 Ok, merci. Donc ce truc va être des signatures de Schnau, qui est probablement l'un des exemples de l'exemple de la juristique Fiat Shamir, qui termine un schéma d'identification à un schéma de signature. Et donc avant que je décrive le schéma de signature de Schnau, je vais juste donner le contexte de ce travail. Donc les signatures de Schnau sont prouventes et sécurisées sous l'assumption de l'assumption de logarithm discret. Dans le modèle oracle, il y a été prouvé par Prancheval et Stern avec ce qu'il est connu dans le schéma de Schnau. Et une infortunité de la propriété de cette réduction est qu'elle perd un facteur de 2h, où 2h est le nombre d'assumptions de l'assumption de l'assumption de la juristique Fiat Shamir. Et cela peut potentiellement être très grand, parce que quand vous êtes instantiés à l'assumption de l'assumption, l'adversaire peut faire des assumptions de l'assumption. Feux résultats Settings showed that losing some factor was somehow unavoidable. So I will precise later what this means. But the first paper proves such kind of result was by Payet and Bernier and they proved that losing a Qh to the one-half factor was unavoidable, and later Gare, Basquar, and Lokam proved that losing a factor Qh to the two third was somehow unavoidable. Le state, avant ce papier, était qu'il y avait un gap entre la réduction de secrétaire avec le Lemma-4 et le meilleur résultat d'impossibilité par Garg Gitarre. En ce papier, on montre que, en fait, losing a factor QH est unavoidable, donc la gap entre le Lemma-4 et le résultat d'impossibilité. Donc, la ligne de l'outil de ma talk peut être la suivante. Donc, premièrement, je referai les signatures schnaux et le Lemma-4. Et ensuite, je vais expliquer ce qu'est la réduction de métal. Donc, en fait, la réduction de métal est un outil que nous allons utiliser pour prouver ce résultat d'impossibilité. Et ensuite, je vais finement expliquer le résultat du papier. Donc, premièrement, les signatures schnaux. Donc, quelques notations. Donc, G sera un groupe de groupes primordiaire Q et on va prendre un gérateur de cette groupe. Et donc, la clé de secrétaire pour le scheme schnaux est simplement un module Q. Donc, la clé de secrétaire est simplement un g à la x. Et je vais dénoncer une grande x. Et dans toute la talk, la clé de secrétaire sera un groupe de groupes et la clé de secrétaire sera un module Q d'intagères. Et donc, pour signer un message M, donc, vous choisissez un module Q d'intagères et vous computez g à la A. Je vais coller les commitments par analogie avec l'identification de correspondance. Ensuite, vous computez quelque chose qu'on appelle le challenge par appliquer une fonction hash pour le message et les commitments A. Et enfin, vous computez la réponse qui sera simplement A plus Cx mod Q. Et la signature est la clé de secrétaire. Et pour vérifier un message et sa signature C, vous récupérez le groupe élément A par compter g à la A, x à la minus C. Donc, si la signature est correcte, vous récupérez ce que vous devriez et vous simplement vérifiez que la fonction hash appuie pour le message NA est equal à C. Et donc ici, la fonction hash sera modellée comme un miracle dont je ne vais pas utiliser une formule bold. Donc, dans cette talk, nous nous concentrons sur la forgerie universe sous les attaques de no-message. Donc, l'adversaire est donné un message M et un X public pour ce message. Et il ne peut pas faire une signature C. Donc, c'est la notion de secrétaire pour la signature. Mais, depuis qu'on est en contact avec des résultats impossibles, ce n'est qu'on fait les résultats plus fortes. Donc, on va continuer avec ce modèle. Et dans la talk, la tape de la forgerie sera explicitly dénotée par Omega. Donc, l'input de la forgerie sera un message M, un X public et une tape de randon. Et maintenant, vous pouvez voir que la forgerie est un algorithme déterminique. Ce sera important. Et donc, les paramètres caractérisés de la forgerie sera un temps de tour, Tf, sa probabilité de succès, epsilonf. Pour cela, nous pouvons formuler le temps de succès ratio RoF equals Tf divided par la probabilité de succès. Et aussi, la quantité maximale de la quantité de succès ratio RoF, qui sera dénotée par Qh. Et donc, maintenant, nous avons ces algorithmes déterminiques en taking