 Merci pour l'introduction. La motivation de vielle vie pour ce stock est l'attaque de l'attaque de l'aéroport. Comme vous le savez, un système parfaitement sécurisé en black box peut devenir complètement insecure lorsqu'il est subject à l'attaque de l'aéroport. Il existe un nombre d'attacks de l'attaque de l'aéroport. Par exemple, il y a les attaques de l'aéroport, les attaques électromagnétiques, les attaques de l'attaque de l'aéroport. Et même récemment, les gens ont commencé à étudier dans le monde académique les attaques acoustiques. Donc, ce que les cryptographes ont essayé de faire, c'est de trouver un bon moyen de formuler la réalité et ensuite de prouver ce qu'il y a. Mais ce qui est difficile avec ces attaques de l'aéroport, c'est qu'il y a beaucoup de moyens possibles pour les informations liées dans le monde réel, que c'est un peu compliqué de formuler. Donc, c'est un exemple d'attaque de l'attaque de l'aéroport obtenue par les attaques électromagnétiques où beaucoup de attaques ont été combinées ensemble. Et donc, on va voir comment on peut essayer de modèler l'attaque de l'attaque de l'aéroport qui nous a donné. Et il se trouve qu'il y a beaucoup de modèles différents. Donc, vous pouvez avoir des modèles abstracts, vous pouvez avoir des modèles concrets, des modèles idéalisés, etc. Ok, donc, nous allons commencer par un modèles extrêmement concrets qui tentent de répliquer la réalité comme bien possible. Et donc, ce serait les modèles concrets de l'attaque de l'attaque. Et dans ce genre de modèles, donc, un très populaire modèles, qui je vais focuser sur, mais vous pouvez prendre d'autres modèles si vous voulez. Un populaire modèles est le hamming weight plus gauchan. Donc, nous allons considérer que chaque node d'interesse, donc, chaque valeur rouge ici, traite une distribution x, et c'est l'attaque de l'attaque, c'est la fonction rondomise, y est l'attaque de l'attaque de l'attaque, la ligue de l'attaque est la anticurve bleue, et la massade est la poignée rouge. Donc, ce qu'on a, comme un populaire modèles, c'est le hamming weight plus gauchan nodes. Et, cela est très spécifique et vous pouvez voir, par exemple ici, si vous tracez une ligne à l' tamaissance 0, et vous élève la distance à la ligne, ensuite, il va suivre la massade Vous pouvez voir que ce modèle n'a pas l'air, et tout de même pour la ligne, la ligne horizontale à l'arrivée. Mais l'issue avec laquelle c'est, c'est très bon pour modéliser la réalité, mais si vous voulez faire des procédures mathématiques, ça devient un peu compliqué. Donc, les cryptographes ont vécu avec des modèles extraits, qui sont encore en train d'obtenir des relevances en termes de réalisme, parce que, comme ils sont extraits, ils peuvent accomplir beaucoup de différents attaques. Et ce sont les modèles de l'héliquage. Et dans ce modèle, nous considérons que l'héliquage, y, biaise la distribution d'ex. Donc, ce sont des statements génériques. Et en pratique, ce que vous pouvez faire, c'est que vous choisirez une certaine biaise métrique. Donc, par exemple, Proof & Riva, ils ont pris une biaise métrique, qui est la valeur d'expectation de la distance entre l'ex et l'ex d'un y. Puis, Diabowski, vous pouvez d'abord prendre une autre métrique, qui est basée sur la distance statistique, et vous pouvez prendre, en fait, toutes les distances que vous voulez. Mais ces deux sont les plus populaires. Donc, c'est quand même assez réaliste, mais c'est aussi très difficile à travailler avec. Donc, spécialement, si vous regardez le Proof & Riva, ils sont extrêmement longs. Et quelque chose d'autre, qui est plus fondamentale, c'est que, dans cette définition, la définition impliquée dépend de l'ex. Donc, si vous faites une prouve, vous devez toujours garder en tête ce qu'il y a de l'ex, et ce qui complique les théorèmes de composition, comment vous faites dans ces cas-ci. Et, finalement, nous avons beaucoup plus de modèles idéalisés, qui sont des modèles de probation, et qui sont, naturellement, les plus populaires en cryptographie. Donc, par exemple, nous avons le Trishold, un modèle de probation par Ishaï, Sy, et Wagner. Et dans ce modèle, vous considérez que l'adversaire peut choisir exactement des notes de probation, et qu'il connaît exactement la valeur de ces notes, et les autres ne le connaissent pas. Le modèle de probation de randonne est aussi utilisé un peu, et dans ce modèle, chaque probe connait la valeur de la note avec la probabilité epsilon, et avec la probabilité 1-epsilon, le probe ne comprend rien. Donc, comme