 Bonne matin, tout le monde. Nous allons commencer avec la dernière session de ce matin, qui est la session de la session de l'automastique. Nous allons commencer avec un papier de Jean-Sébastien Coron, Franck Rompierre et Rina Zetoun sur le table de l'automastique de l'automastique avec des chaînes communes. Franck va donner la parole. Merci pour cette introduction. Je vais vous présenter un travail sur comment évaluer la table de l'automastique avec l'aide des chaînes communes. Nous allons appeler le state de l'art de la technique sur la sécurité de l'automastique avec l'automastique et l'automastique. Je vous présenterai la optimisation de l'automastique et je conclure à la fin. Le plus efficace de l'automastique pour les chaînes communes est le principal partage. Pour assurer la sensibilité de l'automastique, vous devez gérer 10 values x1 à xt et construire un extra value x0 par combinant tous les valeurs de l'automastique avec une fausse de l'automastique, qui est ici, l'exor. Et pour avoir accès à l'automastique, la fausse de l'automastique x1 est 0 à 60 ans. Vous pouvez sécuriser l'automastique avec les valeurs de l'automastique x1. Donc, notre problématique est de la sensibilité de l'automastique x1 et de l'automastique non mapping S, qui est représentée avec la table S, à la sécurité de la compétition de l'automastique x1. Nous allons regarder les performances quand vous avez des valeurs de l'automastique x1. Donc, à l'1re ordre, la technologie non est de sélectionner les valeurs de l'automastique x1 pour un tour de l'automastique x1, c'est-à-dire l'AIS. Et cette valeur de l'automastique x1 sera commandée pour tous les valeurs de l'automastique x1. Et à l'évaluation, vous avez une sélection de l'automastique x1, qui est x0 et xm. Et vous voulez construire une sélection de l'automastique x1 par compétition d'une valeur y0 et d'avoir le masque m qui est commandé par l'automastique x1. Donc, vous competez, pour tous les valeurs possibles, la table T, qui consiste en démasquant l'automastique x1, qui consiste en simulant l'automastique x1 de l'automastique x1 et l'automastique x2 de l'automastique x1. Et cela sera la sélection de l'automastique x1 parce que cela se fait avec une évaluation avec l'aide de la table de l'automastique x1. Donc, c'est la façon dont nous compétions la valeur y0 par compétition de l'automastique x0. C'est pour la première ordre. Et quand vous voulez performer une sélection de l'automastique x1 à l'élection de l'automastique x1, c'est plus compliqué. Et nous devons attendre jusqu'à 2024 pour obtenir une solution de sécurité proposée par Jean-Sébastien Coran. Donc, nous avons dans ces valeurs, tous les valeurs sont indépendants dans l'input et dans l'output. Vous n'avez pas de valeurs et la solution est élevée avec deux shares T plus de 1 plutôt que de T plus de 1. Donc, je vais vous présenter comment cela fonctionne avec un exemple short dans la troisième ordre à l'aide de deux valeurs. Donc, notre valeur de sensibilité est 2 avec la représentation de l'automastique x0, 1, 1, 2. Donc, nous computons tous les outils possibles de notre mapping S et avec la part de tous ces valeurs, vous pouvez voir que j'ai sélectionné les masques 0. Ensuite, nous considérons le premier share, ce qui est le dernier, pourquoi pas, et deux, et vous réordez les roues de vos tables. Ensuite, vous devez appliquer un masque refâché. Ensuite, vous devez passer à la prochaine share, qui, encore une fois, réordit les roues de vos tables et encore une fois, vous devez performer un masque refâché et ainsi, et ainsi, jusqu'à ce que vous aurez fait tous les outils traités mais la dernière. Et avec la dernière, vous n'avez pas à l'émerger la table. Vous devez juste sélectionner la roue correspondante, ce qui est 0 dans mon cas. Donc, je sélectionne le premier roue et ce qui est le share de la valeur de mon outil et je dois performer un nouveau masque refâché. Pourquoi nous devons performer un masque refâché ? C'est parce que si vous n'avez pas refléché les roues, vous avez un attaque à l'ordre 3. Si vous êtes en train de faire une collision entre les roues de vos tables si vous n'avez pas performé le masque refâché, la roue sélectée à l'endemain sera exactement la même au début des processus de la compétition de table et si vous détectez la collision, ce sera un problème. Donc, c'est juste un reflet de l'exemple à l'ordre 3. Vous devez récomputer les tables et vous devez récomputer les tables 2T et vous devez le faire à chaque fois que vous vouliez évaluer la valeur S de X qui est différent de la première ordre de cas où vous pouvez récomputer les tables pour toute la prochaine évaluation. Et c'est une solution costel. Donc maintenant, nous verrons que nous pouvons avoir des optimisations. Donc notre contribution est faite de réévaluer toutes les prouves avec seulement 1T plus, plutôt que 2T plus, avec l'aide des formalismes de TSNI. Donc, cela fait qu'il s'agit d'un facteur de 4 en temps de réévaluement. Ensuite, nous proposons une variante avec un nombre d'optimisation d'optimisation. Je ne vais pas focusser sur celui-ci dans ce talk. Mais l'idée est simplement d'avoir un état d'optimisation dans la table quand nous n'avons qu'à considérer le premier état d'optimisation. Donc le premier état d'optimisation est avec 1 masque d'outil, et le deuxième état d'optimisation est avec 2 masques d'outil, et