 Merci de la introduction. Je suis une preuve d'échec avec Telecom Paris Tech et Tales. Je présente un papier sur l'élection extra dans la multiplication modulaire en Mongol. Pour attaquer l'algorithme régulier. Alors, à commencer, je présente la multiplication modulaire en Mongol et la magnifique extrémité. La magnifique extrémité est la fin de la subtraction en magnifique extrémité. Je présente l'état de l'art de l'attaque contre l'extrémité, comme l'attaque de la timing. La deuxième, notre contribution est l'idée de l'attaque et de l'information à l'extrémité. Pour conclure, je termine par l'experimental resultat sur l'art de l'attaque. Pour commencer, nous avons une exposition modulaire dans l'ESA, la opération privée. Vous avez une exposition de K, ce qui est un secret. Nous avons juste fait un message de 2 waves pour K modulopie. Pour faire cette exposition modulaire, nous avons fait beaucoup de multiplications modulaires. Cette multiplication peut être optimisée pour avoir une compétition efficace. Nous avons une compétition. Nous avons plusieurs algorithmes pour faire cette exposition. Moncombrie modulaire, multiplication, barret, ou quelque chose comme ça, pour être efficace. Pour conclure la notation, nous avons utilisé moncombrie modulaire, multiplication, avec l'air de plus en plus de 2 np. Tout l'intégrité est transformé par une transformation modulaire. Tout l'intégrité inclut 0 np. Pour faire la multiplication modulaire, nous avons juste multiplié la forme de moncombrie A par la forme de B en utilisant l'air modulaire. Pour faire cette compétition, nous avons juste multiplié les 2 formes de moncombrie. Ensuite, nous avons utilisé un algorithme comme celui-ci. Nous avons multiplié par l'air inverse. Nous avons utilisé une compétition modulaire et l'air divisé par l'air de plus en plus de 2 np. C'est efficace de faire cette compétition à la ligne 1 et la ligne 2. Et la valeur U. La valeur U inclut 0 np. Pour avoir le résultat entre 0 et np, nous avons juste utilisé une addition. C'est la ligne 4. Cette addition est définie par la valeur X. Et quand on n'a pas une addition, la valeur X inclut 0. Comment trouver une addition extraite? La compétition modulaire dans le software. Nous avons un code, un code exact. Pour trouver cette addition extraite. Nous avons utilisé une multiplication modulaire dans le RSA. Nous avons utilisé une comparaison modulaire np. Et si nous avons un plus en plus de p, nous avons une addition extraite. Nous avons une addition extraite. Une addition extraite, c'est une addition extraite. En MBET-TLS, un autre software. Nous avons une addition extraite et une addition extraite pour protéger l'attaque. Comme un commentaire. Et c'est possible de trouver une addition extraite ou une addition extraite. Pour l'expérience, dans Opalense SEL, nous avons un emplément dans Cortex-M0. Nous avons la compétition du spectrogramme de la consommation pour la consommation. Et le spectrogramme est le temps dans la ligne verticale et nous avons la fréquence dans la ligne X. Et nous avons un square et un multipli et un autre square. Et quand nous n'avons pas d'espace, nous n'avons pas une finale d'expression. Et ici, nous avons plus de temps entre l'expression et nous avons une addition extraite. La deuxième partie expérimentale est l'électromagnétique analyses sur MBET-TLS implément dans Cortex-M4. Donc, tout l'acquisition en RSA est juste une exposition modulaire. Et pour l'exposition extraite, vous coupez tout l'opération, le square et le multipli et vous regardez la partie de l'expression pour trouver une élection extraite ou une élection extraite. Donc, juste en utilisant vos yeux, vous ne pouvez pas trouver la différence. Mais en utilisant l'analyse de l'horizontale, comme la clustering ou quelque chose comme ça, vous pouvez trouver une différence entre l'expression 1 et l'expression 0. Donc, la première attaque pour utiliser la timing est par Kosher. Donc, c'est un attaque globale. Nous avons choisi un message. Vous créez un template pour la timing et nous trouvons qu'est-ce qui est l'exponent. Pour cela, nous pouvons connaitre la modulité, donc nous avons pas de CRT. Mais nous voulons trouver un attaque en utilisant un P. Donc, nous regardons l'attaque par Schindler. Donc, nous avons beaucoup d'attaques