 Finalement, la dernière parole de la session, qui est aussi la dernière de la journée. Elle est élevée face à des techniques de contre-mode et d'encryption basées sur l'utilisation des données répétitives. C'est un papier par Jean-Yong Park et Dong Hoon Lee. Jean-Yong a donné la parole. Merci pour l'introduction. Je vais commencer ma présentation. La question de ma présentation est de l'improvement de la mode contre-mode en software. Comme vous le savez, le bloc de l'AS et le mode contre-mode sont utilisés pour des applications numéroses comme une technique d'encryption parce qu'il y a plusieurs advantages comme la sécurité des problèmes, les requières randomes, la procédure parallèle, etc. Le mode contre-mode AS n'est pas seulement incorporé dans les schemes d'incryption authentique comme ASGCM et ASCCM. Donc, l'optimisation de l'AS contre-mode n'a plus de bénéfices numéroses qu'en itself. Il y a des caractéristiques sur l'AS algorithm qui sont utilisées dans le mode contre-mode. Le mode contre-mode s'inquiétise souvent plutôt que les séquences planétaires et les outils sont utilisés en utilisant des séquences planétaires et des opérations exorbonales. Donc, comme l'a dit le figure qui présente l'insulité de l'AS en processant plusieurs blocs, le contre-mode n'existe mais change seulement la dernière pièce en plus. Donc, comme résultat, on peut trouver que l'outil d'insulité et l'outil d'insulité sont aussi différents dans la dernière pièce, d'autres sont identiques. Pour l'instant, il y a toujours des changements dans les blocs d'insulité. Donc, cela signifie que les rounds frontales sont utilisées en mode contre-mode dans l'AS contre-mode. Donc, si ces valeurs sont utilisées bien, l'AS contre-mode peut garantir la performance de l'insulité. C'est déjà connu en mode contre-mode. Mais l'insulité en mode contre-mode n'existe seulement en mode contre-mode. Donc, ils ont besoin de recalculer le reste, qui n'est pas couvert par la technique d'insulité dans chaque bloc. Je vais discuter sur cette limitation en plus de détails. Je suis sûr qu'il y a une transformation de l'AS contre-mode, sur cette page. Et maintenant, je vous remercie d'avoir des méthodes d'insulité en mode contre-mode. D'abord, il y a une implementation de table base. Cette méthode utilise le table de précomputation et la fonction de round est faite par plusieurs table-lookups et de l'exploitation. Cette méthode est très utile pour l'exploitation d'insulité en mode contre-mode. D'ailleurs, cette méthode est disponible pour les channels d'insulité en mode contre-mode parce que les indices de lookup sont dépendants du round qui est une information secret. Donc, pour les applications d'insulité en mode contre-mode, cette dernière méthode a été introduite. L'insulité d'insulité est une implementation constante. Il n'y a pas de dépendance secret. Il n'y a pas d'instructions de diverses types de branches ou de patterns qui dépendent des informations secretes. Finalement, Intel a annoncé un set d'instructions appelées ASNI pour assurer l'exploitation d'insulité en mode contre-mode. En utilisant l'instructions ASNI, un programme peut faire un tout round dans une seule instruction. Cette table montre le résultat le plus rapide de l'implementation. Une comparaison simple n'est pas appropriée parce que les tests de l'environnement sont différents. Mais pour ce résultat, l'exploitation de l'instructions ASNI est une méthode de performance. Pour récorder l'implementation, il peut essayer d'évoquer une technique contre-mode mais un attente n'est pas facile. L'impact de l'exploitation n'est pas effectué sur les tests de l'instructions ASNI. Il n'y a pas d'insulité en mode transformation donc le reste, qui n'est pas utilisé par l'implementation doit être calculé dans chaque bloc. Par exemple, dans le cas de l'instructions ASNI, une seule instruction peut être utilisé pour l'implementation de l'instructions ASNI. L'implementation de l'implementation n'est pas effectué. L'implementation de l'implementation de l'implementation de l'implementation doit être effectué. Nous proposons l'implementation technique sur le mode contre-mode par l'implementation de l'instructions ASNI et nous avons nommé la phase. D'un