このコロナウイルスのコロナウイルスは、アキコイノウエ、テツイウラター、ベルトロンプロタイム、I'm Kazuki Komine Matsu from NAC Corporation.このコロナウイルスのコロナウイルスは、OCP2のコロナウイルスと同じです。このコロナウイルスは、コロナウイルスのコロナウイルスと同じです。このコロナウイルスは、D-Dubb Bariablesのコロナウイルスと同じです。ここには、キー、Nonsense、PintXM、そしてアソーシェイトデータAについて、インプットの部分は、オーセンティケットについて不確認しています。このコロナウイルスは、オーセンティケットについて、サイファテキストとオーセンティケットタグを作ります。そして、NACTのコロナウイルスをレシーブルについて、レシーブルのレシーブルのレシーブルをレシーブルについて、フォールインプルはオータンティックなのですが、オータンティックのプレインティックはレターンになります。エラーメッセージはレターンになります。そうすると、多くのアイデアスキムを持っています。2ネストレクションのモードのオペレーションは、GCMとCCMです。そして、IZO-19772の6スキムを使っています。GCM-24E-1305のGCMを使っています。そして、オータンティックのオータンティックのオペレーションは、CZO-19772の6スキムを使っています。そうすると、オータンティックのモードのオペレーションは、オータンティックのグラムの方法で、ロガフリーンで再生しています。その場合は、1.者のMathanatや指ああす真的なmathanatに対応した摩打殖モードです。押し付けのモードでは自 местаおよす Ke-5 レジンパーを最近追加しましたそして、CCS 2001のローガウェイトRでのプロポーズを 提供させていただきました2番目は アワターゲットが 提供されていますローガウェイトは 2004年のエイジアクリプトで 提供されていますそして 最後に オッシビ3が クローベットのローガウェイトで 提供されていましたオッシビの全家が 機能的に 防御的な意見を 学習しています例えば タイトネスオブルセクリティバウンドが 調整されていますそして リミッテーションの アタックが アタックを 調整されています強いスルーランダムの アンダーウィングブロックサイファーが 調整されています最後に オッシビ3が アクリプトの クローベットの 提供されていますさらに いほた オッシビ3の ウエイトが 特徴で 数多裡の活μοが 凛たっていますオッシビ3へは 新あり オッシビ1型能 スポンジ ガールロールで ケーブルを固んでいます濃厚なCB2フィッシュはブロックサイトフォーラーとブロックサイトフォーラーに15年以上経営されていますこれについて沈黙的なアタックについてオーセンティストアタックについてエグジステンショルとユニブルーサルフォージャリーについてコンフィデンショリティ基本的なディステンゲーションアタックに全てのプレインティストレコーバーについて全てのアタックは非常に小さなコンフィデンショリティと全てのアタックの可能性はほとんど一つ前にアタックを見る前に実際にアタックが効果的なインパクトについて全てのアタックを見る前にまずはCB2は6つのアルゴイズムをアイゾルについて最後のアタックを始めた最後のアタックをもう一度このアタックを取り除くではJavaScript CryptoLibrarySJCLCB2を使ってCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者ではCB2の使用者ではCB2の使用者はCB2の使用者ではCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はCB2の使用者はここにあります。エースティビモードの仕上げは、どこかのマスクが出ているのではなく、Lのマスクの仕上げはエンクリプションの仕上げです。この2LはXのマジュプリケーションで、3Lのマジュプリケーションで、2Lのマジュプリケーションで、2Lのマジュプリケーションでの装備は、コウンターモードアップはいつも行きました。エンクリプションを使って、2Lのマジュプリケーションでの装備は、2Lのマジュプリケーションでの装備は、0Lのマスクが出ていたのです。メッセージ音源を用意しなければなりません。エンクリプションは、スペシャルマスクバリューでタグを作ることができますタグはタウビットの中にあるかもしれませんもしデータがありますまずPMACを作ることができますPMACはパリライザーブマークモードボーペーションです最後のタグはTを作ることができますしかしこのタグはエディーではありませんエディーではありませんこのタグはこのように作ることができます簡単にタグを作ることができますエディーは多くのタグを作ることができます次はフォジュアルアタックですデスクリプトは簡単ですまずアビトリーナースNを作ることができますここにMを作ることができますMは2ブロックです1ブロックはサイトのランクのインフォーマークの始めますM2はアビトリーですエンクリプトの特殊なタグはCE1 、CE2 、C2 、T2ですエンクリプトのワークオブはタグは使わないことができます記憶していますCE1&CE2はコミュレーションのサイトフォジュアルアタックを使うことを使っていますこれをフォジュアルアタックを作ることができますフォジュアルアタックを作ることができます同じナンスを使うことができます4jサイファテクト C' and 4j Intel T' here.C' is just one block.C' is consistent with the sum of C1 and the length of information.T' is the sum of C2 plus M2.There is only one block.So the decryption is essentially a counter-mode decryption.C' is here.Because it is n-bit,We see a cancel here with this block blue line and this blue encryption value.Block type output.So we see the decryption will return 2L plus length information.Because it is one block,It's also used as a checksum here.We know that this special mass for tag generation,2 times 3 times L,is equal to the 4L plus 2L.So we see a cancel again here, this value.So the result is here,which is an encryption of the 4L plus length information,which is exactly the same as the T'So we get the accepted this with probability 1.So this attack can be extended to a longer message.The idea is essentially to craft only for arbitrary long messages.We just crafted the last two ciphertext blocks.And the idea is pretty the same.So I'm skipping it.And this attack is also extended to break the confidentiality.And the real bad notion here is a privacy CCA,whose goal is distinguishing the pair of encryption,the decryption OACO from the pair of random encryptionand OCB2 decryption.Of course we have to...advance is not allowed to make a trivial queries to win.Then the attack is simple.We just mount a minimal forgery and see if this is accepted.As we have seen that in the left world case,this will be accepted with probability 1,whereas only a negligible probability 2to make a forgery to be accepted in the right worldis just a random, just returning the random value.And of course...I