publication très intéressante par Grozweny et Witter récentement et les sources montrent dans cette publication que le nombre de séances donc le nombre d'informations a besoin de récuperer la séance par exemple en tant que séance dans un fil de avec la carnalité 2-DM de ses séances dans des séances avec un dégradement random polinomiel peut être beaucoup plus bas que d'un plus 1 x m séances juste pour récolter si j'utilise exactement l'interpolation de Lagrange j'ai besoin exactement d'un plus 1 x m parce que j'ai besoin d'observer d'un plus 1 séance chaque séance de la séance m ok et si on regarde le papier de Grozweny et Witter ils ont donné des exemples ils ont donné des constructions et par exemple ça montre que si vous avez un secret de 14 séances avec un dégradement random polinomiel de dégradement 9 puis ça peut être récoveré avec seulement 64 bits d'information sur les séances plutôt que plutôt que 80 bits ok en en fait si vous regardez donc la théorie bien bien le travail de Grozweny et Witter est la théorie de l'exacte de réparation donc c'est une picture pour pour lister avec l'impact avec avec avec les séances donc sur le sur le gauche nous avons un vue de Chamy secrétaire de de la théorie de code et sur le gauche nous avons un vue de l'application de Chamy de l'application de l'application de l'attaque de Chamy secrétaire donc dans l'approche classique si nous avons quelque chose de la théorie de 5 séances avec un degré random 2 polynomiaux et sur le gauche nous avons vu que nous avons besoin seulement 3 pour observer seulement 3 séances pour rébuilder pour rébuilder la théorie ok et si vous regardez le le le l'exacte de Chamy secrétaire dans les séances secrétaires nous avons vu que nous avons besoin de observer seulement 3 séances pour récoverer la si nous si nous sommes basé sur l'attaque sur l'interpellation de en Lagrange interpellation formulae avec l'inéor réparer réparer le schéma en fait nous n'avons plus considéré les séances dans le dans le grand fil nous nous allons considérer les coordonnées de les séances dans le subfield la représentation ok et si nous regardons le le le le l'exemple de Groswanie et de Wouterse dans leur papier nous voici que d'ailleurs nous pouvons récover nous pouvons récover le nous pouvons récover nous pouvons récover le schéma par observer 5 coordonnées de les séances ok après la réplique dans le subfield vos 5 séances donnent 10 coordonnées et si vous observez seulement 5 entre elles alors vous avez vous avez une formula pour rébuilder votre votre data de séance et vous avez la transition de ça dans le dans le monde qu'est-ce que ça signifie ça signifie que par exemple dans l'exemple dans l'exemple c'est mieux d'une point de vue d'information c'est mieux d'observer 4 séances et d'avoir de ces 4 séances 5 coordonnées de la séance m over 2 plutôt que de considérer 3 séances de la séance ok nous nous voulons voir un petit peu les détails de la bonne idée de l'idée de l'opposé par Gourouzouani et de Wouterz donc nous commençons avec le classique formula de l'interpellation de Lagrange donc pour rébuilder vous utilisez les coefficients de Lagrange qui sont publics vous utilisez des séances ici je prends toutes les séances et vous processez la formule qui est retenue dans le slide ok bien sûr vous pouvez either compter cette formule directement ou vous pouvez couper cette procédure dans les subfields essentiellement ça signifie ok, c'est c'est c'est c'est un formula complexe mais c'est juste pour dire qu'à la procédure Lagrange interpellation dans le grand fil j'ai procédure Lagrange interpellation dans chaque subfield de la composition donc je suis rébuildé chaque ordinateur de la part de la part de la data une après l'autre ok et la procédure la composition dans le subfield essentiellement est donnée par les projections ok qui sont publics qui peuvent être les coefficients publics qui disent juste que c'est le premier ordinateur le premier ordinateur le deuxième ordinateur etc etc ok bien sûr si je fais juste ça l'amount d'informations qui ont été sur la gauche et sur la droite c'est exactement le même ok pour sûr la main idée dans le paper Gorswani-Witter c'est de changer les projections les projections donc essentiellement pour changer les coefficients pour chaque ordinateur et en lieu d'interpellant le régional polynomial Px pour récupérer le Z en lieu d'interpellant ce régional polynomial ils proposent pour interpellant pour chaque ordinateur le projet de deux polynomiaux le premier qu'on veut interpellant c'est-à-dire P Px et une autre une autre qui est Pg et ce régional polynomial sera le même que le régional polynomial ce sera un équivalent de la projection coefficient MuI essentiellement ce que cela veut dire c'est que nous allons replacer cette procédure par cette nous sommes juste replacés les coefficients MuI par l'évaluation d'un polynomial bien choisi dans les points publics et donc si nous faisons ça pour sûr parce que de la propriété de l'interpellant chaque fois nous ne recouvrons un ordinateur de Z mais un ordinateur de Z par le le terme constant dans le polynomial P1 ou P2 ou P3 