vous pouvez le voir, c'est beaucoup plus idéalisé, mais, d'ailleurs, c'est aussi beaucoup plus facile de travailler avec des sciences de computer, parce que l'information est juste 0 ou 1, et puis c'est assez simple, et c'est pourquoi ça a été utilisé beaucoup. Et, finalement, ce que les gens ont fait sur le côté pratique, c'est de proposer des compilers sécurisés pour protéger le circuit. Donc, le plus fameux est la masque, qui est proposée, d'abord, de l'Asia, de l'Asia et de Wagner. Donc, ce que nous avons, c'est que nous avons des compilers circuits pour protéger les attaques sur le circuit, et ensuite, nous avons un peu de modèles de différents modèles qui ont différentes propriétés, et la plus concrète, c'est celui du haut, et donc, nous voulons prouver que le piler circuit est sécurisé pour des modèles circuits, pour des modèles de modélisation concrètes. Et donc, ce que nous allons faire, c'est de faire une chaine de réductions. Donc, let's see how it was done before. Donc, à la bas, nous avons des compilers sécurisés, puis nous avons des modèles de probation, puis nous avons des modèles de liqueur noisy, et puis nous avons des liques concrètes, et ensuite, nous avons des passes, qui vont du haut à le bas, ce qui est ce que nous voulons. Mais, pourtant, la majorité de cette réductions est qu'elles n'étaient souvent pas très efficaces. Donc, par exemple, si vous regardez les réductions entre le modèles SD noisy leakage et le modèles random probation, vous vous perdez un facteur N, où N est le nombre d'entraînements. Donc, par exemple, si vous travaillez avec AES, cela sera 256. Si vous travaillez avec New Hope, cela sera environ 12 000. Donc, cela peut être beaucoup. Alors, si vous vous rendez compte de cette erreur pour assurer les paramètres de votre système, cela vous donnera une preuve qui n'est pas significative en pratique, et vous ne pouvez pas le relâcher. Donc, ce que nous avons fait dans ce travail, c'était d'aller avec... Donc, à un niveau conceptuel, ce que nous avons observé, c'est que le modèles SD noisy leakage et le modèles Euclidean norme noisy leakage, peuvent être exprésents dans la même frameworks. Donc, ce framework sera tout ce qui est en orange. Et ensuite, dans ce framework, nous avons décidé, qu'à l'aide de l'instantiation, ce framework, le moyen qu'ils ont fait, peut-être que nous pouvons l'instantiser dans d'autres moyens. Et cela nous a donné 2 modèles noisy leakage. Alors, ce que nous avons fait, c'était... Nous avons pris ces modèles noisy leakage et nous avons travaillé avec eux. Et nous avons trouvé que ils nous permettent d'avoir beaucoup plus de preuves en termes d'attentions d'attentions. Donc, si vous voulez aller vers le haut pour dire le compiler à la gauche de la basse, alors si nous utilisons nos modèles noisy leakage comparés aux modèles SD noisy leakage, par exemple, alors nous allons avoir de plus de preuves par un facteur de plus grande de N. Et donc, on a essentiellement solvé un gros retour que nous avons eu par l'utilisation des modèles SD noisy leakage. Et... Avant de continuer, nous avons aussi des rôles d'attentions. Et donc, ce sont aussi les moyens où nous pouvons faire des réductions, mais ces rôles sont en train de utiliser une très forte hypothèse, qui est, pour ceux qui ne savent que les refraises liques. Et donc, nous avons réussi à avoir de plus de preuves pour ne pas utiliser l'assumption de refraises liques et pour ne pas utiliser l'assumption de refraises liques. All right. Donc, les rôles de rôles seront comme suivants. Donc, nous allons unifier les modèles noisy leakage et nous allons proposer de nouveaux. Ensuite, nous allons linker les modèles noisy leakage pour la modélisation concrète de leakage. Donc, c'est le top-layer. Et ensuite, nous allons linker les modèles noisy leakage pour les modèles probés. Donc, c'est le layer juste sous les modèles noisy leakage. Et ensuite, nous allons aussi prouver les compétences directement dans les modèles noisy leakage. All right. Donc, le principal outil qui nous utilisons est l'information de point-wise mutual. Donc, c'est un outil qui est utilisé beaucoup dans la linguistique computationale. Et donc, la définition est essentiellement comme suivant le PMI de X et de Y pour deux distributions de X et de Y. Ce sera le logarithm de la suivante ratio. Donc, sur le numérateur, vous allez avoir la distribution joint de X et de Y. Et sur le numérateur, vous allez avoir la distribution producte de X et de Y. Et nous avons tous les formes usuales qui sont petits