these inputs, en faisant le temps de succès ratio RoF et en outputant des forgeries pour la message M. Et dans la talk, je vais utiliser une importante représentation pictoriale de la forgerie expérimentation comme suivant. Donc, la première note ici c'est qu'à ce moment, le premier vertex est labellé avec l'input pour la forgerie. Et depuis que la forgerie n'est pas déterminique, la première quantité de succès ratio A1 et la première quantité de succès ratio DTM. Et donc ici, cette représentation, en fait, c'est la première quantité de croix random. Donc, je ne fais pas le message. Vous ne pouvez oublier le message ici, parce que je vais assumer que toutes les quantités de croix random si ça fait une croix random pour un autre message, ça ne va pas aider la forgerie. Ici, je ne fais pas le message, mais c'est la croix random MA1. Et donc, elle peut recevoir deux possible answers de la croix random. Et une, cette réponse C1 est fixée. La deuxième committance de la croix forgerie est fixée. Je vais démonter A2, etc. jusqu'à la dernière croix random AQH. Si toutes ces croix randoms ont été faites, la croix random va récolter une croix random pour une de ces croix randoms. Donc, nous ne savons pas quelle, mais je serre entre toutes ces QH croix la croix pour laquelle la croix random récolte la croix. Si elle récolte une. Et ici, la croix random est SLCL, c'est equal à la logue discrète mais je vais expliquer la réduction classique pour les signatures schnoires. Donc, depuis la croix forger F, ici, on peut construire la réduction R qui est le problème de la logue discrète pour la croix publique en utilisant la croix forgerie en black box. Et donc maintenant, je vais changer de la croix random à la croix random simulée par la réduction. Donc, la réduction recevra une input X et elle doit outputter la logue discrète de X. Et pour cela, elle va utiliser la croix forgerie. Donc, elle donnera des messages qu'on ne craint pas. Et la logue publique pour la croix forgerie. Et la main idée est que la réduction va avoir la croix forgerie 2 croix forgeries S1, C1 et S2, C2 pour la même message M à la croix G2ZA. Et si vous succez en faisant cela, vous avez ces deux relations entre S1, C1 et S2 et C2. Et la croix small ici peut être retirée et vous pouvez compter la logue discrète avec les small X de la publique. Donc maintenant, comment est-ce que la réduction obtient ces 2 croix forgeries pour le même commettement ? C'est ce que cela a été appelé par la réplique de la croix forgerie. Il y a eu des expériences forgerie avec la croix forgerie jusqu'à la fin il y a eu des croix forgerie pour l'une de ses croix forgerie. Et quand vous avez trouvé cette première croix forgerie vous répliez le même attaque au point de la croix forgerie. C'est-à-dire que vous réusez la même message, la même publique et la même table ok ? Et quand vous arrivez à cette première croix forgerie pour laquelle vous rétentez une première croix forgerie vous commencez à choisir de nouvelles réponses pour la croix forgerie vous ne savez pas quelle croix forgerie vous utilisez pour la prochaine croix forgerie mais vous vous gardez en sorte qu'à un moment c'est la même croix forgerie. Et quand ça se passe vous avez deux croix forgeries pour le même commettement et vous pouvez compter comme j'explique l'algorithme discret de la publique. Ok ? Quand vous analysez la croix forgerie c'est vraiment analyser la probabilité que cette stratégie est réussie. C'est assez facile de voir que pour obtenir la première croix pour obtenir la deuxième croix vous pouvez montrer que pour obtenir la deuxième croix avec la probabilité constante vous devez régler la croix forgerie 2h divided par h1f Donc ce n'est pas vraiment surprise parce que maintenant vous regardez pour une croix forgerie pour une particularité entre q et h1 C'est pourquoi ce facteur s'appuie. Et si vous faites les computations pour obtenir la croix forgerie ou h1f c'est qh times worse que l'une de la forgerie. Cette croix forgerie c'est un facteur qh. Et nous n'avons pas de match d'attaque. Le meilleur non-attaque est la compétition de l'algorithme discret. Donc la question naturelle est si c'est une meilleure croix pour une croix forgerie maintenant on explique qu'il faut bien plus d'improved cette réduction. Ce sera