 Dans cette vidéo, nous allons présenter le résultat de notre travail d'explorer des matières crypto-physiques et d'entraîner la ronde physique. C'est un travail joint avec Sébastien Duval, Pierrick Méo, Charles Momin et François-Xavier Stendard. Je suis Charles Momin et je vais commencer la présentation, mais le lien sera entre moi et Pierrick Méo. Et le nom de l'application sera en ligne au bout du slide. Pour l'entraînement, nous allons utiliser l'application des matières crypto-physiques, où Alice veut exchanger des données avec Bob, mais dans un manière sécuritaire. Pour cela, ils both connaissent une information secrète K, la clé, que l'on utilise à l'inquiétiser des données, en cas de Alice, ou à l'inquiétiser des données, en cas de Bob. Pendant les solutions pour un problème bien étudiant pour les dernières décennies, l'issue de l'attachement de la lécaire s'est annulée comme une sueur parce que des attaquements dévastatifs qui sont allés en atteinte. Et pour s'occuper du problème de l'attachement de la lécaire, l'attachement était proposé comme un potentiel, mais expensif de compétition, en bothant du hardware et du software. En fait, c'était plus particulièrement pour les opérations non-lineares qui sont typiquement utilisées dans l'implementation de bloc cipher qui implique une overhead quadratique dans le nombre de chèvres et qui requiert un mécanisme de refraîchement qui augmente la coste de la randonnée. Comme résultat de cette limitation, le mécanisme de recueil a été introduit et la main de l'idée de l'autre est qu'à l'aide de la musique directe, le quai secret pour un processus encrypté, un quai temporent de recueil, qui est dirigé d'un quai et d'un air public. Cette nouvelle recueil secret de la randonnée du quai, la derivation est faite pour chaque exécution d'un algorithme spécifique. Et cela a le fait de limiter l'information de l'overhead que l'adversaire peut obtenir de la recueil secret à travers des exécutions différentes. Bien sûr, cela reste valide, en tant que la fonction de recueil est sécurisée contre les attaques de l'un de l'autre. De l'autre façon, la recueil élevé le but de séparation entre une fonction de recueil facile à protéger, le bloc ARK dans Dark Gray dans la figure, et une fonction cryptographique forte, ainsi que le bloc Cipher ou le bloc Tricable, représenté dans la lumière dans la figure. Mais, à partir du fait que c'est facile à protéger, les propriétés spécifiques pour les fonctions de recueil apparaissent à être délicates. La solution de recueil élevé s'adresse au trait de l'effet entre l'effet et l'assurance physique nécessite d'achever une implementation sécurisée dans différentes manières. Pour le premier exemple, nous remettons ici le proposé de Média de Détal qui a été publié en 2010, et pour cela, ils considèrent que l'adversaire A peut observer l'élevé de la valeur de K-Star. La solution est basée sur une liste de propriétés juristiques ainsi que le fait que la fonction de recueil devrait avoir une bonne diffusion ou le fait que cette fonction de recueil devrait être facile à protéger en utilisant de la masque. Pour un côté plus pratique de vous, la fonction de recueil est en fait une multiplication final. Donc, K-Star est obtenue par multiplier K avec R sur le fil défini de 2 K. La solution de recueil s'adresse au fait que la multiplication final de recueil est en fait quiomomorphique et permet de remplir la masque de plus en plus en utilisant une ligne de recueil en termes du nombre de shares. Pendant l'efficient en termes de la flattenation et de la coste, cela a été indiqué que pour le cas de Hammingway, la solution était facile de break avec un noix efficace. Sur l'autre côté du spectrum, Jean Bosquit et All made un proposé en 2016 pour lequel ils considèrent que l'adversaire est capable d'obtenir la valeur de K-Star en full. Ils ont étudié la possibilité d'utiliser une fonction de recueil pseudo-random comme fonction de recueil. Plus pratiquement, l'adversaire consiste dans nos produits randonnés comme défis sur le slide. La solution n'est pas chiomomorphique, mais c'est presque chiomomorphique, qui permet d'avoir de la masque de plus en plus avec une complexité close à l'inéa en termes du nombre de shares. Mais cette solution suffit encore d'un grand nombre d'adversaires et la manipulation de l'adversaire signifie plutôt de pauvres performances. Considering this background, our work aims to investigate the intermediate-treat model where an adversary can observe noisfuricage of K-Star. For our re-keying scheme, we took inspiration from the weak pseudo-random function of Bonneton. In the article Exploring Crypto Dark Matter at TCC 2018, they proposed the following construction. Take a binary matrix K, which is the key, and each time a random binary vector R. Y is computed as a matrix vector product K times R, and then Y is considered as a binary vector of size M, and the output z is computed as a sum of the coefficient modulus 3. So it's a function easy to compute with a matrix vector multiplication module 2, and then an addition over F3. We can abstract this kind of PRS seeing it as a composition of a map over one field and the product K times R over another field. Since Bonneton considered it is a weak PRF, it means it will be