par Schindler durant toutes ces 15 ans. Donc, la première est la seconde, Schindler 1 et Schindler 2. C'est un attaque en utilisant un message. Donc, Schindler fait un input plus petit ou plus grand. Et il décide si nous avons une réduction extraite ou pas et en utilisant la timing globale, nous pouvons trouver l'exponent. La dernière année à Chest, à Saint-Malo, il a publié un attaque contre l'expression blindée en utilisant un message choisi. Donc, la question est, est-ce possible d'avoir un attaque contre un régulier algorithme et contre un message choisi ? Donc, la formule Schindler est un attaque contre pas d'expression blindée, simple pour analyser l'attaque. Et nous trouvons une différence entre la square et le multiplier. Donc, en utilisant la réduction extraite et pas toute la timing globale, mais la timing locale, nous pouvons avoir une différence entre la réduction extraite et la réduction extraite dans la square. Donc, cette différence peut trouver la réduction square et le multiplier dans l'exposition modulaire. Donc, comment ça fonctionne ? Donc, vous faites un set de l'expression avec différents messages, M0, M2, M4, vous coupez toutes les opérations et vous remarquerez si vous avez une réduction extraite ou pas pour chaque opération. Donc, pour la première message, pour la première opération 0, nous avons une réduction extraite après la réduction square ou le multiplier. La deuxième opération, la première opération pour la message M, nous n'avons pas... Nous n'avons pas une réduction extraite. Donc, la X est 0. Vous faites pour toutes les opérations et pour toute l'acquisition de cette partie et vous déduisez, vous computez le sens de chaque réduction extraite et vous avez la probabilité d'estimation de chaque opération. Donc, pour être clair, j'avais un autre algorithme. Donc, pour chaque opération et pour chaque acquisition, vous détectez la réduction extraite, X est 1 ou X est 0. Et après, vous computez le sens et vous avez la probabilité d'estimation de l'estimation. Et juste en utilisant cette méthode, vous avez quelque chose près de P divided by 4R pour la première opération. Quand la valeur de la quay est 1, nous avons P divided by 4R. Donc, c'est un multipli. Et après, la deuxième opération, la troisième opération est la seconde opération et la deuxième opération est contre la seconde opération parce que vous avez quelque chose comme P divided by 4R. Donc, c'est le principal pour l'attaque de Schindler. Donc, pour l'amélioration, Koucher et Schindler 1 et Schindler 2 utilisent l'essence de choisir. Donc, pour protéger l'attaque, vous justifiez l'essence. Et le Schindler 4 est juste pour trouver la différence entre square et multipli. Donc, si vous utilisez un algorithme comme square and multipli always ou Montgomery-leder, ou quelque chose comme ça, vous protégez le Schindler 4. Donc, comment breaker ce algorithme? Donc, dans ce talk, je présente l'attaque contre square and multipli always. Mais dans le paper, nous avons la partie contre Montgomery-leder. Donc, l'attaque contre square and multipli always à gauche et à droite c'est juste que vous blanchez l'essence et après, vous faites un 4 loop pour tout le value de K. Et vous avez un square et vous avez un multipli pour tout le value de loop. Et nous avons le nom de l'opération SI et MI. Donc, pour les premières opérations, la probabilité d'avoir une extra-édiction dans le square est p divided by 4R et pour un multipli, p divided by 4 square est p divided by 3R et pour m, p divided by 4R. Et pour la deuxième bête, quand la bête est 0, nous avons tout le temps la multiplication du domi et cette multiplication du domi a la même propagation pour une extra-édiction. Donc, c'est la même probabilité. Donc, on ne peut pas distinguer si nous avons 1 ou 0 bêtes de valeur. Donc, quand vous étudiez deux opérations consécutives, vous voulez étudier deux opérations consécutives et si les opérations sont indépendantes, nous avons juste la multiplication de deux probabilités pour cette. Donc, nous voulons analyser ça. Est-ce que ça fonctionne ou pas? Mais la probabilité de trouver est quelque chose comme ça. Donc, quand la valeur bête est 1, la multiplication, l'outre de la multiplication est l'input de la square. Donc, la probabilité d'avoir deux opérations