selon le ordinateur c'est c'est la meilleure idée c'est la meilleure idée dans le Gorswanie avec le papier et bien sûr cela implique à moins une nécessaire condition et ce qui est le famille de termes constants doit s'exprimer un espace vector de dimension P c'est nécessaire pour remettre ces termes constants quand nous allons recombiner les ordinateurs pour rébuilder bien juste pour l'illustration pour comprendre pourquoi cela va être pour improving l'efficité de la reconstruction en termes d'information nous allons considérer cet exemple dans cet exemple nous avons vu que les évaluations nous choisissons deux polynomiaux qui signifient que nous étendons nous décomposons le processus dans deux subfields et nous avons vu que nous pouvons choisir quelques polynomiaux pour que l'évaluation de la première soit nulle à moins pour les deux premières points publics pour la seconde polynomial c'est 0 pour deux autres points publics et pour quelques autres points publics nous pouvons obtenir l'évaluation de la première de la deuxième comme une transformation de la première ce que cela veut dire ? cela veut dire que le nombre total de bits nécessaires pour appliquer le processus que je vous ai montré dans le précédent slide est pour ce processus vous ne besoinz pas parce que c'est 0 c'est le ordinateur 0 vous ne besoinz pas vous ne besoinz pas vous ne besoinz pas etc pour les coefficients qui sont légèrement dépendantes vous avez besoin d'un d'elles donc à la fin bien sûr vous devez observer presque tous les shares mais pour tous les shares vous devez récupérer pas les full bits mais seulement les parts et cela donne les 64 bits pour la construction dans l'exemple par et je me rappelle que si vous utilisez si vous utilisez l'interpellation de Lagrange alors vous devez exactement les 80 bits ok donc si nous revenons pour nos expériments nous avons une explication sur le code sur l'exploitation sur le code le knowledge de 3 shares est réellement suffisamment pour les refusés mais en pratique des 4 shares doivent récupérer plus efficacement que avec 3 shares pourquoi ? parce qu'indeed nous devons récupérer moins de bits d'informations sur tous les shares nous ne devons pas récupérer plus complètement nous devons juste récupérer quelques bits d'informations donc pour un moment de noix les informations que vous allez gagner comme ça sera mieux que le noix dans le signal ok je n'aurai pas de temps pour discuter comment nous pouvons appeler ceci pour avoir une efficacité pour avoir une efficacité multiplication sur le data shared avec Shamir scheme mais essentiellement l'idée est assez simple c'est juste pour dire que quand vous représentez Shamir quand vous représentez les shares de la data vous n'avez pas besoin de stocker les shares correspondant à 0 coordonnées à 0 projections donc pour sûr à moins vous allez gagner ceci dans la mémoire pour la représentation et en fait on montre dans les papiers que vous pouvez utiliser cette propriété pour apporter la multiplication sur sur le data shared avec Shamir scheme ok très rapidement nos conclusions Shamir scheme est intéressant pour obtenir l'implementation de la sécurité contre l'intention de l'attaque dans les présences de glitches les papiers l'ont déjà montré parce que l'algebra a la compréhension de la shares de l'interpellation de l'interpellation la relation entre les shares et la data shared est difficile de analyser et c'était le purpose de ce papier pour essayer de comprendre ce qu'est la relation entre le glitch et la compréhension de la share nous confirmons dans le papier les observations prévues et expérimentant de nouvelles choses liées à la différence avec la shares la choice de les points publics matérables d'un point de vue est prouvé il peut être semblable d'avoir plus de shares que fréquemment nécessaires c'est nouveau c'est une nouvelle observation il y a plus une reconstruction de l'interpellation plus efficace de l'interpellation et de l'interpellation de Lagrange qui est un résultat important ce n'est pas notre résultat c'est le papier par Grosweny et Wittorz mais il a beaucoup d'impact ok, nous aussi poursuivons de l'appli de l'utiliser pour obtenir une multiplication efficace et si vous avez des questions et des commentaires vous êtes bienvenus même si j'ai pris un peu de temps nous avons eu le temps pour une question je j'ai une question donc si vous si vous appliquez votre méthode vous avez besoin de plus de traces pour récover le secret entre vous vous avez besoin de targeter plus de shares donc vous avez besoin de targeter plus d'interpellations sur votre trace donc vous pensez que c'est plus facile d'avoir plus de traces pour faire l'attaque ou ça dépend oui, ça dépend de la qualité de l'observation si vous êtes assez confiant sur la synchronisation vous oui, je vais dire que vous pouvez identifier le endroit où les shares sont manipulées et donc oui, je pense il y a des situations où ça peut être mieux si vous avez beaucoup de synchronisation peut-être c'est mieux de diminuer le nombre de shares que vous avez besoin d'observer ok merci nous allons le parler encore, s'il vous plaît