would like to note that this decryption OACO is in fact not necessarily just a verification OACO,just returning the one bit valuefor the authenticity of the full input or notis just enough for our attack.Okay.So what will happen after the minimal forgery?Then,as I mentioned,advance will be received m'which is a sum of the 2L plus length informationand 2L is just a multiplication with a constant.So L will be learned.So this will also be receivableby the block cipher input out to pairsin addition to this nL.And in the end we get a low block cipher encryption accessand this will allow a more powerful attack.So let me move to the description of the universal forgery.The attack consists of two procedures.The first sample pairs is to correct a set ofrandom input out to pairs of block cipherby just using the minimal forgerywith some randomness.And the other routine,n cipher obtains a block cipher input out to pairsx1,y1 to xmymfor arbitrary chosen excites.So this allows them tomount a low block cipher access.This is essentially possibleby picking some known IO pairsfrom the result of sample pairsand using it as a pair of non-said masks.Because a corresponding mask is known,we just pick an xi arbitrary hereand sort the 2il to get a correspondingplanetext message here.And from the encryption oracle,we learned ci here.So we learned yi here.So the return c reveals the y sequence.So the goal of the universal forgeryis to simulate ocp2 encryption oracle.So we first set an arbitrary targetand call sample pairsand call n cipherto determine all input out pairs of block cipherthat will happen by encrypting this target valuewith ocp2 encryption.And we will learn the cdera hereand the resulting ndera cdera pderawill be accepted as buriedand it will return the mderawhich means thatthe process of the universal forgeryand as I mentionedthat this third step needsmultiple in ciphercoresbecause the reason can be obvious from this picture.So the lower part shows the pmacparalyzer mac modein case of the ad presentand the upper part is the ocp2 encryption.So we first need to determinethe dmask output valuesof the first n ciphercorefutually determine the inputto the dbboxes.Then we will learnfrom the output of the second n ciphercoreit's enough to determinethe input to the disk green box.So in the endthe three n ciphercoresshown to be sufficient for any targetto mount the universal forgery.Okay.Then we move to the plain text recovery.This is the attack model here.Something similar to the attack againstthe unshift standard e-modecalled exprime.So first,adversary has somenster, ester, shifter, tsteras an encryption of unknown mster.And the adversarycan access to both encryptionon the decryption oracle,but nonethinster cannot becreated to encryption oraclebecause it has been used andofcourse the trivial decryption queryis not allowed.With these restrictionsthe goal is to recover mster.Okay.The attack idea is toswap the block of the sisterto create some fake shidaraso that the decryption of shidarawith nonethinster will reveal mster.How this is possible.Okay.Here is the target ciphertextshifter here, nster here.And we first recovered elsterusing the sample peers and the cipheras I explained in theUniversal forgery.Thenwe tick certainjs and case ciphertextblocks and sort withsome mask valuesas we already learned elsterand swap themand decrypt it.Then,because of thecipher inputwe see the swap of theblock cipher input as wellfor these blocks are just swappedso it will result in thedead print text blocks.js and case blocks.Okay.Because these offset hereandto some of the masksare equal,they will becanceled in computing the checksum.So this means thatthe decryptionwill be accepted.Then welearned these print text blocks.As we already knewthe elster,this will meanthe recovery of mster.That's the goal.So this attack with almostprobability,there are somenegligible bad events here,butit's just negligible.And then this attack can beaccented to some directions,butI'm