今日は4つのインジェクションアタックについてお伺いします。NISTのポストコンタマクリルタグラフィーは3件のキャンディエンスです。これはアキライトー、レイ・ウェノ、ジュンコタカハシ、ナオフ・ミホンマのジョイントワークです。では始めましょう。この話は終わりです。まずはPQCでお話しします。次はPKE、KEM、サリオコムとトラフォメーションを紹介します。F1を紹介します。次はキー・リカバリアタックを使用します。4つのインジェクションアタックについてお伺いします。最後にラップアップを紹介します。まずはPQCでお話しします。最近、シバルコンパニーやユニバーシティーやオーガニレーションを開催しています。2019年、GOOGLEとIBMのコンパニーについてお伺いします。550キュービットのコンパニーについてお伺いします。去年、中国のユニバーシティー、USDCについてお伺いします。76キュービットのコンパニーのコンパニーです。今年、IBMのコンパニーについてお伺いします。このコンパニーは、RajahとRajahについてお伺いします。コンパニーのコンパニーやユニバーシティーやユニバーシティーのコンパニーについてお伺いします。このコンパニーのコンパニーは、コンパニーも大きく出たので、この曲はコンパニーも簡単だ。そのため、私たちは、アレーセース・シグネチュアやインプリプションやデスクリプト・オカルズミペース・シグネチュアやインプリプションを使うことができます。大きなコンテナムコンピュータがあります。この2つのコンテナムコンピュータがあります。1つのコンテナムコンピュータがあります。例えば、2KDのコンテナムコンピュータをシェアしています。それについて、コンテナムコンピュータが必要なので、この2KDのコンテナムコンピュータをシェアしています。2つのコンテナムコンピュータは、PQCで異なることについて、クラスカルアルゴルゾムのクリプトカしかないので、でもコンテナムアタックが回避できるようになります。そのため、この辺りはPQCについておいて、この辺りは少し多く、少し少し少し多く、しかし、この辺りは長く使われているのではなく、RSAやDIAキーを使っています。例えば、バンシュタイム、フラッド、ヘニーガル、バレンタを使っています。RSAキーを使っているのではなく、PQCランドマンを使っています。これはインプラットカードです。PQCを使っているのではなく、カウントメジャーを使っています。そのため、NISDのUSDについてPQCアルゴイズムを使っています。ラウンドマンは、去年から始まりました。それから、シグネチャースキムやケムスキムを使っています。この辺りです。4つのファイナルスキムです。1つはコードベース1です。3つはラティスベースキムです。5つはオルターネットキャンディネス4キムです。2つはコードベースキム、バイク、HQC、2つはラティスベースキム、4つはキム、1つはレインチュールプライム、1つはアイスジュニーベースキム、S-I-K-E。この辺りです。この9つのフォーカスキムです。9つのフォーカスキムです。そしてフィジカルセキュリティを使っています。次に、PKE、ケム、フィジェクトコンスタンフォーネッションを紹介します。これがPKEのシンタックスです。PKEはジェーン、エンク、デッキ、ジェーンはキー・ジェレーションのアルゴスモースをキーペア、EK、DK、エンクリプションキー、デクリプションキーです。エンクアルゴスモースをEKとS-I-K-Mを使って、サイファータイクのCTを使っています。デクリプションアルゴスモースをDKとCTを使って、S-I-K-Mを使って、レジャクショシンボルポートを使っています。そのため、レシーバーもEKを使って、センダーもサイファータイクを使っています。レシーバーもセキュリーもレシーバーもサイファータイクを使っています。次に、ケムスキーを紹介します。ケムはキー・エンキャプションのメカニースです。ケムはスルビアルゴスモース、ジェーン、エンキャプション、デキアプションを使っています。ジェーンはキー・ジェレーションアルゴスモースをキーペア、EK、デッキ、キー・ジェレーションアルゴスモースのPKEを使っています。エンキャプションのアルゴスモース開発セイファータイクのところで、デッキアプションアルゴスモースおよそK、デーキアilen fourth prede goes live butここで、ハギレティコート、レシーバーのレシーバーとセンダーをセキューリーです。これがスインタックソフトケースです。強いセキューアケムをコンストラクトしています。ウィークリーセキューアのPKEです。最も知らないフルサキョコモンストランスのメーションです。そしてバリアップです。これがフルサキョコモンストランスのケンバージョンです。この場合、ケムはPKEでコンストラクトしています。2ランダムオラクルのGとHです。GはPRGのバージョンのイデアです。Hはキーデリベーションのバージョンです。このケムのキーデリベーションのアルゴルズは同じです。PKEのエンキャスプレーションのアルゴルズはEKのリンク've退避エンキャスプレーションフルサキョコモンストの仮定剤 Wasで以前のコンストラクトの講馬がこのコンストラクトだったそして、X'を購入して、この1を選択すると、X'をコレクトして、X'を正しくして、X'を交換することができます。その他、持っています。F4-Camの製品は、ランダマワークロムモデルで、CPCの製品の製品技術は、1方のCPC製品技術の製品技術、そして、CPC製品技術の製品技術は、4パーティーで必須の必要がありますが、これは、シンプレイハードバージョンです。私たちは、コンタムで連繋している自動機能模型として上昇しています。プーキューシ版の新しい技能、プーキューシ版のFWD版の技能としており、次にキーリカバリアタックを使っております。最初はキミスマスオラクルで、キミスマスオラクルが使用する合わず、キープの使い方でフィクスのシックレットが作られています。例えば、レシーバーはEKを送り、CTを送り、キーププライムの結果を使うことができます。この場合、レシーバーはキーププライムを使うことができます。この場合、レシーバーはCTを送り、キーププライムの結果を使うことができます。この場合、レシーバーはキーププライムの結果を使うことができます。この場合、レシーバーはEKを送り、キーププライムを送り、キーププライムの結果を使うことができます。この場合、レシーバーはキーププライムを送り、キーププライムを送り、キーププライムを送り、キーププライムの結果を使うことができます。この場合、CTを送り、キーププライムを送り、キーププライムを送り、キーププライムの結果を使うことができます。この場合、PKを送り、キーププライムを送り、キーププライムの結果を使うことができます。次は、40Dキャプションオーアクルを描くことができます。レタスコンスタイムはF-ROOに来ています。幸せで、オーアクルでキャプションオーアクルを描くことができます。バジリテストで、エクオリティチェックテストです。40DキャプションオーアクルはX-Primeを描くことができます。このシファーターは イリアバンツソースに長い獲得です。このテストでは、40Dキャプションオーアクルによるキャプションオーアクルとレタスコンスタイムを描くことができます。例示によって、このシファーターもデリアアクルのセートです。今のレタスコンスタイムにすべての作物を見ていきます。このシファーターからレビューサインのカイバーです。これがカイバースのデフィニッションですが、 全ての必要がありません。重要な点は、ZQ over X is divided by EDRGENET by X2256 plus 1.そして、ZQ over X is the center of the binomial distribution over the range between the minus 3 to plus 3 to the 256.