 Bonne matin. Je présente le design de Spook, qui est un candidat à l'effort de l'Eistes-Lytrées standardisation de l'Eistes-Lytrées. C'est un travail joint avec des collègues de Musée-Louvain en Belgière, Chantarune University en Chine, Bochum University en Germany, Inria en France et Barhilan University en Israël. En partie de la session sur l'Eistes-Lytrées, je ne vais pas continuer à donner le besoin de l'Eistes-Lytrées cryptographie et je vais plutôt expliquer mes paroles dans trois parts. 1. Le design rationnel de Spook. 2. Descrivant les trucs qu'on propose pour Spook version 2. 3. Discusser des résultats et analyser. Je vais commencer avec nos choix de design en regardant l'intégrité dans l'exercice de l'Eistes-Lytrées. Pour cette première étape, notre choix de l'Eistes-Lytrées est direct. Nous aimons pour le plus fort possible garantie, qui est l'intégrité de l'exercice de l'Eistes-Lytrées, avec des résistances non-médiaux, et de l'écrivation et de l'écrivation. L'application typique qui motive cette choisie est l'application de l'application de l'écrivation et de l'écrivation. En bas de cette choisie, le point de départ de notre design est l'observation fait par Perthier et des co-authors que cela peut être obtenu avec une l'écrivation illégale de tous les secrets de l'écrivation authentique. Nous avons l'occasion de l'atteindre sous le bout du slide. Cette possibilité est parmi les implémentations de ceci, où les différents éléments des designs sont nécessaires de différents niveaux de sécurité contrairement à l'écrivation. Dans le contexte de Spook, nous devons protéger la fonction génération de la génération de la fin et la fonction génération de la fin contre l'économie différente ou l'EPA, et pour payer attention à la vérification de l'écrivation de l'écrivation, mais tout le piège de l'écrivation de l'exercice n'est pas sensible pour l'intégrité. Ce choix de target de sécurité est en train d'améliorer la question de la première décision, c'est de l'instituer la fonction des fonctions de la génération key et la fonction de la génération tag. En regardant la littérature, il y a principalement deux options pour cette cause, c'est d'utiliser une primitive masque ou un PRF. En termes de l'implémentation des overheads, la primitive masque est l'advantage d'être plus flexible, car les overheads sont au niveau de l'implémentation. En contraste, les overheads du PRF sont au niveau primitive et donc toujours là-bas. En termes de sécurité, la main différence est que la primitive masque est également difficile à attaquer en encryption et décryption, alors que l'implémentation du PRF est plus facile à attaquer en encryption où vous pouvez avancer l'noise des mesures de l'implémentation. En termes de simplicité, l'implémentation est admettement non-trivial pour imprimer la sécurité, mais bénéficie de beaucoup de publications alors que l'implémentation du PRF peut offerter de la sécurité de l'implémentation. Éventuellement, c'est la possibilité d'éviter les overheads quand des attaques sur la solution ne sont pas concernées, ce qui a aidé notre choix. Nous savons que pour le reste, l'implémentation du PRF et du PRF sont difficiles à comparer du point de vue de sécurité, puisqu'ils relient à différentes assumptions, c'est-à-dire de la noise de l'implémentation et de l'implémentation de l'implémentation pour le PRF. Les deux sont aussi assez difficiles à imprimer sécurité sur l'implémentation de l'implémentation. Depuis le choix de la primitive masque, la question seconde est de choisir entre un bloc de tricot et une permutation. Ici, la principale raison pour choisir un bloc de tricot est de réduire la taille de l'état et, pour cela, le nombre d'anglots, ce qui est important pour la masque. Nous savons que nous avons sélecté un bloc de tricot et pas un bloc de tricot parce que cela simplifie la séparation dans le mode et permet de booster la sécurité de l'implémentation de l'implémentation avec la clé publique. Une extension de l'implémentation de l'implémentation peut-être à la coste d'un extrait de l'alcool pour la permutation si ce n'est pas large enough. D'une raison qui fait que le bloc de tricot est assez convenant pour la sécurité de l'implémentation est que ils évoquent une vérification inverse basée. Cela permet d'éviter de performer la vérification directement sur les tags. En ce cas, même la vérification peut être liée dans un manière inboundée pendant la vérification sur les tags qui requitent