difficult for an adversary to distinguish between samples R and the corresponding z, and samples given by a truly random function. At for theory, it will be difficult for an adversary to retrieve the key K. The high-level idea for the security here is that combining linear operation over two fields will provide security. The core idea behind that is that a simple operation like a linear operation over one field is not simple over another field. So the combination of both will provide security. This kind of combination is an idea that Mv is used in other crypto-constructions over the years. So the interest for rekeying is the following. The path K times R will be our rekeying, the way we will obtain the firmament K key star. And since it will be the multiplication of a matrix by a vector over Fp, it will be easy to mask with an additive masking over Fp. And then we want the map to be the leakage function which is provided by the implementation. So if the leakage function corresponds to a linear function over a field which is not the one where we do the multiplication, the combination of both will give us security. And the new strength of this rekeying is that for once we will use the security which is given by the leakage itself. For the rest of our presentation we will present a bit more in a detailed manner our rekeying scheme our new rekeying scheme and we will detail a bit more also the treat model that we are considering for our work. Next it will be followed by some detailed explanation of our analysis so the first path and the second path but we will understand what it is once we have explained what is the model and we will finally speak about the performances that we can reach using our new rekeying scheme. So the rekeying scheme we are proposing is defined as follows so the temporary key k star is obtained by an inner product between the matrix k which is the long term key k with a vector composed of the vector r and 1 concatenated with 1. And all the words inside the k and r are in fact inside the final field defined by the prime p. To be more practical we focused on a specific instance and in fact the following parameter has been chosen sorry so m equal to 4 n equal to 4 and the prime that we have chosen is the merchant prime 2 to the power 31 minus 1. Here we have a graphical representation of the computation we are doing to compute this temporary key k star and as we have said earlier this rekeying function requires sorry to be protected against side channel attacks. So instead of directly perform all this computation we will instead focus on a mask version which is represented here and instead of directly using the value of the secret key k we will use instead shared representation of the later. So it's represented here we will sequentially perform the inner product on each share of the key and then recombine on the result to obtain the temporary key k star. So entering a bit into the details of our treat model we have the following situation we have that's the masked implementation of the inner product is running inside the chip and you have an adversary that is able to obtain from a first source the leakage of the result of this inner product so k star but on this on a second source is able to obtain noisy leakage of the computation of the masked inner product. So we have to follow two paths of analysis a first one which is more a crypt analysis part about what can be achieved using the leakage of this k star value and a second path which is okay what can be possible for an adversary from a side channel analysis point of view. Next we will detail or analysis for each of the two possible attack paths. So first we consider the attack path one in this case the adversary gets samples of the shape r and the leakage on k times r and it tries to find the permanent key k so it corresponds to a learning problem which is very similar to the learning with our problem or the learning with the learning problem and since in this case the learning function is given by a physical leakage we will tell it the learning with physical rounding problem. As for the other similar assumption we can define a distribution for this problem and here we will see when it will be an easy or hard problem because when this problem will be hard it will be impossible for the adversary to recover the key using the attack path one. To define formally this problem as a learning problem we need to make some assumptions on the leakage to modelize it as a mathematical function. So since the operation our matrix vector multiplication s'over fp but the implementation uses a binary representation first we will use a numbering function g which translates the elements of fp in their binary representation. And then we will consider as a leakage the amiguate of this representation that is a sum in z of the value of the digits. Finally we can modelize the learning with physical running in two different ways depending on the implementation. For the parallel version we consider that the adversary can obtain only the sum of the amiguate of the different elements of y that is m elements leaked together. Then we can consider a serial version of the problem where the adversary recovers the amiguate of all the elements of the