はい、私はアーペーパーについてお話しします。アクリプションモードアプリレーションのオープニングを担当しています。私はタケシスガウアラです。そして私はユースケナイトウのジョイントリサーチフォークです。このクリックオーバービューは私の話です。私たちは新しいモードアプリレーションをプレインテックスフィードバックモードと呼びます。最初のモディベーションは64ビットのセキュリティで、64ビットのプリミッティブです。64ビットのブラックレンズはライトウェイトブロックサイファーの中で人気があります。しかしセキュリティは32ビットだけで、モードアプリレーションの間に合われています。プリミッティブのセキュリティはライトウェイトブロックサイファーの中で人気があります。モードアプリレーションはフレッシュアルのフレンティブです。このフィギュアは、プリミッティブとプリミッティブを使用しています。128ビットのセキュリティと128ビットのセキュリティを使用しています。最初のティアは、3個のセキュリティと2個のセキュリティを使用しています。PFBの他に、64ビットのセキュリティを使用しています。次に、プリミッティブは、人気のチャイケーションで認識しています。ライトウェイトクリプトグラフィーが、リサーチしています。このモデリバーションは、プリピュールアルグリティムを作成するために、エフィシャントパフォーマンスの対応を犯るためのモデリバーションにされています。ブロックサイフルデザインの研究について説明しています。それについて説明しています。短いブロックランクはライトフェイトを作るためのコミュニケーションです。このブロックランクは60フォーヴィットプリミュニケーションです。このデザインで、ライトフェイトクリプトの際に、レジスターなどのバドナックの記憶性があり、コミュニケーションの中を使っているのではないかと。では、小さな例のスポックスは、前のブロックランクには重さがあることについて説明しています。今、20フォーヴィットプリミュニケーションでも 2つのスポックスポックスポックスポックスプロックスポックスは残念です。128Bのデータは600-900ゲットです。記念サイズはライトフェイトインプリメンテーションの必要があります。AEはアルバルデンスライトフェイトプリメンテーションの必要があります。AEはAESGCMの技術性を持っています。AEがライトフェイトプリメンテーションの必要があります。AEはブラックサイフを使った操作を行うために展開することができます。そのため、一つの研究者についてライトフェイトモードを勧めました。フィギュアーはASGCMとして使用しています。128Bと128Bのキーを使用しています。ASGCMは256-bit エクスラメモリーを使用しています。SAVのエリミネイティーを使用しています。2年前のチェスをプロポートしています。256-bitのエクスラメモリーはASGCMを使用しています。64-bitブロックサイファーを使用していますが、30-bitのセキュリティーを使用しています。サイチャノアタックを使用しています。サイチャノアタックの依頼が利用しています。サイチャノアタックの依頼が利用していることは、全て多くの誇りがあると思います。そうすると、サイチャノアタックの依頼が多くの新しいこのコントロイメージは、このように、Ti-Friendly S-Boxやアンクリプションスキームスクリームを読みます。マスキングは、最も人間のコントロイメージをサイトシャナルに学習することができます。このコントロイメージは、シェアとクリプトグラフィーを並んで説明することをデータ、シェアを信じることをデータ等のことを受けられるのでテーマ Fourthそして、看護の赤いキュリジ氣を無畜にサイトスキーム表現も表現しています。この provide securityが、グリッジのマスキングの資助が安全になるライエイのこのフィギュアは3シェアのリプレゼンテーションでTiを使用しています。Tiは3ポーズのメモリーを使用しています。私たちのアプローチは、ノリニアリアップデートスタイトのサイズを減らしています。私たちのアプローチは、メモリーを使用しています。64ビットのプリミリーを使用しています。さらに、彼のコンベンチャンのリプレゼンテーションは、できるようにマダリーを使用しています。この問題をつかまいます。このコンベンチャンのリプレゼンテーションは、新しいモードを準備しました。それで、64ビットのプリミリーとイフィジェントプリミリーを使用します。このフィギュアは、コンベンショナルやプロポースファンのメモリーの使い方を紹介します。エフィッシャリーでバースデートセキュリティを追加する必要があります。エクストラスデートを追加する必要があります。そのため、トータルメモリーのサイズはTIで同じです。しかし、TIでメモリーサイズを追加する必要があります。トータルメモリーのサイズは公開です。そして、トータルメモリーのサイズを追加する必要があります。ここはコントリビューションのサムリーです。新しいモードのオプロレーションPFBを提供しています。このコントリビューションは、トータルメモリーのサイズを追加する必要があります。このコントリビューションは、バースデートセキュリティを追加する必要があります。そのため、セキュリティのレベルはブロックの長さについて、プリミュータルメモリーのサイズです。このコントリビューションは、ICOFBの前作に基づいていますが、多くのインプルメモリーを追加する必要があります。つまり、アソシエイデッドデータプロセッシングそしてアビトラリーの長さについてのサポートを追加する必要があります。新しいセキュリティプロフを追加する必要があります。最後に、コントリビューションを追加する必要があります。セキュリティのフォーマンスセキュリティの ami5でバ痛評価で導入した對称数の格式と顯示力を増 characterとして数のアフォーマンスエヴアリュアで確かめど最新のアフォーマンスエヴアリュアの数を追加する必要があります。扇描で首流されるのも追加するシーンを追加してください。スエデデッドデイのフォーマンスセキュリティのaling度を追加開始に起き tuned Khioheトゥイッキーは変わります。トゥイッキーの詳細は、TBCのコンクリートの例を見てみます。スキニーは、トゥイッキーのフレームアップが使用されているのです。トゥイッキーの中に無いディスクリミナーが使用されているのでトゥイッキーとトゥイッキーの中にトゥイッキーは多くのブロックを使用しています。このフィギュアにこのフィギュアについてTKがスキニーについてもちろん、ハードウェアデザイナーの目的は、ブロックサイフェアの大きなキスデートに大きなキスデートについてプロポーズのモードPFBにハッシングを使用してTBCアートプットに次のTBCインプットにトゥイッキーの中にPFBにアソシエイレッデイダーにフィードバックは無いディスクリミナーでメッセージは次のTBCインプットに使用しています。このスキニーのプレインテックスフィードバックモードにこのスタクトを使用しています。このスキニーの中にサイファテックスブロックを使用しています。TDCアートプットでインコミングメッセージブロックを使用しています。左のフィギュアはプロポーズのエッセンシャルにPFBを使用しています。このスキニーの中にメモリが必要です。このスキニーの中に全PFBを使用しています。左のフィギュアはこのスキニーの中にメモリを使用しています。64ビットのサイファテックスブロックを使用しています。今日は64ビットのブロックサイズも使用しています。このブロックサイズは128ビットの鍵に使用しています。60ビットの濃度を覗いて初めのアートプットで使用しているので全PFBのサイファテックスブロックを使用しています。このスキニーの中にどのようにBitBit security using BbitTBC.BitBit Assuming that TBC is tweakable random permutationand that announced respecting setting in which there is no repeatednance between messages.The goal is to prove privacy and authenticity.Privacy is formalized as a game for distinguishing1. オープンスチエシで承認を合わせて1. オープンの sending完成を埋めもの良ささ2. オープンに再寄りがしい3. オープンで チェーンは成功でDecryption queries so PFB achieves the BBIT Security.With this result PFB achieves BBIT Security.This is the proof sketch for privacy.PSB uses a non-standard counter concatenated as a tweak.Since we assume the non-respecting setting, there is strictly no repeated tweak in encryption.So, all the TBC outputs, y and t in this figure are independent and random,which makes the ciphertext indistinguishable from a random string.Therefore, PFB achieves perfect security for privacy.For proving authenticity, we need to consider two attack cases.The first case is to guessing the tag in decryption.Since the tag is almost random, the success probability is 1 over 2 to the power of V for