ce que je vous appelle la réduction metah C'est le concept de la réduction metah Le premier et très important exemple est de Bonnie & Fencateszane qui montre que si il y a un algebraique j'expliquerai un peu de minutes ce que ça veut dire Les réductions sont d'actualité pour résoudre le problème de l'arrestation avec une petite expérience publique qui commence par une réduction et construit un autre algorithme qui s'appelle la réduction metah qui utilise cette réduction pour facturer l'arrestation directement, sans n'utiliser aucun outil Donc ça veut dire que la réduction d'algebraique ne peut pas exister si l'arrestation est déjà facile Et donc ici on va faire quelque chose similaire une réduction d'algebraique d'un problème logique de l'arrestation pour les signatures de Schnau ne peut pas être d'arrestation donc on ne va pas montrer que ça ne peut pas exister parce que nous avons juste dit que ça existe mais nous allons montrer que ça ne peut pas être d'arrestation sans aucun autre problème c'est facile Donc avant de vous expliquer comment nous faisons nous expliquer ce qu'est plus un problème logique de l'arrestation et ensuite ce qu'est une réduction d'algebraique Donc le problème logique de l'arrestation c'est simplement une extension d'un problème logique de l'arrestation où le solver ici recevra des challenges en plus des éléments groupes et il doit rétablir le logique de l'arrestation de tous ces éléments de l'arrestation et pour cela, il peut courir une réduction logique de l'arrestation mais à la fin des fois Donc si vous savez comment résoudre le problème logique de l'arrestation de l'arrestation mais nous n'avons pas de réduction dans l'autre état donc peut-être que c'est plus simple que le problème logique de l'arrestation mais nous n'avons pas de problème dans cette direction pour maintenant, le meilleur moyen de solver un problème logique de l'arrestation est de solver le problème logique de l'arrestation Et donc, comme je l'ai dit nous restrequissons une réduction logique de l'arrestation C'est un algorithme qui en fait, n'applique les groupes de l'arrestation qui sont à l'input de ces algorithmes Donc, un conséquent qui nous utilisons c'est que il existe un procédure extract qui, selon les éléments groupes, a l'input de la réduction de l'arrestation et le code de l'arrestation et d'un groupe de l'algorithme qui a l'input d'expérience comme l'input peut être expérimenté dans cette base G1 à Gk Et en fait, ce n'est pas une très restrictive assumption, parce que toutes les réduction que je sais pour des cryptosystems qui sont en fait algebraiques en particulier la réduction de l'algorithme Donc, ce serait la stratégie pour la réduction de l'arrestation donc, nous commençons la réduction, ok, qui s'input de l'input de l'algorithme et de l'input de l'input de l'algorithme de ces éléments par l'utilisation d'un forger et nous allons assumer que c'est appelé le forger à la fin des fois Et ici, encore une fois, le forger fait que la réduction de l'algorithme soit simulée par la réduction Et maintenant, ce que nous allons ajouter dans la picture est un troisième algorithme qui sera la réduction de la métal qui sera C'est un algorithme pour un plus d'algorithme de l'algorithme Il s'agit d'input de l'input de l'algorithme N plus de l'algorithme En fait, il sera utilisé pour la réduction Et ensuite, il sera simulé Donc, la réduction expecte d'accès à un forger Donc, il sera expérimenté par un forger Et la réduction de la métal sera simulée par un foreger Donc, on a commencé par une situation où nous avons un foreger et un moir et nous n'avons pas d'un foreger Nous n'avons pas d'un moir Nous avons une réduction métal simulée par le foreger et la réduction simulée par le moir Et Donc, la stratégie générale pour la réduction métal a reçu ces éléments N plus de l'algorithme et il sera utilisé un de ces éléments pour la réduction Et ensuite, il sera utilisé les éléments N pour construire des recommandations ici en utilisant des expériences qui sont utilisées pour la réduction métal Et pour chaque stimulation la réduction métal va choisir un foreger index Donc, je vais discuter le choix parce que c'est vraiment un point important Et il sera utilisé l'algorithme discute pour le foreger signature si il a l'accessibilité de