consécutives d'extra-édiction est bas. Et quand la valeur bête est 0, l'input de la multiplication est l'input de la square. Donc, la probabilité est plus élevé que la précédente. Donc, comment trouver cette probabilité et cette probabilité jointe contre l'opération? Donc, nous avons étudier la distribution de l'outre de la multiplication, la multiplication modulaire. Donc, quand vous multipliez deux valeurs de ronde entre l'uniformité distribuée dans les opérations, la distribution est l'uniforme, la distribution multipliée est l'uniforme. Et la valeur de l'outre est p divided by 2. Donc, quand vous étudiez l'absence d'extra-édiction, c'est aussi 0. Nous avons l'input de la distribution de l'outre et nous avons quelque chose comme ça. Donc, la probabilité d'avoir un numéro sans l'extra-édiction, le numéro est plus grand que la précédente. Si nous avons une extra-édiction, nous avons la courbe bleue et la courbe bleue est la distribution de l'outre et la valeur est petite quand vous avez une extra-édiction. Donc, l'objet de la distribution est quand vous avez la courbe bleue equals 1, vous avez comme l'input la valeur de l'outre et la courbe bleue, donc, une autre valeur de l'outre comme l'input de la multiplication. Si nous observons une extra-édiction, pour l'input quand vous avez quelle valeur, quelle valeur est une? L'input de l'input de l'outre est l'input de la courbe bleue. Quand vous observe une extra-édiction, l'input est petite. Donc, l'input de la courbe bleue, on n'a pas de chance d'avoir une petite probabilité d'avoir deux extra-édictions consécutives. Si la valeur de l'outre est 0, la valeur de l'input de la multiplication et l'input de la courbe bleue et quand vous avez une extra-édiction, la probabilité d'avoir deux extra-édictions entre la multiplication et la courbe bleue est la plus haute que la précédente. Donc, le travail a un beau volto avec cette compétition de probabilité. Pour être clair, je vais juste faire un exemple. Quand on a un exemple avec une pi close à l'air, on a juste quelque chose comme ça. Et pour la valeur de l'outre qui est 1, on a 1 divided par 48 pour avoir deux extra-édictions consécutives entre la multiplication et la courbe bleue. Et quand la valeur de l'outre est 0, on a quelque chose comme 6 divided par 48. Donc, juste en utilisant la courbe bleue en utilisant la probabilité de la théorème, on a quelque chose comme ça. Quand la ratio pi divided par l'air augmente, la courbe bleue augmente quand la valeur de la courbe bleue est 1 et quand la valeur de la courbe bleue est 0, on a la valeur positive. Donc, je vais expliquer ceci. On a le même en début. Donc, on coupe toutes les opérations et on détecte chaque extra-édiction entre les opérations consécutives de la courbe bleue de la courbe bleue. Donc, on a cette pour toutes les opérations et pour toutes les acquisitions. On compute la probabilité et après, on compute la courbe bleue de la courbe bleue. Donc, pour explorer cette courbe bleue, on a une simulation pour trouver le nombre de courbes pour faire l'acquisition et, comme vous pouvez le voir, quand on a la valeur positive de la courbe bleue est 0 et quand on a la valeur de la courbe bleue de la courbe bleue, on a la valeur de la courbe bleue est 1. Donc, pour faire cette compétition, on a estimé le nombre de traces quand on a la valeur de la courbe bleue de la courbe bleue et, on a juste ajouté la courbe bleue dans les traces de la simulation et quand on a une courbe bleue de 10 % pour avoir une valeur de la courbe bleue le nombre de traces est 300 traces et quand on a une probabilité de la courbe bleue on a un nombre de traces de la courbe bleue donc, pour l'expériment, on a fait la courbe bleue avec la détection de la courbe bleue on n'a pas de bruit dans les détections, donc le nombre de courbes est 200 pour MbTLS en utilisant une méthode d'horizontale de la courbe bleue le nombre de courbes pour faire l'attaque est 10 000 donc, pour conclure donc, on a trouvé un nouveau attaque contre le terrorisme de la courbe bleue sans choisir le message et quand on a une simple courbe bleue de la courbe bleue peut-être, c'est quand on est bleu on a une protection contre la courbe bleue on a un détail pour MbTLS dans la courbe bleue merci pour votre attention si vous avez des questions