each decryption.So with the number of decryption queries denoted by QD,the success probability becomes the order of QD over 2 to the power of B.The second case is to exploit the collision in the states.We consider a pair of encryption decryption using the same nonce as shown in this figure.In this case, if there is a collision in a particular place,then the collision propagates to the end resulting in a collision at the final tags,meaning a successful forgery.The probability to observe a collision in a BBIT state is 1 over 2 to the power of B.So with QD decryption queries,the success probability is the order of QD over 2 to the power of B.Since the probability is the order of 1 over 2 to the power of B in both attack cases,we can conclude that PFB achieves BBIT security for authenticity.We implemented PFB instantiated with a particular variant of skinny with 64-bit block and 192-bit tweaking.We assign a secret key to the tweaking TK1 on TK2 and assign the public tweak to TK3.The blue boundary in the diagram is the skinny implementation,which is based on a common shell architecture that executes single S-box each cycle.The mode of operation is quite small,which is just a thin wrapper composed of max,exor,and ungates only.The each component is colored depending on the number of shares in TI.TK3 shown in green stores the public tweak so we need no protection.TK1 and TK2 in red store a secret key and we can protect them with two shares because the key schedule is linear.Finally, the main state that goes through the S-box operations needs three shares.We have come back to this figure again which compares PFB with the conventional lock,which is SAB instantiated with gift lightweight block cipher.Both of them achieve the same 64-bit security.As I mentioned earlier,we can use a 64-bit primitive with PFB so we can reduce the state size that needs three shares.Instead,PFB needs a tweak.As a result,the memory size is the same between the two schemes with TI.However,the proposed method has a smaller memory size with TI because tweak needs no side-channel attack protection.As a result,the proposed method is smaller by 128 bits with TI.This figure shows the hardware performance comparison with three-share TI.For a fair comparison,we also implemented SAB with gift using the same hardware design policy.As a result,the proposed method is smaller by roughly 400 gates thanks to the smaller register sites.This table also shows the other TI of other authenticated encryption schemes available at the time of writing.We can see that the proposed method is much smaller than Ascom and KT.The reason is that the key and tweak used in PFB can have smaller number of shares.In contrast,these sponge-based schemes need three shares for the entire state.Actually,there is a generalization of PFB,what we call PFB+.which we already published in the last hero-crypt in May.The purpose of PFB is to satisfy 64-bit security,but we sometimes want 128-bit security.We can of course achieve this by instantiating PFB with a 128-bit tweakable block cipherand which is better than SAB instantiated with a 256-bit block cipher.It is also better because a 256-bit block cipher is a kind of rare.For further optimization,we designed a scheme that achieves 128-bit security with a 64-bit block cipherSo,it has beyond the birthday bound security.To achieve this,we need to add a 64-bit extra state shown in red in this figure.So,the total memory size is still the same for all the three instantiations.However,PFB+,is even better than PFB with TI because the extra state is linearly updated.So,we need only two shares instead of three with TI.As a result,we can reduce the total memory area by 64-bits with TI.I am concluding my talk.We proposed the new mode of operation PFB,which provides the beyond the birthday bound securityand we can reduce the memory size with threshold implementation.We made concrete performance evaluation and PFB was the smallest.We think TI friendly mode of operation has a room for further research,including our extension PFB+.The important property we are using in PFB is the heterogeneity between state,key,and tweak.Because the number of shares can be smaller in linearly updated states and public states.It is a contrast to permutation-based schemes that have no distinction between them.This is the end of my talk.Thank you for watching.