そして、このデフィニッションは、ZQ over X is this S and S is generated by this ZQ square.そして、このDK over Sは、512枚のデフィニッションです。そして、このデフィニッションは、3-3と3と同じです。そして、このデフィニッションは、最初のデコンプレスのデクリプションのアルゴリズムです。このデフィニッションは、U' and V'と同じです。そして、このMU'は、2 over 2と同じです。Z-USと同じです。そして、0-2と同じです。このデフィニッションは、Z-USと同じです。このデフィニッションは、R2と3と同じです。そして、デクリプションのアルゴリズムです。では、このデフィニッションは、Z-USと同じです。そのため、このデフィニッションは、F-Rowと同じです。そして、このデフィニッションは、ZQのCPSSを only use this.実際に、、フレンテナーは、手作れを受けます。これがこそ、トーストバイスして部分的にのり、上リボを cup 向く Jesus の作業だし、一つの避難者において、このプレインクの違いは、家具のリボセルなテクノマスターです。アークを更するだし、親子端、前の端をもって、そうしたことは、1と2となると、Uで、0とペラペラでUの比べは0と比べvはt times x枝iとなっています。このuは、このUでうまく、このUとvとなっています。そして、異なるプレンテキスト、μ-π はこの2つの相撲です。MUi' is near of 2 over Q times T-USi taking Mojou2 and MUj' is near of 2 over Q times minus USj and taking Mojou2.So this means that, so here we constant the range of minus US and T-USi.So since S-i is between in the minus 3 to 3, so it can be set in the U so we can the range of minus US in the range between the minus 2 over 4 and 2 over 4.and this, so if the coefficient in this range is decrypted into the 0 always.and so here we constant another MUi' so this is dependent on T-USi.So therefore so we can shift the range of minus USi by using this T.and so sum of T-USi will decrypted into the 1.So if it is larger than the 2 over 4.So therefore so using this idea we can determine S-i by setting the MUi' is equal to 0 or 1.and indeed so we can use concrete U as the minus 276.and if so so the MUi' is computed as this table depending on T and S-k-i.So since each coefficient is between the minus 3 to 3, so we need three queries to determine S-k-i.So since S-k-i is 250 512 questions.So we need 1,536 queries to determine S-k-i completely.So next I want to talk about the number of queries reduced by using 40 decapitation records.So in the case of 40 decapitation records.So we can the adversary can see each of the MUi' itself this one.So let us consider an example so we okay so let us first let we want to determine four questions in parallel.So in this case so we consider U capital U is a pair of U and 0.and the capital V as a t0 plus t1x plus t2x square plus t3 times x cube.And if we decapitate decrypt it this U and V then so MUi0 prime and MUi1 prime and MUi2 prime and MUi3 prime is computed as this form and the other coefficients are computed as this form.So therefore so we can determine S0 and S3 and by checking h over mu prime is equal to h of 0 0 0 0 0 and 0 0 0 0 and h of 1 0 0 0 0 and all 0 and so on.and h of 1 1 1 1 1 and all 0.So by using this technique so we can use the three queries to determine S-k0 to S-k sub a-1.So by checking the two to the a candidates.So therefore so if we determine a coefficient in parallel.So we just need 1551536 over a queries to determine S-k completely.So therefore so 40 decryptation oracle eros us to the reduce of number queriesin the case of kaiba or saiba and n2l a-prime and for the game also for the game.But this is a so special attacks against the last best games.And so this is a survey of k existence of a k-re p-c-o and which can be implemented by our nextforth analysis of our fourth instruction analysis.And so this shows that so kaiba and saiba and forth came on the n2l a-prime and the n2land the 3-prime n2l a-prime all of them are vulnerable against the k-re-k-a-prime attack against theplenetic chicken oracle if it's just no gut.And she so she appendix she of our full paper for attacks against the other schemescalled the best one and the