みなさんこんにちは。私はコーセーサカモトです。このビデオについてお話しします。オルトロスはローライトのCPRFです。これはスーパーディープバニック、タカノリーソベ、フューコーリュー、カズヒコミネマツです。最近、ローライトクリプトグラフィーがシメトリッキークリプトグラフィーの中で、ローライトクリプトグラフィーはローライトCプレミティブを作ります。このプレミティブは、アプリケーションについてインスタントの劣化、エンクリプション、メモリーバス、ストライドシステム、オートモータイブコミヂケーション、インダストリアルコントロールネットワークを作ります。ローライトCプレミティブは、運用者、カルマ、マンティストなどについて、しかし、インバーティブルプリミティブスのほとんどの仕事をしています。名前は、プリミティブスのデクリプションルーティーンです。私たちの仕事は、インバーティブルプリミティブスは、ローライテンシーのアプローチです。さらに、CBCとXDSのデクリプションルーティーンが必要です。しかし、CTR、CMAC、GCMなどの多くのモードが必要です。でも、プリミティブスのデクリプションるーです。しかし、プリミティブスのノーインバーティブルプリミティブスの、BLFなど、航空のセキュリティーにより、際限の良いモードが必要です。この理由は、メミリー使用度についても使用度が必要です。この自分のデクリプションは、ローライテンシーのノーインバーティブルプリミティブスの、手前に、さっきの詳細を説明しています。この仕上げについてお伺いします。この仕上げについてお伺いします。新しい128-bit RAW-Lighted CPU-RFの名称オルトロスについております。オルトロスのデザインは2KIDパーミテーションについております。この意味は、サイファテクスが2KIDパーミテーションについてお伺いします。この2KIDパーミテーションは、SPNタイプストラクチャーのようなブロックサイファ緑についております。この2KIDパーミテーションは、2KIDパーミテーションについてお伺いします。セキュリティをお伺いします。セキュリティアナリシスを追加して、プロバブルセキュリティの支援を行います。オルトロスは、2KIDパーミテーションについてお伺いします。オルトロスは、2KIDパーミテーションについてお伺いします。このスライドで、オルトロスの説明をします。オルトロスは、128KIDパーミテーションについてお伺いします。前回の概念については、Generality Construction いつも、128bitキードのパミュテーションを 得到した2 split- bit 基準で、Branche1とBranche2風景を 生じているための作業を行います。底下のペースになり、これいまサーモールで 2カードのパミュテーションを 得到した2分のプリッシュを作りました。128bitキードの資料は 、Branche1とBranche2と半端の同じ128bitキードの アウトプリットの形を設置するため,つまり、同じ 128-bit 鍵は、ブランチワンとブランチ2を使用しています。ブランチワンとブランチ2のディテールをご紹介します。ブランチワンとブランチ2は、SBN-based 128-bit 鍵のパーミテーションを使用しています。バイナリマトリックス、4-bit S-Box 、パーミテーションを使用しています。ランダンバイスの2つです。ブランチ2は、フォーラウンドの4つのパーミテーションを使用しています。後、8-1番がエアパライドでネブルパーミテーションを使用しました。、SBN-based 128-bit 鍵の2つは、ディレールの辺りの方がオプリマイストです。ブランチワンとブランチ2の、バイナリマトリックス、ブランチワンとブランチ2の同じように、4-bit S-Box とブランチ1の共存の�きです。ブランチワンとブランチ2の、バイナリマトリックス、ネブルパーミテーションを使用しています。一个の一目のパンピューティーは、まず4ラウンドにアップロードされています。そして、ニブルパンピューティーは8ラウンドにアップロードされています。このパンピューティーは、あなたの資料についての説明を見ています。ラウンドコンスタントは、ピアノパイの部分です。このパンピューティーと同じです。毎ブランチは、アップロードの仕上げを充実にします。毎ブランチは、1個のパンピューティーだけであっています。128 bit keys are applied to bit permutations to generate each round key. From this slide, I will show the design rationale of orders.First, I explain the feature of our general construction from the perspective of performance and security.The advantage of performance is obvious.We can compute both branches in parallel with the fully unloaded circuit.It contributes to reducing the whole critical path.Regarding the security, it is difficult to reduce the security of some of the two relatively weak permutations to probable security.In other words, by die at all, it is proved if there were strong key permutations that some guarantees end with security.This means that two key permutations have enough security margin. However, each of our key permutation does not have enough security margin by itself in order to minimize the critical path.Therefore, we need to carefully conduct the security analysis on our design.At the start point, we conduct some initial studies with the toy cipher in terms of differential and linear behaviorand confirm that our general construction is reasonable.We emphasize that this is just a simple experiment to initiate our work and the security of all of us does not rely on this result.To show the security of all of us, we conduct a comprehensive analysis on not only the whole design but also branch 1 and branch 2.For key scheduling, we adopt a bit permutation-based key scheduling function to provide the strongest security level.This can be realized cost-free by wire operation in hardware.Next, we show how to construct key permutations branch 1 and branch 2.As said before, branch 1 and branch 2 are both based on SPN-based key permutation, like block cipher-middle,which means to consist of a binary matrix, permutation, and 4-bit test box as internal operations.Regarding the binary matrix, we use the same binary matrix as Midori, which is known to have a good balance in terms of security and delay.Regarding permutation, we try to find good permutation in terms of both diffusion and the lower bound holds the number of active S-boxes.Regarding the S-box, we try to find the 4-bit S-box optimized for the delay.So, our challenge is to find a good permutation and S-box.In this slide, I will explain our method to find the 4-bit S-box optimized for the delay.We aim to find a small delay and lightweight 4-bit S-box.We use a well-known requirement on S-box, namely, the maximal probability of a differential is 2 to the power minus 2.The maximal absolute bias of a linear approximation is 2 to the power minus 2 and having the full diffusion property.To optimize for the delay, we employ a metric depth which is introduced by Panic et al.The important point is that we do not require the involution property, which means we can increase the