vector y independently. These two assumptions parallel and serial are very connected. When m is equal to 1 it is exactly the same assumption and when m is bigger y is a vector and we see that the samples from the serial version can be converted into samples or the parallel version only by assuming the amiguitates we obtain. Consequentally we will focus on the parallel case studying our world is a parallel LWPR assumption. So first we will consider some cases where LWPR is easy so instances where the parameters are not strong enough for our reeking scheme. For example for a small p we take the example for which p is equal to 3 and we begin with a very particular example where y is not a vector but only an element of f3. In this case the adversary will observe the leakage of y over z and the adversary is able to consider it modulo 3. So the leakage will correspond to a function f from f3 to f3 which is the amiguitate of the binary representation of y and this function f can be reconstructed from is to stable even an example and in this case it simply corresponds to the function y square a degree 2 function so it will be easy to use for the adversary. Then if we are in the parallel implementation even with y a vector of size m where m is not 1 the function f prime corresponds to the leakage modulo 3 corresponding to the leakage modulo 3 will only be the sum of quadratic terms and since the vector y is made by the matrix vector product of k and r the adversary can use the leakage equations to create a system of degree 2 over f3 in the variables of the k and then solving this quadratic system directly gives all the key elements of the permanent key k it means that with this parameter LWPR is easy to solve and more generally when it is over fp solving a degree p minus 1 system over fp will break the parallel version of the learning with physical rounding so this way we know that LWPR can be held only if p is big enough in the paper we additionally show an attack which happens if n is too small like 2 or 3 and we see that when n is at least 4 or 5 it will be sufficient to avoid this attack when p and n are big enough we will consider that the learning with physical rounding problem is hard and that we can base our wreaking scheme on this assumption so the main concerns for the security in this case will be the potential weaknesses modulo p or modulo 2 or specifically when we are modulo p the multiplication is over this field so only the leakage function will provide some security and when we are in characteristic 2 the binary representation and the aming weight of it have a linear behavior so we have to see if the multiplication is providing enough security for the analysis modulo p we consider the properties of the pary function from fp to the m to fp as seen in the previous slide in the case p equal to when p is close to 2 to the 31 the parameter we chose we can show a lower bound on the algebraic degree of this function so it means an attacker will have to solve a high degree system so in this case it prevents algebraic attacks and we can also show that there is no good linear approximation of this function so it is a way to avoid the attacks based on solving a noisy linear system like the one which are used to solve the learning parity with noise problem then for the analysis in characteristic 2 we study the vectorial Boolean function which corresponds to the multiplication of k times r when it is embedded over f2 we could perform some experimental test on the degree and on the maximum expected linear probability of small cases and on this example we showed that the parameters are sufficient to avoid the attacks so we can avoid the algebraic and linear attacks in this case finally for the maximum expected differential probability we were able to prove an upper bound on it and so it is sufficient to prevent the differential attacks nous allons ensuite focusser sur le second attack path que nous avons considéré dans notre modèle de trait et pour cela nous devons d'abord définir le target qu'on a considéré dans notre analyse donc nous avons focussé sur une implementation hardware sur un Kintex 7 FPGA et d'un point de vue d'implementation nous avons essayé de leverager les propriétés de kéomomorphism de l'intensité qu'on utilise donc comme souvenir kéomomorphism vient d'avoir des bénéfices en termes d'implementation de masques parce qu'abord cela évaluera la manipulation indépendante de la paix qui en fait assure que notre implementation ne souffre pas des issues de composabilité et que cela mitigate le risque de défauts physiques un deuxième point est que cela évaluera une ligne d'overhead cela implique une ligne d'overhead avec le nombre de paix et si l'évaluation est procédée une fois qui assure que nous avons une bonne résistance contre les attaques horizontales et enfin cela nous permet une évaluation de la sécurité parce que depuis que l'évaluation est procédée sequentially l'incrise du nombre de paix est la même que reutiliser le même circuit trois multiples fois donc l'évaluation pour une paix est suffisante pour assurer la sécurité considérant différents amount de paix donc plus pratiquement nous ne devons pas need de répéter l'évaluation pour différents cas nous considérons cinq multiplications