point de vue de technique contre-mode qui s'occupe par des résultats par l'implementation de l'implementation, notre phase de l'implementation peut être couvrée par l'implementation Nous avons shown que notre technique de modélisation de comptes est appliquée à l'implementation de biseaux et à l'implementation de l'ASNI. Notre travail est le premier à appliquer la modélisation de comptes à biseaux et à l'implementation de l'ASNI. Consequent, nous avons récordé le plus grand surplus que nous avons acheté. Nos résultats show que nous avons apprécié 15 à 20 % plus vite que ceux que nous avons récordé précédemment. Je vais expliquer notre technique de modélisation de comptes, including les précédents. Je pense que ce sont probablement les résultats du comptes de modélisation. Il y a 5 types de techniques de modélisation de comptes, et ils sont distingués par la modélisation que nous avons appréciée. La figure à la fin de ce slide montre comment la différence entre les comptes est appréciée par la modélisation de comptes. Comme je l'ai mentionné, la différence entre les deux blocs successifs est juste une fois. Et à l'endemain de l'année 2, cette différence s'est appréciée à tout le résultat. Maintenant, nous allons prendre en compte comment faire les données répétitives utilisées. 1. FaceRD0 traite l'intelligence initiale. Dans ce cas, en procédant plusieurs blocs, la valeur du comptes augmente, mais la différence entre les deux blocs a changé. La différence entre les blocs a changé jusqu'à la différence entre les deux blocs a changé. Comme vous pouvez le voir, après l'intelligence initiale, cette caractéristique est encore maintenue dans le résultat. L'outil est différent de l'autre bloc. Les blocs ont changé et sont réutilisés pour l'opération de l'exhoration. FaceRD0 utilise un petit bloc de 15 blocs pour minimiser l'optimisation de la cash. FaceRD0 utilise la même information de cash jusqu'à la différence entre les 11 blocs, parce que la différence entre les blocs a changé par la différence entre le comptes et le round key. Pendant la procédure de 2 à la force de 32-1, Face.NET n'a pas besoin d'updater l'information de cash. FaceRD1 et RD1+, traite le round 1. Car l'outil de round 0, c'est-à-dire l'intelligence initiale, est utilisé comme l'outil de round 1. La dernière bloc de l'input est différente dans la dernière bloc. La différence s'affecte à la première columne, plutôt que d'affecter le whole state. On peut réutiliser le résultat du round 1, d'excercer la première columne. Depuis que la data de cash s'est changée, quand l'input de round 1 s'est changé, Face updates la data de cash pour chaque bloc de 256 blocs. L'implementation de l'implement de Hong-Jean, c'est que la data partiale de la première columne de round 1 s'est changée. Mais, si Face.NET n'a pas besoin de cacher, la data de la première columne peut être coverée par FaceRD1+. FaceRD1+. génére les valeurs précomptation pour la première columne. Ces valeurs précomptation peuvent être générées durant l'initialisation des paies, ou durant l'incryption des paies. Les valeurs précomptes de la première columne de round 1 sont covers par FaceRD1. Mais la première columne s'est changée pour chaque bloc. Comme vous pouvez le voir, les facteurs qui déterminent la première columne sont les éléments 0, 5, 10 et 15 de l'input de round 1. Depuis que la première columne s'est changée, les éléments 15 de l'input de round 1 sont déterminés par l'incryption des paies. Et selon les règles d'incryption, comme les valeurs précomptes de la première columne, l'incryption de l'incryption de la dernière columne s'est changée légèrement. Ces valeurs précomptes ne sont jamais changées par la première columne d'incryption de 2 à 40 blocs. C'est-à-dire que les mêmes valeurs sont déplacées par les 256 blocs. Par exemple, les blocs 0 et les blocs 256 ont la même valeur. Et similarly, les blocs 1 et les blocs 257 ont la même valeur. Nous pouvons générer un table de lookup temporaire qui utilise l'incryption de l'incryption de la dernière columne. Nous avons besoin d'un extrait de 1 kilobyte pour créer un table de lookup parce que la première columne est de 4 bytes et l'incryption de l'incryption de l'incryption