skipping here.So in the remaining,I would like todescribe how this happenedfor a scheme ofprobable security.Of course,there's a flaw in thepros,otherwise,this is notpossible.So to understand this,it'simportant to understand thatthe OCB2 consists oftwo tricable block ciphercodes called XC,X and XC.Both using themask,two timesJ times L as a functionof a tric and ij here.and XC,Xapplies the mask for both sidesto achieve the c-sharesecurity,whereas the XCapplies the mask toonly the input sidefor achieving the efficiency.And these two modes arecombined by introducingan additional bit of trick calledTag,B here,and B equal 1use of the XCX.B equal 0 means the use of the XC.And this combined mode is calledTag,TB,C,XC,Xster.And the definition is here.Former definition is here.And forshowing the security of XC,Xsterlog of Ace paper,there are theTag-respecting adversaries definedwho is an adversaryand just follows these two conditions.First,theno-decryption query is possibleand B equal 0,because thatmeans that an XC cannot be accessedfrom the backward direction.And once a query with2e equal to double,BTis made,then never query thecomplement of B with the sameT for any T.And the rule of action is thatXC,Xster is a secure TBCagainst anycomputationary restrictedOK,and we introduced anintermediate scheme,CV2which is essentiallyabstruction of theOCB2 using the TBC.So,CV2so,that then,OCB2using the block cipher Eis the equivalent to the CV2using the XC,Xsterusing block cipher E.And with this equivalencewe can build andhybrid you for analyzingthe authenticity of the OCB2and this equation showsthat the security of the OCB2is essentially bounded by thesome of the security ofXC,Xster plus the securityof the thetaCV2using the idealized trickable block cipher.And thelaw of xcram is that thishybrid holdsfor some tag-respecting adversarythat can simulate it,but it turns to be longsimply long,becauseas we have seen in our minimal forgeryit calls the XC,Xsterwith 1Tand 0T for some There that clearly violatesthe second access ruleof tag-respecting adversary.So,that said,authenticitygame forces us toabuse the XC,Xsterthat's the flow in the proof.So,we haveinvestigated their effectof our attacks,butyeah,this,it turns out thatour attack is very specific to OCB2so,the otherschemes are safe.For example,theOCB1 and OCB3 are safe.And other related schemes such asOtL and OPP are alsosafe because they donot use XC,Xsteror they use the XS,but they arethey do notmissuse.So,wecan fix OCB2in several ways.The most obvious one isto apply theXC,X instead ofXC for the last message block.The resulting schemeOCB2Fis probably secure in your paperthe proof is in our paperand it is secure because itcorrectly uses XC,Xster.There are some other optionsfor fixingbut it needs stillsome tools,yeah.Of course,we canjust abide using OCB2bust by switching itto the ZCM or OCB3of course.Okay,to concludethe main message is pretty simple.OCB is totally brokenandseemingly small for in the proofthat the supplicingly powerful attacksand fortunatelyI'm not surebut our attack is veryspecific,so not applicable toOCB1 and OCB3.And I would like to mention that thestress and the general structure ofOCB is sound and secure.What lessons run here?So simple,even the mostpromising scheme can fail.So,crypt is hard,I think.And every detail proof isvery important for assuringthe full security and activeverification is important.Of course,proof verificationfor a provable security schemeis usually little rewardingbut this time,I'll say very.Okay,that issensory attention.Any questions?You'll have to cometo the microphones near the stage,please.You can't see me,but...Weakness first and thenfigure out that the proof had the flawand the proof first and thenfind the weakness.We first found a gap in the proofand we tried tofigure out that OCB2is secure in the end,so wetried to patch the proof first.But eventually we foundthat OCB2 is insecure.That's the story.Any other questions?Okay,let's thank the speaker again.