S-k-n-best one.So we also we surveyed them.Okay so next we consider so forth injection analysis to implement such 40 decryptationoracle.So this is a fore-game of the decryptation algorithm of a fore-game.So here so decryptation it first decrypts saiba text into x-primeand it re-encrypts it and the compare with saiba into saiba text and if compare the resultif the re-encrypted saiba text is equal to the into saiba textthen it will return h of x-prime and otherwise it returns both.So the idea is very simple. So if we skip the equality checkthen this decryptation oracle always returns h of x-prime.So therefore so if we skip this step to this equality test by injectingso something for example power grid we have 40 decryptation oracle or battery.Okay so we surveyed all chem-scheme in pqm4 which is a very good library in open-source libraryimplemented such chem candidates and the signature candidates candidates.So for example the first one is the first one is the cca-back in n0-prime.So therefore so in n0-prime case we don't need such quality injectable RHS to mount akirikabere attack. So this function compares the input saiba text c and c2and return 0 if c is equal to c2 and minus 1 otherwise.But so let us see this computation.So this function returns 0.So the final to let us see this final line so1112. So this is return minus 1 minus difference with minus 1 to shift right shiftwith the 31 bits of this one.And this line returns 0 if this d is equal to 0and it returns minus 1 otherwise.And in this line 1099 so this d is initialized with 0 like this one.So u int 60 16 so different bit is set as 0 this line.But unfortunately so this different bits remains 0 to this here.So because so there are another difference bits different bits to here and thisdifferent bits changed as a result of a compare of compare the results saiba textand saiba int saiba text c and c2.So therefore so this different bit is untouched and so this function always returns 0.So fortunately so this is is fixed in this July like this.The next one is a timing bug in the flow of the game.So grow your jhanse on the nilsonproposes a key recovery attack against the flow of the game.So using this timing bug.So here so the two saiba text are compared by this one.So b so we first compare the part of saiba text bp and bbpandcompare another part of saiba text c and cc here.So since this compare the result is connected with this and so ifbp is not equal to bbp then so it returnsthis it will return this ss rapid very rapidly.So therefore so so using this timing bug.So go on the jhanse and the nilsonsucceed to mount key recovery attack against the flow of the game.And unfortunately so this timing bug isrepeared in the flow of the game's implementation.But this timing bug remains in pqm4.And so this is also fixed in this september.And so we are sorry that so while we point out this timing bug.But we didn't submit patch to pqm4.So we next talk about a forward injection attack against saiba andkaiba and n2.So saiba kaiba and n2 use the conditional move tomake change the result use depending on the comparison result like this one.So this program is a decapsulation algorithm of saiba.So it's decrypted cipher text into this path and so apply some sinkand compute this flag fail as a comparison result or reencrypted resultand input saiba attack is this c.And after this c conditional move the half of this variable kr is set to as a g1of x prime and