ainsi, jusqu'à ce qu'on ait un état d'optimisation dans la dernière table. Je vais focusser sur les dernières techniques, qui aussi ont un facteur de 2 en temps de réévaluement, qui nous permet d'avoir quelques tables précomputées qui seront utilisées pour plusieurs réévaluations de la valeur Sx. D'abord, j'ai introduit la notion d'optimisation avec deux valeurs A et B. Nous pouvons obtenir un état d'optimisation de ces valeurs par seulement un état d'optimisation par un état d'optimisation entre les deux. Et ça est sain, parce que si vous, par exemple, probez la valeur A0 et la valeur B0, et vous exorces-les, donc vous vous remettrez ces états d'optimisation, mais vous avez Vous aurez un masque de T random qui sera conservé et c'est sécurisé. Donc, si nous regardons l'input ou l'output du nouveau algorithme, vous avez une part de la valeur de la sensibilité X avec un masque commun pour toute l'évaluation et vous avez une part de la valeur qui sera indépendante d'une évaluation à une autre évaluation de X et nous produirons un résultat avec toutes les outils indépendants. Il n'y a pas de masque commun dans l'outil. Donc, c'est tout de même la même chose que la méthode originale de Jean-Pierre Sébastien Coron. Nous allons compter plusieurs tables, mais nous allons commencer avec les commandes-chairs pour obtenir une table de commande à la fin du processus. Donc, nous commençons avec un masque M0, puis nous procéduons avec un masque M et chaque fois, nous on ordre les roues et nous appliquons un masque refléchissant jusqu'à obtenir une table finie, Tt plus 1 plus 2, qui sera commande pour toute l'évaluation. Et ce qu'il faut faire après, c'est compter toutes les tables pour les chairs indépendants du masque de commande. Et ensuite, nous allons obtenir la valeur résultée à la fin du processus, à la fin du casque de la solution originale. Si nous regardons les performances que nous avons en appliquant cette technique pour les AS et les DS, nous pouvons voir que pour les ASKs, nous vivons plus vite que la solution originale de Coron, mais nous ne proposons pas la plus efficace implémentation parce que notre technique est générique et les ASKs ne sont pas des ASKs, il y a des structures qui peuvent être utilisées pour proposer une solution plus efficace. Mais dans les casques des ASKs, nous pouvons voir que notre solution est plus fermée à la plus efficace implémentation si nous comparons la première roue et la seconde roue. Donc, c'est la fin de mon talk. Nous avons proposé une nouvelle évaluation qui est considérée en général. Nous ne sommes pas focussés sur la mapping spéciale et nous avons fait la preuve de tous les algorithmes. Cette nouvelle technique nous permet de réduire le temps réel de la construction de la table de commande par un facteur 2. C'est la optimisation que j'ai mentionnée avec les facteurs d'augmentation. Nous pouvons aussi réduire le temps réel par un facteur de 8 si comparé à Coron pour l'évaluation et un reste de tests pour obtenir un processus qui propose également des commandes de commande dans l'output, qui peut réduire le temps réel de toutes les roues et ce sera un facteur 2. C'est une solution qui peut être intéressante pour une générique S-Box, surtout si la S-Box est petite parce que nous devons précomputer les choses pour tous les valeurs possibles. Merci pour votre attention. Merci. Nous avons le temps pour Christian. Quels sont les implications en termes de sécurité de utiliser les commandes de commande? Je ne comprends pas. Est-ce une bonne idée de utiliser les commandes de commande en termes de sécurité? Depuis que nous avons des prises de notre réglement, je ne vois pas le problème de utiliser les commandes de commande. Je ne sais pas. Il n'y a pas d'implication en termes de sécurité parce que vous utilisez la réglementation. Oui. Donc peut-être que c'est plus facile pour un attaquer pour apprendre les commandes de commande depuis qu'ils apparaissent. Mais ce n'est pas l'aide d'un attaquer. C'est comme ça. C'est comme ça. C'est comme ça. C'est comme ça. Mais si le attaquer, si le attaquer est en train de faire un attaque à l'ordre T, il ne va pas arriver. Même si on utilise une rembdomenesse. Même pour des attaques multivariées où vous essayez de utiliser plusieurs points de ligue. Mais vous changez l'ordre du attaquer. C'est ce que vous pensez. Si vous utilisez un attaque à l'ordre T, il sera bien sûr que vous utilisez les valeurs. Ok. Merci. D'autres questions ? J'ai une question. Vous avez mentionné qu'il faut refroidir les outils des tables. Je pense que vous utilisez un gadget de refroidissement SNI. Oui. Est-ce que nous pouvons optimiser ce gadget de refroidissement même si nous utilisons des chiffres communs ? Est-ce que nous pouvons imaginer que nous refroidissons seulement un partage ? Oui. C'est pourquoi j'ai mentionné ceci dans la conclusion. Nous avons pensé un peu d'improvéments pour refroidir seulement les outils d'outils. Mais les outils sont plus trucs que les outils d'outils. Et nous n'avons pas réussi à prouver un algorithme qui, à notre point de vue, semble sécurisé. C'est pourquoi nous n'avons pas publié le algorithme. Est-ce qu'il serait plus efficace ? Oui. Parce que vous utilisez seulement l'alpha de la ronde et vous... Donc ça va réduire le temps de refroidissement par votre facteur. Ok. Vous savez la question ? Alors, on remercie l'interprète.