change de 0 à 255. Ces tables précomptes peuvent être utilisées pour procéder par des blocs d'incryption de l'incryption de l'incryption sans avoir besoin d'un extrait de procès. C'est le procédé de cachement pour le FACE RD1+. À la fin de la première columne, la première columne est installée dans le table de lookup temporaire. Et à ce moment, la dernière partie de l'incryption est utilisée comme un index. Finalement, par l'incryption de l'incryption de l'incryption de la dernière columne, la première columne est utilisé pour procéder par un table de lookup temporaire. Les 4 opérations de la première columne peuvent être faites avec deux roues de la main de la main et une opération de la première columne. La première columne est utilisée comme l'input de la seconde. Dans cet exemple, la différence entre les 4 opérations qui composent la première columne et cette différence, à la fin de la seconde, la différence en input affecte le résultat. Les outils de deux blocs sont complètement différents. Mais nous pouvons aussi faire des caches dans la seconde. La boxe à la droite de la figure déclare la calculation de les deux blocs de la première columne à la fin de la seconde, spécialement pour la première columne. Comme vous pouvez le voir, depuis que le élément de Giros est différent, donc les données concernant l'élément de Giros ont changé, mais les autres n'ont pas changé. Donc, nous pouvons cacher la calculation intermédiaire pour la première columne comme shown dans la figure par les blocs de la droite ici. Et similarly, les autres blocs sont caches la calculation intermédiaire. Par exemple, la deuxième columne peut cacher, d'exemple, les données concernant ce troisième élément. Nous pouvons utiliser ces données de caches en procéduisant 255 blocs successifs et la fréquence d'une updates est équalée à la phase RD1, car la variation de la deuxième columne de la seconde à la fin de la seconde effectue la information cache. La phase RD2 plus aussi génère les tables précomputées pour les données restantes qui ne sont pas coverées par la phase RD2. Parfois, la phase RD2 plus évoque les propriétés similaires de la phase RD1 et le targé est différent. Alors, j'aimerais poser votre compréhension pour quitter les détails de la phase RD2 plus. Parfois, éventuellement, par évoquer la phase RD2 et la phase RD2 plus, toutes les opérations de round 2 peuvent être évoquées par la phase RD2 et la phase RD2 plus. À ce point de temps, il peut être important d'entraîner les priorités de la phase RD2. Parce que, depuis que notre méthode utilise une table additionnelle, c'est que notre méthode introduit les canons de la phase RD2 pour protéger l'implementation. La des canons de la phase RD2 n'est pas appliquée à notre méthode de la phase RD2. C'est parce que il n'y a pas de patteurs et instructions dans notre méthode de la phase RD2. Et, pour évaluer la phase RD2 pour protéger l'implementation par la phase RD2 qui est contenue dans les rivalités d'open source. Pour le meilleur de notre connaissance, nos targets sont les plus fortes. Et nous avons testé nos implementations dans plusieurs environnements dans la table. La comparaison est summarisée dans cette table. Nous avons mesuré les troupes en utilisant trois clés de lengue en changeant l'implementation des blocs de l'implementation. En cas de l'imposage de 4 kilobytes et de 128 kilobytes, notre phase de la phase RD2 s'occupe de 6.41 cycles per byte, où la première phase s'occupe de 7.59 cycles per byte. En cas de la phase RD2 s'occupe de 0.44 cycles per byte, où la première phase s'occupe de 0.54 cycles per byte. Nous avons observé la structure de l'implementation pour la phase RD2 qui peut être réveillée pour obtenir un boost d'implementation de la phase RD2. Notre phase de la phase s'occupe de la performance de la phase RD2 de 15 à 20 % et la phase RD2 s'occupe de l'implementation de l'implementation. Et au moins, il serait intéressant de vérifier si ces techniques peuvent être appliquées à d'autres algorithmes qui ont des caractéristiques similaires à la phase RD2. Cela conclure mon présentation. Merci. Les questions ? Je pense que nous sommes en temps pour conclure la session. Je vous donne la parole à Peter. Merci.