l'algorithme discute Donc, il peut forger une signature simplement par poursuivre l'algorithme discute ici Et si la réduction arrive en retournant le log discute de l'input A0 et si un bad-event s'occupe j'expliquerai ce que c'est Et la réduction métal sera capable d'utiliser A0 et toutes les signatures pour retirer l'algorithme discute de l'AI Donc, comment ça fonctionne ? C'est exactement où nous avons besoin de l'assumption que la réduction est algebraique En fait, si la simulation de l'algorithme discute est OK la réduction va retourner l'algorithme discute de A0 Donc, la réduction métal doit utiliser A0 et les signatures de l'ICI pour compter l'algorithme discute de l'AI Mais l'algorithme discute de l'AI de l'exponent beta de l'AI à l'ICI où l'AI est l'input public qui est reçu de la réduction Donc, nous pouvons voir que la réduction de l'algorithme discute de l'AI est équivalent à la réduction de l'algorithme discute de l'INPUT public de l'AI Donc, c'est où nous avons besoin de l'algorithme discute de l'algorithme discute parce que les éléments groupes sont les générateurs de l'A0 et l'INPUT de l'A0 Donc, si nous le restons aussi à l'algorithme de l'A0 la procédure extraite vous donnera une expérience qui évoque la réduction métal pour expérer l'ICI de l'I comme fonction de l'A0 et de l'A0 et si la réduction le discute de l'A0 vous pouvez compter ici l'algorithme discute de l'I et vous pouvez compter l'algorithme discute de l'AI Ok Donc, ce que nous avons acheté ici nous avons commencé par la réduction de l'algorithme discute de l'algorithme discute de l'A0 et nous avons obtenu une réduction métal qui sort de l'algorithme discute directement Donc, c'est comme si nous étions dans une contradiction que l'algorithme discute de l'I est difficile alors que cette réduction métal ne peut pas exister Mais en fait, il y a un bon événement qui peut arriver et qui va faire la réduction métal et en fait c'est exactement comme dans le Lemma la réduction peut choisir de faire deux simulations pour partager une histoire commune et donc en fait la réduction métal peut commencer avec la prochaine réduction seulement de ce point Donc, si c'est une signature pour une prochaine réduction c'est ok, mais si c'est une signature pour la même réduction c'est possible d'utiliser un call pour l'algorithme discute parce que ça ne veut pas aider la réduction métal pour un nouveau événement et pas sur surprise c'est exactement l'événement qui fait que la réduction s'élève dans le Lemma Donc, ce événement qui fait que la réduction s'élève est l'événement qui va faire la réduction métal et donc si on ne veut pas rentrer dans une contradiction il faut que la probabilité de cet événement soit 1 sinon il soit un événement plus efficace et plus successe pour l'algorithme d'un événement plus solide qu'un problème Ok, donc, en fait maintenant on sait que la probabilité de cet événement doit être 1 et cette probabilité est déterminée par comment la réduction métal choisirait la réduction métal pour chaque simulation et de toute façon vous devez faire ça régulièrement pour l'exécution seconde et de toute façon puis la réduction va voir que la simulation est en place parce que ce n'est pas quelque chose qui arriverait avec une vraie foudre donc la décision doit être de toute façon une choice naturelle c'est d'étudier l'index d'une foudre régulièrement pour chaque exécution et c'est exactement ce qui a été fait dans les works précédents donc, en fait, cette analyse vous montre que en ce cas par la compétition de la probabilité de la collision la probabilité de cet événement est relativement n² où n est le nombre de fois la réduction de la foudre et cela vous dit que pour avoir un événement qui s'applique avec la probabilité d'une seule la réduction de la foudre peut-être que c'est 1,5 fois et avec d'autres analyses vous pouvez obtenir cette foudre pour la probabilité de la faible qui implique que le nombre de fois la réduction de la foudre doit être de 2,3 donc finitiellement, je viens du résultat principal qui est de prouver une optimale foudre de la foudre et la main théorique est que toute la foudre de la foudre de la foudre de la foudre peut-être que la foudre de la foudre soit d'une seule la foudre d'un autre en question donc en fait il dépend de si vous