en parallèle donc cinq modulaires multiplications en parallèle cela a été motivé d'abord d'un point de vue de sécurité parce que plus de processus data en parallèle signifie plus de noix et donc c'est plus difficile de récupérer l'information sur la clé de sécurité et d'un point de vue de performance parce que oui, nous sommes procédés plus en parallèle donc c'est c'est plus efficace nous avons moins de latency les unités de mémoire qui sont considérées comme les clés ou les rèdommes sont mapées pour Bram et nous utilisons des modulaires optimisés de multiplications du travail précédent de Coppermann et Hall ce qui est réelé sur les DSPs en général l'architecture de notre solution est similaire à l'un de Bronschiette Hall qui enables comparaison entre les métriques l'architecture de notre implementation est composée de deux modules principales donc le premier c'est la mémoire d'assurer la valeur c'est la valeur de la clé de la clé et le mécanisme refresh et le deuxième c'est le module dotprod qui implique l'interproduct dans lui-même avec un accumulator pour procéder toutes les différentes clés le pipeline dotproject est organisé comme suivi nous avons les cinq modules de multiplication à l'input et puis quelques additions afin d'encomputer les valeurs internes de l'interproduct et le accumulator est à l'arrivée de la pleine afin d'assurer la sécurité de notre implementation masque nous devons profiter deux requirements le premier c'est que la clé f est manipulée indépendamment ce qui est garantie par design a motivé avant ce tour et en fait évalué par le travail de Blanchet et Tal et second le niveau de la clé suffisant est requiert et ce est en fait la main focus de ce travail donc nous avons utilisé l'exilée Spartansis FPGA sur la j-board Sakura pour évaluer cette clé de la clé en utilisant un Probe d'électronique et un microscope 5244D à 500 Mbps avec une résolution de 12 bits pour l'implementation nous considérons deux shares c'est la première étape que nous essayons d'identifier le point d'interesse dans nos mesures et pour cela nous avons utilisé la métrique SNR et la figure qui est montée sur le slide montre à la top le trait de l'avantage que nous avons mis en mesure et à la bas les valeurs différentes que nous pouvons obtenir et les crosses d'or en fait le point d'interesse que nous gardons pour nos analyses basé sur ce point d'interesse nous essayons de approximer l'amount de l'information que nous pouvons obtenir de nos mesures pour cela nous avons utilisé l'assumé de Gaussian pour l'électronique ce qui signifie que la valeur de l'électronique quand une date spécifique est procédée suivit une distribution de Gaussian sous cette assumption notre analyse est en train de réaliser les informations que nous pouvons récupérer de l'électronique qui sont les informations perçues de Gaussian pour la basse bounde et les informations hypothétiques de Gaussian pour la basse bounde nous sommes élevés pour estimer l'amount de mesures nécessaires pour performer un attaque de l'attaque basé sur les bonds d'information que nous avons obtenus nos résultats en utilisant 10 shares 2 à la force de 64 mesures sont nécessaires pour récupérer 32 bits de la clé en regardant les métriques de performance ou l'assumé récliné proposé basé sur l'assumé de l'AWPR semble être compétitive en termes de flottes et de la coste comme la première métrique l'assumé de la clé est montée en kilobits en rouge pour l'amplémentation de l'amplémentation de la solution de l'AWR et en bleu pour notre implementation Lorsque les deux curveurs sont légères avec l'ample de shares l'une de la solution de l'AWPR a un slope à peu près cinq fois plus petit que la solution de l'AWR la différence est encore plus signifiant quand comparer l'assumé de l'assumé de l'AWR et de la latentie parce que ceci s'éloigne que même avec plus de parallélisme la solution de l'AWR est en ordres de magnitudes plus lourdes et le même genre traite pour être le même genre de traite pour pouvoir être observé pour le requirement de la rendance A la conclusion nous proposons dans ce travail un nouveau scheme de rèquins basé sur un problème de la nouvelle l'apprentissage de la l'apprentissage le problème de la rèquins de la l'apprentissage avec la rèquins de la physique consiste dans la combination d'un produit de l'amplémentation et d'une fonction de l'amplémentation physique performé par la ligue de l'amplémentation et pas explicitement comme fait dans le week paraf de la marche d'Archmatter en considérant la fonction de l'amplémentation de l'amplémentation comme la première étape la fonction de l'amplémentation proposée d'un propriétaire cryptographique et de l'amplémentation compétitive de l'amplémentation dans le hardware l'évaluation de l'amplémentation avec plus de fonction de la ligue de l'amplémentation est une étape naturelle et une autre question est l'impact pratique de l'amplémentation de l'amplémentation sur la sécurité physique comme l'amplémentation pourrait être par exemple trouvée dans l'amplémentation de l'amplémentation de l'apprentissage Finalement une direction de recherche pourrait être pour vérifier d'intégrer un scheme de rèquins dans une mode plus générale de l'amplémentation de l'amplémentation de l'amplémentation est visible