la sécurité d'implémentation. Une similaire idée peut être utilisée lors d'un extrait de la permutation et sous une assumption fortes c'est la sécurité contre la simple de l'analysation de l'implémentation ou de l'SPA. Les solutions de cette solution peuvent être différentes, qui est un scope intéressant pour la recherche pour la solution de l'implémentation directement sur la sécurité des pas-mêmes. Pour les choses ensemble l'intégrité du spook est garantie en présence de l'implémentation grâce à la fonction de l'implémentation Beyond birthday CIML2 garantie que même si le K-star FMRL est lié en pleine, l'adversarié va encore requiser une collusion de 256 bits afin d'améliorer la forgerie. Cette garantie est importante grâce à la déploiementation du niveau, où la procédure et les secrets FMRL ne peuvent pas être fortement protégés contre les attaques. Nous allons maintenant bouger à la deuxième partie du design rational, qui est de la confidentialité avec le lié. En ce cas, notre choix de targue de sécurité est plus le résultat d'un trade-off entre la sécurité et l'overhead. Au niveau de la mode, la confidentialité dans la présence de l'équipement de l'équipement requiert un schéma d'évolution key, et la confidentialité dans la présence de l'équipement de l'équipement requiert un design de deux passes. La application typique pour la première case est de l'attache de l'attache de l'écran, par exemple avec les chanels de scrimmage. La application typique pour la deuxième case est de l'attache de l'équipement de l'intellectualité. Pour Spook, nous avons sélecté le targue de sécurité de la sécurité de la CCAML, afin d'évoquer un design de deux passes, qui est considéré trop expensif pour les applications de l'attache de l'équipement. Nous avons utilisé le schéma d'évolution de l'évolution de l'équipement, car il s'agit de trois réponses. Nous noteons que certaines confédentialités juristiques dans la présence de l'équipement pourraient être obtenues au niveau du protocole, par limiter le nombre d'équipements incorrects. Ce choice de targue de sécurité est la question de l'un principal design, d'ailleurs si nous devons utiliser un bloc de tricot ou une permutation pour la partie de la procédé de la procédé de l'équipement. Ces deux options sont en fait assez similaires en termes de la sécurité et les délais de l'évolution de l'évolution de l'évolution de l'équipement. Les blocs de tricot sont plus immédiatement prouvé dans le modèle standard. Les permutations donnent plus de flexibilité avec leur capacité et la valeur. Nous avons utilisé les permutations pour cette cause, afin d'éventiver différentes instants de Spook. использuant ces deux caractéristiques, les deux figures sur ce пробours sont réel, dont a pelig demandé dans opération de grues en Wheat-S 시간이 2 et et la mode spook chaine pour l'équipement de session basé. Nous conclions cette discussion du design spook rationnel en décrivant le bloc de tricot et la permutation. Pour le bloc de tricot, nous avons utilisé l'approche de ls-design afin de générer un bloc de tricot efficace. Il intervient 12 rounds de deux components principaux. D'abord, une boxe de 4 bits de tricot, qui est similaire à ce qu'il y a dans les tricots de beaucoup de litres. D'après, une boxe de 32 bits de tricot intervient en prenant une permutation de 32 bits. Comme résultat, c'est efficacement impliqué dans le software. L'intervient nous permet aussi d'acheter un numéro de branche de 16, alors que le meilleur numéro de branche non intervient serait un numéro de branche de 12. Ces ingrédients permettent d'avoir un bloc de tricot de 128 bits, appelé glides. Comme pour la permutation de 512, il fonctionne essentiellement par les 4 blocs de glides qui permettent d'avoir des ressources à partager dans le hardware. Pour ls-book version 1, l'intervient a été fabriqué avec une médecin de ls-design, avec minimum de l'attention et de branche numéro 4. Pour ls-book version 2, nous avons utilisé ls-design avec branche numéro 5. Dans les deux cas, ls-design est utilisé en alternance avec ls-deign. Ls-deign est un bon temps pour discuter les tricots qu'on propose pour ls-book version 2. Pour cela, nous devons mentionner les résultats de ls-design du crypto 2020, où un distinguisateur contre la permutation de ls-design a été expérimenté. Les autorités ont aussi démarré comment poursuivre ls-design dans ls-design dans ls-design. A ls-design, ces résultats ne contradictent pas les claims