PMI et les formes exponentielles qui sont les formes exponentielles de petits PMI-1. Et nous allons pratiquement utiliser les formes exponentielles. Donc, c'est assez utile dans les linguistiques compétitions de la majorisation de l'association. Donc, si vous avez deux ordres qui sont fortement correlés, par exemple, la peine et la peine, si vous écoutez la peine, donc, ça résiste la probabilité que vous aurez de la peine. Et donc, le PMI de peine de la peine est beaucoup plus grande que 0. Si vous avez deux ordres qui sont non-relatées, comme les bananes et les bagues, alors, le PMI sera à peu près de 0. Et si vous avez deux ordres qui sont contradictoires, comme le pineapple et l'italien, le pizza, alors, ce sera beaucoup moins que 0. Et la première belle observation est que en fait, la information sociale qui est utilisée beaucoup dans le crypto de l'hélication de l'hélication de l'hélication de l'hélication de l'hélication peut être expérimentée très simplement comme la valeur de l'Hélico-Première. Alors, donc, maintenant, ce que nous avons fait c'est que nous avons rééficié la métécaire de l'Hélico-Première de l'Hélico-Première et nous pouvons observer que la définition de l'hélico-Première est très simple. Donc, pour exemple, la métécaire de distance statistique sera la valeur expectante de l'Hélico-Première. Donc, ce que nous avons décidé de faire c'est que nous avons vu que la distance statistique c'est un avantage et donc nous avons pensé qu'est-ce que nous ferons cette définition plus forte? Donc ici, c'est un avantage sur X et sur Y. Donc, nous avons décidé qu'est-ce que, au lieu de prendre l'avantage, nous allons prendre le maximum. Donc, ça donne la métécaire de l'Hélico-Première. Donc, pour l'avantage relative de l'horreur et l'Hélico-Première pour l'horreur relative de l'horreur. Donc, l'Hélico-Première va prendre le maximum sur X mais elle continue l'avantage sur Y et l'Hélico-Première va prendre le maximum sur les deux. D'accord? Donc, nous savons que l'Hélico-Première et l'Hélico-Première sont les meilleures métécaires dans un sens parce qu'on utilise le maximum et les métécaires prévues étaient les métécaires d'avantage. Donc, cela a pris trois questions. Donc, la première est est-ce qu'il change leur propriété parce qu'on va prendre différentes définitions donc, vous avez encore la même composition de théorèmes et des théorèmes de self-réducabilité et tout. Est-ce que cela implique les conditions plus fortes parce qu'on va prendre une définition plus forte donc, ça peut mettre plus de constraints sur vous, en pratique. Et est-ce que cela donnera une meilleure bounde? Et un petit spoiler, l'answer à ces trois questions sont oui, pas vraiment et oui. Ok? Donc, première, des bonnes propriétés que nous avons donc, nous observons que nous avons des équivalences avec les autres métécaires. Donc, par exemple, les métécaires ARE et les métécaires SDNoise sont équivalentes. Et nous avons aussi obtenu des inéqualités et nous avons mené, par exemple, pour bounder les informations mutuelles en plus simples et plus fortes que avec les preuves prévues. Et c'est juste à cause de l'invité simple que tous ces valeurs peuvent être expérimentées avec le PMI. Nous avons aussi une théorème de self-réducabilité qui nous dit, essentiellement, que si vous avez une fonction F, une fonction d'indépendance de l'indépendance qui est noisie pour quelques distributions X, alors ce sera noisie avec le même niveau de la noisiness pour une autre distribution X prime. Et comme pour la noisymétrique ARE. Et c'est bien pour nous parce que ça nous permet de dire qu'on ne cares pas beaucoup sur la distribution d'indépendance et on ne n'a pas plus à prendre dans l'account quand nous faisons nos prouves de la distribution qu'on travaille sur. Et ça fait notre vie plus facile. Donc le DFS-16 a une similar théorème pour la distance statistique mais avec un blow-up et seulement pour la distribution X uniforme. Donc pour la deuxième étape donc nous voulons link concrètement pour connaître la noisymétrique et donc pour exemple si vous considérez le cas usual où la distribution X suivira une distribution uniforme sur 0 pour dire ici 2-4-1 alors si nous regardons son hamming weight il suivira la distribution binomial et puis si vous ajoutez des noises vous obtiendrez cette courbe grise et si vous faites l'avantage de toutes ces courbes grises vous obtiendrez la courbe orange et c'est bien parce que nous pouvons nous exprimer le PMI pardon le PMI a le ratio entre la courbe grise et la courbe