considérez des adversaires du tricot ou des adversaires de la foudre donc pour les adversaires du tricot vous il y a un petit dépendance dans la foudre epsilon et donc la prouve de cet résultat va simplement modifier La quantité des détails de la réduction choisit la revealedies d'expressions en cirque. Et la façon dont il choisit sa dabei peut être dit comme ça, et nous allons faire des expériences de pensées. Donc, nous allons considérer la suivante marvelise de la fusée. La LinkedIn est une partie des deux sets. Un étate de�re de laites de la taille de l'œil mu g pour lequel le fusée peut la réplier en une mesure d'explosion de l'expressions. et des sets gamma-bad, les restants éléments pour lesquels le forger ne peut ne compter qu'à ce set. Et pour forger une signature pour quelques messages, le forger va faire des normes habituaires, et il va rétablir une forgerie pour la première query, ainsi que l'AI x X2ZCI est un set gamma-good pour lequel il peut compter des logueries discrètes. Et si il n'y a pas de query, il n'y aura pas de forge. Et en fait, c'est assez facile de connecter la probabilité de succès de ce forger avec ce paramètre mu ici, parce que pour chaque query, il ne sera pas en gamma-good avec une probabilité de 1-mu. Donc si il fait des queries QH ici, il obtient ce formulaire. Et on s'appelle un forger, un bon forger. Et donc, ce que la nouvelle meta-rédiction fait c'est que, en fait, il va simuler un bon forger, mais un peu de laizier. C'est-à-dire qu'il va construire ce set de gamma-good et de gamma-bad dynamiquement et de l'endomnie durant la simulation du forger. Donc je n'ai pas de temps à vraiment entrer dans les détails, mais chaque fois qu'il arrive avec un nouveau élément frais, il va construire un coin rond, et avec un paramètre mu ici. Et si c'est equal à 1, il va mettre cet élément en gamma-good, et si c'est equal à 0, il va mettre cet élément en gamma-bad. Et depuis que la meta-rédiction a accès à un oracle discrétologue, il va simplement compter l'oracle discrétal de l'élément qu'il a mis en gamma-good par créer cet oracle. Et donc c'est facile de voir que l'index forger est distribué à l'aide d'une distribution de géométrique. Donc je n'ai pas de temps à entrer dans la démonstration, mais maintenant, l'important point est que la probabilité du bad événement, ce que j'ai décroché juste avant, est qu'il va être quelque chose qui est légèrement n divided par qh. Donc si vous voulez avoir la probabilité de ce bad événement equal à 1, vous devriez avoir à peu près de l'équivalent de qh, pour que la réduction soit l'un des forgers qh. Donc oui, très rapidement, en fait, c'est beaucoup plus facile d'analyser cela avec le temps que l'on expecte et les forgers. Et en ce cas-là, il faut que la réduction soit l'un des facteurs qh indépendant de la réduction du forger. Cela peut être étendu, donc, si vous pouvez l'étendre à l'aide d'une géométrique signatrice construite d'un groupe de l'homomorphisme, en particulier, cela s'applique à l'aide de l'économie. Et vous pouvez l'étendre aussi à l'aide d'une variante de géométrique. Donc, dans ma conclusion, ce sera que la ligne de boudoir est optimale, au moins pour les rédictions du black box et l'algebraique. Donc, mon interprétation est plus que cela pointe à la limitation du black box, les techniques de réduction qu'à la réduction des gâpes de la réduction des gâpes de la réduction de la réduction de l'algebraique. C'est juste un sentiment de bien-douïde, et je ne peux pas prouver que ce soit le cas. Et donc, des problèmes élevées. Donc, la plus importante, c'est ce qu'est-ce qu'il y a des rédictions habituelles, pas de non-algebraique. Qu'est-ce que les rédictions des gâpes de la réduction des black box et pour que nous puissions avoir une rédiction chaleure pour un autre problème pour le signal. Et enfin, pour que nous puissions rébuilder un scheme de signal efficace avec une rédiction chaleure pour un problème de logement de l'algebraique. Ce sont des systèmes comme un peu exceptionnels, parce que nous avons une rédiction chaleure pour le problème, mais pas le logement de l'algebraique. Donc, même dans le modèle de la modélisation normale, pourquoi, je ne sais pas. Ok, merci. Nous avons le temps pour une question rapide, si non, on va remercier Yannick.