hash public key if this fail flag is zero.So that this so this fail flag is zero ifreencrypted cipher text the input cipher text c is equal.And the half of the kr is set to be sheet otherwise.And this in this line 17 it's compute a kdf function this char3and it you compute this k.So here so this k is in verbs this x prime so if the fail flag is zeroand it will be this should run on value otherwise.So this program is compared into this assembly programand this one so this block this block calls this char3so this is related to this line 14 this one char3and so there are some instructions so this blockof course this c move functionand this this so this is corresponding to this line 15and in this line 7 line 14 so this work was this char3char3 so this is corresponding to this line 17so therefore so if we skip this line 8 by injectingfort so this program doesn't score cmo functionso therefore so if we skip this line 8 in this right hand sideso as a result of this program is k as this h of g1vex prime and hash value and h h2 cipher text alwaysso therefore this leaksahand they they created that x prime alwaysso in the case of bike and the cycle sothe program is more complicated but anyway so fortunately so we can find the single stepsoarrow us to fault-injection analysisso we also experiment this fault-injection analysisthis one so we use a checklist power to mount this board so thisso she has a programed codec same faultand we inject inject the power bridge using this captcha boxas experimental results we obtain the following tablesso we try to change kybar seba into and bike and cycle this oneand we learn 100 skip trialsso each trials takes about 0.1seconds to 10secondsso as a result of 100 trials we success 42case in kybar 46case in right sebaand 33case into 34case bike and 15case cycleso therefore at risk we can succeed to inject single injected faultat risk 15%so therefore so our reconsider our fault-injection analysis is practicalok let us wrap up so this is the summary of our findingsso we found that existence and Q recovery attack using the plane checkingor fault-injection work for all cams except classic materialsand we also serve in a real-world implementation in pqm4and we found the timing bug in float cam and cc bug in enter primeand the other ones so kybar enter save a bike and cycleand they are the vulnerability against the fault-injection analysisso as a result so effect of fault-injection analysissome are at this table here so qr means the key recovery and qr means key leakageso therefore we can mount the key recovery fault-injection analysisagainst kybar enter save a bike and float cam under enter primeand cycleso in this talk we serve in a key recovery attack using the plane checking workon the 40d capillation work and in addition so 40d capillation work setting reduces the number of queriesso kybar save a fault-injection and enter every primeand we also mount a fault-injection analysis to skip the equalty check offujisa to come to transformation so we also relieve three open problemson the optical side so we want to study net so key recovery attack using theplantage checking workon our 40d capillation workon against the classic materials and the bikeso there's no no no no only that especially on the classic materialsand we alsoplastication side we also require the secure implementation which is resilient to our singleskip single step skipping for the index analysis thank you