どうぞどうもありがとうございました私の名前はヨースケーですNTTセキュアプラットフォームラブラトリーズです今日は新しいインポシブルデフォアエンシャルサーチツールデザインとクリプトナリシアルサスペクトですこのコンテナリシアルサーキーで一番強いコンテナリシアルサーキーですまずはインポシブルデフォアエンシャルサーキーを説明しますこのサーキーは最強のクリプトナリシアルサーキーの技術ですこの技術はクリプトナリシアルサーキーで一番強いコンテナリシアルサーキーとそれと同じ技術ですこの技術はクリプトナリシアルサーキーで3つのサーキーでサーブロックサーフォアについてインプシブルデフォアエンシャルサーキーを説明しますこのようなことで実際にアウトポッドデフォアエンシアルサーキーが出てくるとでは、デルタイン・デルタアートは 可能な違和性があるもし、このキャラクターリストを使用するために エンタイブロックサイファを アタックするためにそのために、サブキーを 最後に数回のラウンドでデルタイン・デルタアートを コンピューしてデルタPとデルタCを使用するためにサブキーを使用するために 可能な違和性があるサブキーを使用するために 確保するためにこのトランクに견定 ant by repeating this procedure we can recover the secret keySo in my talk we focus onHow to find impossible differentialthis means how to find this propertyfor the middle sublockcipherSo now I propose a newimpossible differential search through based on mixedintegral linear programmingAnd by using this new techniqueクリプトアナリシスとデザインアスペクトに新たな結果が出てくるクリプトアナリシスは新たに5ブロックサイフェスをアプライする結果にインポシブルデザインシャルキャクタリスティーが出てくるしかし、時間の限定でミドリーとリリーダーパーツについて説明しますこの2つのアプリケーションは最も面白いデザインアスペクトで、この技術を使ってプルーバルのセキュリティを取り組むことができますデザインアスペクトのデザインシャルキャクタリスティーの製品を使ってアブリトラリーSboxモードを使ってオプティマリティのSboxチョイスを取り組むことができますまずは、マスクをパネルペクトで最も言う前のメソッドでインポシブルデザインシャルが出たティー ファンエシャル例えば サ boardsスタブルデザインシャルはう brothers今ではデザイン定のメソッドが出てくれデザインでの Canyon先でそれをファイナーアップシャルにアプリラリースティーを選択機能して アプリルティーでのこのメソッドはアプリラリースティ paint2.デルタオをバックワードでデルタオをプロパゲットする同じ資料を記録する最後にコントラディクションを確認します例えば、ラウンド3ではコントラディクションを持っていますデルタオとデルタオが可能なのですしかし、このようなリセットの新しいツールはこのようなリセットで大切に使うなぜか、このようなリセットの新しいツールはこのようなリセットで大切に使うこのリセットを見つけてみてください文字リンクを置いたら、文字リンクを置いたら、文字リンクというと、基本上の技術についてマイルプを解決するセットの薄いエリアの効果にバリアブロードを値し、つまり コンスレインツと オブジェクト ファンクションですこれが マイルプの 例です例えば X,Y,Zは マイルプの 例ですこのマイルプの 例は マイルプの 例です2コンスレインツは インイコードの 例ですマイルプの 例は マイルプの 例ですマイルプの 例は X,Y,Zこの 例は 3コンスレインツは マイルプの 例ですマイルプの 例は C,Plex グロービー オプテマイザーですこの 例は マイルプの 例は マイルプの 例です実は マイルプの 例は マイルプの 例ですこの 例の 例の 例は マイルプの 例です久川昭和時代の延 commeの  أgew아니この 例は マイルプの 例ですリニア、ハールなど、インテグラル、アタックなど、ビアデビジョン、プロパティ、ゼロコリレーション、リニアなど私たちの話について私たちの話についてインポッシブルデフォレーションについてまずはブロックサイフルの模型を説明しますこれはRランドサイフルの例ですXIはアイスラウンドファンションのインプットですFはラウンドファンションですこの場合はRラウンドファンションのインプットを使用するバリアルとしてRラウンドファンションはコンスレンジで使用されていますToyの例のサイフルを説明しますこの場合はブロックサイフルのインプットは only 90ですまずは3ビートのインプットSbox in parallelこのアイスラウンドファンションはX1で使用されていますこの場合はXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,Y,I,Z,YXI,I,Z,Yxxxxxxxxxxx60のプロパゲーションはこのインクアリティを押し、60のプロパゲーションを取り除けます。次に、x1-5 is greater than or equal to 0.そして、60のプロパゲーションを取り除けます。次に、x1-5 is greater than or equal to 0.このインクアリティを取り除け、4のプロパゲーションを取り除けます。そして、41のプロパゲーションを取り除けます。8のプロパゲーションを取り除けます。この8のプロパゲーションを使って、DDTを取り除けます。次に、リニアレイヤーを取り除けます。例えば、y1-z1 is equal to y1 plus y7.そして、この table is differential distribution table.この4のプロパゲーションを取り除け、4のプロパゲーションを取り除けます。最後に、全年のランドファンションを取り除けます。3のでもらえるスボックス、9の stretching,今回のカントタイムはすべて6xになりました。サイフルに10の角の厚さを比較する 有力なサイフル提案用に起こし、60を後に割り出します。では、この技術は非常に簡単です。現在、MLPモデルのサイファーのモデルを採用しています。そして、このモデルを採用するために、XLとXRのアクティブポジションを採用します。この場合、MLPモデルを採用するために、XLとXRのトレードが必要となります。もし、MLPソロバルに移動し、このモデルは必要となります。XLとXRは必要となります。それから、XLとXRのパイアルが必要となります。この技術のアドバンテージは実際に多くのアドバンテージがあります例えば、この技術の中にファレンシャルディストリビューションをモデルしていますそして、この技術の中にコントローアディクションの理由は必要ですそして、MILPモデルと同時にファレンシャルディストリビューションをモデルしていますこの技術の中で、ファレンシャルディストリビューションをモデルしています次に、アプリケーションを説明します緑の技術をモデルしています緑の技術をモデルしていますAzure Crypt 2050では前に、ファレンシャルディストリビューションの6つですこの場合、この技術のサブバイトはアイデアのSboxではあります7つの技術のファレンシャルをモデルしていますそして、この技術のファレンシャルをlululaでサブバイトのストラクチャルを解消しましたそして、その後、ファレンシャルディストリビューションの技術をモデルしていますこの問題は値段があります今から解釈するのはリゾンモコントラディクションですこの場合は1-8の中に8ビットのSボックスがありますこのSボックスのスタイプを使っているこのSボックスのスタイプを使う例えば、まず、BitPermutationを使うと、次に、BitPermutation Inverseを使うと、BitPermutation Inverseを使うと、SSPYを使うことができます。この場合、この面白さを見ることができます。例えば、右側の場合、上と上に、 VoG tappingを同波弾を取り除き、上のSB1はアクティフの場合はここだけです。