de sécurité qu'on a fait pour ls-design. Ls-design et ls-design ne sont pas des designs de ls-design, et la confidentialité de ls-design de ls-design et de ls-design. A ls-design, les juristiques que nous avons utilisées afin de sélectionner le nombre de tricots dans ls-design ne sont pas conservatifs. Concrètement, ls-design explique les propriétés simétriques de ls-design. Le résultat, ls-design utilise un ls-design qui est combiné avec un update de ls-design pour des raisons de performance. Nous avons maintenant démontré les résultats de ls-design et nous avons commencé avec la question de ls-design de deux prémétifs similaires comparé à un seul. Depuis que ls-design sont d'autres prémétifs, nous avons créé une architecture non protégée où les efforts d'optimisation ont été mis à partager les ressources asmotres de ls-design. Ces architectures de hardware sont représentées sur le slide. Les détails sont donné dans le papier. Cela a été synthétisé afin d'offrir les résultats de ls-design et des résultats de ls-design. Nous avons donné les résultats de ls-design pour ls-design. La première table de ls-design montre comment la performance de ls-design s'évolue pour réduire ls-design. La deuxième table de ls-design montre ls-design sur le top de ls-design. Nous observons qu'il reste assez limité. Pour ls-design, pour ls-design c'est entre 5 et 10 % de ls-design. Nous également récolterons que ls-design n'est pas le meilleur contexte pour ls-design qui est créé avec ls-design et que les dégâts de ls-design sont considérés. Les dégâts de ls-design n'ont pas de modélisation de ls-design de ls-design. Pour exemple, ce slide rapporte les dégâts d'énergie de Spook, comparé à Ocb, instantiés par le bloc de ls-design ClI128, amortisé ou pas. Nous voyons que pour assez de messages, les dégâts de Spook sont signifiant et s'incrédent que le niveau de ls-design s'incrédent. C'est ici que ls-design sont utilisés pour ls-design. Nous ls-design pour ls-design et pour les résultats de ls-design. C'est la dernière contribution technique. Nous avons prévenu de nouveaux résultats pour ls-design de ls-design. Ls-design s'incrédent d'un bloc de ls-design. Nous avons Ainant accepté que ls-design fut un bloc d'insurusion mais nous ne devons pas le dégâter. Nous avons réalisé Cent보다 ls-design physiques de ls-design les liens de ls-design dans le cas où ls-design sont bien aidés mais pas idéales. Nous contribuaient à ce sujet une compréhension plus rapide de l'équité de la compréhension d'une forte et de l'autorité d'attiration avec deOn. Intuitement, cela requiert d'une adversité qui peut donner l'évaluation et l'inversion de créé à une crée en auraclite qui ne peut pas produire un texte de plane-texifère et de Valite. Appliqué à Spook, nous pouvons montrer que CIML2 peut être réduite pour l'autorité d'autorité d'autorité avec deOn et de la fermeture d'attiration d'autorité de l'autorité d'autorité et la permutation-based hash function étant un auraclite. Les boundes sont encore de plus sur le type de birthday, mais elles sont moins qu'avec le TBC. Par exemple, à l'aide d'un bloc de 1,28 bits, 2 à l'aide de l'équipe 64, et un epsilon de 2 à minus 96 pour l'impact de l'équipe avec l'équipe, il y a encore besoin de 2 à 80 fois pour brefir l'AML2. Avec l'assumption de l'équipe 3, cette bounde sera à 2 à 114, même avec un grand nombre d'équipes. Nous savons que cette bounde n'est peut-être pas tight, et que l'ambiance du miracle n'est peut-être pas nécessaire. Ces questions sont intéressantes. Ceci m'adresse à la conclusion du papier. La main conclusion est que Spook combine les idées d'innovative de varieuse afin de délivrer la sécurité de l'énergie de l'équipe. En particulier, au niveau de la mode, elle aimerait l'intégrité possible avec l'équipe, avec la plus de confidentialité avec l'équipe qui peut être atteint dans un pass. Au niveau primaire, les compagnons de Spook élevent la salle de ressource et la clé de l'ambiance de l'équipe de l'équipe sont optimisées pour la masque efficace. Eventuellement, Spook intégrerait plusieurs features intéressantes pour la sécurité de la boxe, par exemple, sur la sécurité de l'équipe de l'équipe avec respect à l'esprit de l'ambiance de l'équipe de l'équipe de l'équipe, la sécurité de l'ambiance de l'équipe multi-use avec la clé publique, la résilience de la résilience et la mode de l'équipe de l'équipe pour l'encryption. Pour cela, je vous remercie pour votre attention et conclure mon tour.