number of candidates of our S-box.Here is our 4-bit S-box used in both branch 1 and branch 2.As you can see in this table, our S-box has the smallest delay among the existing 4-bit S-boxes.From this slide, I will describe how to choose permutations in branch 1 and branch 2.First, we compare bit permutation and linear permutation from the perspective of diffusion and active S-box.To compare bit permutation and linear permutation in terms of diffusion,we investigate the upper bound for the number of active bits after each operation.SPNB denotes the SPN-based structure with our 4-bit S-box, biometrics, and bit permutation.SPNN denotes almost the same structure which has linear permutation instead of bit permutation.As shown in this table,SPNB can achieve full diffusion after 2 rounds plus the S-box layer,while SPNN needs 4 rounds to achieve full diffusion.Therefore, bit permutation is better than linear permutation in terms of diffusion.Regarding the number of active S-boxes for SPNB,it is computationally infeasible to obtain the lower bound for the number of active S-boxes more than 5 rounds even on a powerful computer.It means that we can only get a lose bound by the sum of lower bounds of less than 5 rounds.On the other hand,for SPNN,we can obtain the lower bound for the number of active S-boxes after 8 rounds in no time.As a result,we found a class of linear permutations that achieves 60 active S-boxes over 8 rounds.Therefore,linear permutation is better than bit permutation in terms of active S-box.From the investigation in terms of diffusion and active S-box,we decided to use both bit and linear permutations in branch 1 and branch 2.We utilize a bit permutation to provide a fast diffusionand linear permutation to provide fast growth of the number of active S-boxes.So,branch 1 and branch 2 has a bit permutation in the first 4 roundsand a linear permutation in the remaining 8 rounds.We use a different bit and linear permutations in each branch 1 and branch 2.In this slide,I will explain how to find the class of bit permutationsachieving the 2.5 rounds for diffusion,which means 2 rounds plus S-box layer.We take 2 conditions to find this class of bit permutations.The first condition is here.This condition makes the number of active nibbles 13 after the first round.The second condition makes the number of active nibbles 32 after the second round.After applying S-box in the third round,we achieve full diffusion.Next,I will describe a class of nibble permutation we searched.It is difficult to search all nibble permutations since the number of candidates is more than 2 to power 117.For this reason,we restrict our search space by condition 3.This condition maximizes the number of active S-boxes in the second round.We randomly choose 7000 candidates and evaluate the number of active S-boxes.As a result,we get a class of nibble permutations that achieves 60 active S-boxes over 8 rounds.In this slide,I compare branch 1 and branch 2 with middly 128.In terms of diffusion, branch 1 and branch 2 achieves the 2.5 round full diffusion while middly achieves the 3 round full diffusion.In terms of active S-box, branch 1 and branch 2 have 60 active S-boxes over 8 rounds while middly has 38 active S-boxes over 8 rounds.Therefore, branch 1 and branch 2 are better than middly in terms of both diffusion and active S-boxes.Next,I briefly explained the security of Altos.We carried out extensive security aberrations such as differential linear,impossible differential,integral,imvariant subspace attacks,and so on.You can see details of our security aberrations in your paper.Regarding the key recovery attack,we expect it seems difficult to conduct key recovery.This is because ciphertext is calculated by the sum of the output of 2 key permutations,and branch 1, branch 2,and each key scheduling has different permutations.Here is the hardware implementation result.Altos achieves a small rest delay among these prohibitives.Notably,Altos achieves a smaller delay than Prince,even though Prince has a 64-bit block,while Altos has a 128-bit block.Here is the result on the various environment not optimized for the delay.As shown in this figure,Altos achieves better than other primitives in terms of delay in all environment.Lastly,I conclude this presentation.In this work,we present 128-bit raw writing CPRF named Altos.Altos is based on 2 key permutations.The ciphertext is computed by the sum of outputs of 2 key permutations.We carried out extensive security analysis on not only Altos,but also branch 1 and branch 2.Altos achieves impressive performance in terms of delay.This is the end of my presentation.Thank you for your attention.