FITPermutation Inverseは最初にアクティフの場合を取りにします。この部分はアクティフ的是非です。右側の場合は完全に同波弾を使うと、この delayed propertyを使えたことを促っています。このト現成の人ろうい眩し Changeの状況を技術に、そのため、フォアワードのために、1バイトのアクティブが、このバイトのアクティブは、レイドプロパティーです。これがトップとボトム2のアクティブです。そしてサイファテックサイトです。同じポジションはアクティブです。このポジションは、中央4ビットのアクティブです。そのため、プロパゲーションで1、2、3、4、フォンションでフォースラウンドファンションです。このポジションは、フォアワードのためにデファレンシーがレイドプロパティーですが、サイファテックサイトのバイトはブループロパティーです。このように、このように、コントラディクトです。このプロパティブデファレンシーはアクティブのもう1カートがベークアップしているのでフォースラウンドファンションください。それでは、レイドプスを紹介します。リリリパッジが高まったフェイスレールネットワークも現象化したネットワークを推測して早年に绽 Veronica1st nonlinear layer and so permutation layer.But extended generalize, it could extend it to fn.So there are linear layer between nonlinear layerand permutation layer.So previous impossible differential is eight roundsbut we found nine large ones.So this is a specification for Ladybutt.So Ladybutt has 64-bit block lengths and 30 roundsand every branch has 4-bit.So let's start how to find the impossible differential.So the previous impossible differential is straightforwardbut our impossible differentialperfectly exploits the differential distribution table.So this table is the DDT of Ladybutt Xbox.So and conclusion.So that if input difference is like thisand output difference is like thisand after nine rounds.So alpha is chosen from 2389 is f.The pair of input and output differencesbecomes impossible differential.But from the limitation of time,I only explained why alpha is equal to nine.This becomes impossible differential.So this is a illustration of nine roundsimpossible differentialbut maybe you can't see it.So okay.So the first we focus on the first and the second round.So in the plaintext,we have differences alpha hereand after the first round,alpha moves here and next.So in the second round,alpha is input of the S-boxand after the S-box,so we get differences beta.So beta is propagated from alphato the S-box.Next.So after that,we focus on the round four and round fiveand from fourward direction,we get these differencesand from backward propagation,we get these output differences.Okay.So let's focus on the round fivehere at this point.So now,input and output difference is the same.So the output of S-box is also there.The output differences of S-box is also there.So the input is also there.So next,there propagates hereand alpha goes...we have alpha like thisand the output of differences becomes thereand the input also there.Okay.So let's go to round four.So after the bit permutation,this there moves in there.So we focus on the right side.Okay.So now,zero x or beta.So the output of S-boxoutput differences of S-box becomes betaand input differences is alpha plus beta.So but when alpha is nine,there is no such beta.So alpha goes betaand alpha plus beta is not equal to zeroand alpha plus beta goes beta.So if alpha is nine,there is no such beta.So this pair of input and output differencesbecomes impossible differential.Okay.So finally,I talk about new resultsfrom design aspect.So first,by using our tool,we can get something provable security.So but of course,we need assumption.So first assumption isround keys are always x or before S-boxand this round keys are chosen fromuniform at random.So but of course,if we focus on the real block cipher,so the round keys generated fromkeys scheduling algorithms.So this assumption never falls.But if we consider the cryptanalysis,so we sometimes use this assumption.So I think this assumption is reasonable.So observation iswe first focus on the non-linear layer.So if delta i and delta ois possible from differential distribution table.In this case,there is alwayssubkey that this propagation is possible.So and MLP can perfectlysummit the propagation on linear layer.So from to this observations,it implies if our tool showsdelta in delta out,it's possible.There is subkey such that the propagation is possible.As a result,this is the case ofmiddle from the skinnyand the rectangle and so on.So the remark is such space.For example,in the middle 128,I exhaustively search oneby to active impossible differential.As a result,we know8 rounds are provable secure under theimpossible differential in this such space.And finally,I talk about what is arbitrary S-box mod.So arbitrary S-box mod is very useful tofor the design process.So for example,so if we want toapply this technique to 8-bit S-box,so the number of inequalities torepresent 8-bit S-box is too large.So it is possible torepresent and create inequalities.But so current MLP solvercannot solve such huge MLP.So arbitrary S-box is a reasonable solution.So to represent 8-bit arbitrary S-box,so only to an inequalities enough.So for example,let's consider the situation.So linear layer,so now you design new block cipher.So linear layer already designed.And we never...But the design of S-box is ongoing.So in such case,so we can checkimpossible differential by using arbitrary S-box mod.So if we foundimpossible differential in this mod,so we never avoidthis impossible differential bychoosing S-box specified.And in other words,if impossible differential on specific S-box mod is the same as the caseof arbitrary S-box mod.So I think we can concludethe choice of S-box is optimal.So this case is the example ofmiddle and really part.So the middle is completely sameas the arbitrary and specific S-box mod.So I think the choice of S-box is optimal.But really part,so the 270,9-round impossible differential is specific.But 195impossible differential in arbitrary.So the choice of S-box is not optimal.So I think the number of round is preserved.I think it is reasonable.So finally,I conclude my talk.So new impossible differential such tobased MLP was proposed.And from cryptanalysis suspects,we can find new impossible differentialon five block ciphers.And from design aspect,so we can showprobable security and how to detectthe optimality of S-box choiceusing arbitrary S-box mod.Thank you very much.Are there any questions?Yes?So if I understand correctly,your analysisis complete assuming that the sub-keysare independent from each other.It's if and only if.If there is an impossible differential,you will find it and vice versa.But you said that due to the key schedule,you might not be able to getall the impossible differentialswhen the key schedule exists.So my question is,suppose that the key scheduleis linear.I see no reason why you cannot includethis linear key schedule in yourlinear programming.And then for linear key schedules,you'll get if and only if property.So you'll show that there doesn't existin the real scheme anything with more rounds,which is impossible differential.Is it the case?Yes.If the key scheduling is linear,so it depends on the specificbody of key sub-keys.So no differences.So in the data randomized part,the impossible differentialdepends on the differences ofbody,but the key schedule.So in this behavior,the key schedule depends onspecific value,not differences.So I think it's a...I need a more advanced techniqueto represent specific valueto observe and check specificbody using MRP,but I think it'sopen problem.Thank you.Are there any more questions?Okay,yes.So I guess your techniques can be usedto uncover backdoors.Sorry?I guess these techniques are good atuncovering backdoors in theblock ciphers.Yeah,actually,I don't know.Okay,let's thank this.