orange minus 1 donc ça nous aide à comprendre ce qui se passe et chaque métier peut être interprété comme l'avantage ou le maximum d'avantage de cette courbe grise et donc nous avons montré le suivant et même ce suivant des valeurs asymptotiques pour toutes ces 4 métriques et l'avantage c'est que essentiellement toutes ces valeurs s'étendent à la même vitesse donc ça signifie que nous n'avons pas beaucoup d'avantage d'utiliser nos nouvelles métriques comparées à la première donc ça correspond à la première question pardon, la deuxième question donc maintenant la dernière question fait-il ces métriques la plus haute pour avoir des preuves meilleures et la réponse est oui donc si nous regardons la réduction entre le modèle de la courbe grise et le modèle de la courbe grise qu'est-ce que nous avons ? donc essentiellement la preuve est de simuler l'adversaire de la courbe grise avec l'adversaire de la courbe grise et en DDS 14 ils montrent que pour simuler la courbe grise de la courbe grise l'adversaire de la courbe grise ensuite il requit l'adversaire de la courbe grise avec le paramètre epsilon equal n times delta dans notre cas avec notre nouveau métriques on le montre le même mais à l'aide de la courbe grise avec l'adversaire de la courbe grise avec epsilon equal n times delta nous avons seulement delta donc nous n'avons cette overhead de n dans la réduction et le step critique est que nous essayons d'expliquer l'adversaire de la courbe grise de delta et à un moment nous avons une formule très simple et si nous on est en distance statistique nous perdons un facteur n et à un niveau haut la raison est que la courbe grise est moins que n times max je veux dire vous devez utiliser cette argumentation si vous voulez y aller donc c'est où vous vous en takez un facteur n et c'est la courbe grise et on respecte on va dire que c'est important on va on va ruler ce ce qu'on dit on va régler ce ce on va aller l'adversaire, donc la réduction va dans les deux directions, et cela nous permet de dire au final que les 4 modèles de l'équivalent de l'équivalent sont hors-équivalent. C'est-à-dire que dans le graphisme, à la very beginning, nous avons tous ces bunches de modèles de l'équivalent, et à moins 4 de ces modèles, on peut dire OK, ils sont essentiellement les mêmes. Si vous omettez la faute de la réduction, la faute de l'équivalent de l'équivalent que vous obtenez en réduction. Alors, je voudrais conclure. Ce que nous avons fait c'est que la suivante, c'est qu'au-dessus, nous avons proposé de nouvelles modèles de l'équivalent de l'équivalent de l'équivalent, et nous avons unifié tous les modèles avec un très simple outil, un outil naturel. Puis nous l'avons linked à une modélisation de l'équivalent de l'équivalent. Puis nous avons réduit la réduction dans les deux directions entre cetteière thлетique et cette deuxièmeBBMP. Et enfin, il y a quelque chose, que nous avons reçu, c'est que nous avons également proposé de lesionaurs directement dans le modèle de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de l'équivalent de leitary. Mais ça c'est vraiment ma pièce en fait mon bout de papier parce que quand l'acheter en ré Webb cerca, c'est vraiment ma pièce en fait ma pl rides pile, il y a un peu d'addition, de la faute. Ils perdent beaucoup quand ils font cette amplification de la faute. Donc, premièrement, nous ne perdons pas ça. Et pour ajouter quelque chose, très bien, c'est que nous pouvons utiliser la réne divergence, c'est un outil qui est utilisé beaucoup en Latisse Base Crypto et qui permet d'avoir beaucoup plus de preuves. Et un point important de la réne divergence c'est que si vous utilisez la réne divergence pour faire des preuves de sécurité, supposent-vous que vous utilisez la distance statistique, vous avez besoin de faire votre scale de distance statistique avec le niveau de sécurité. Mais ici, nous n'avons qu'à faire la réne divergence scale avec le nombre de liqueurs. Et le nombre de liqueurs va généralement être beaucoup moins que le niveau de sécurité. Et donc, en fin, ça nous permet de prendre beaucoup plus de paramètres agressifs et d'avoir un moyen adaptable pour dire que c'est toujours le secret de sécurité. Et ce n'est pas dans les paroles, mais c'est dans la fédérale. Et je pense que ce sera sur le conclusion de mon é strat, donc, merci pour votre attention.添is de l'équipe dans les mics heurts côté de la stage. Non questions? Je Intel un petit question si c'est possible. Oui. Donc, ce sera pas la implication praticale de votre réponse. est-ce qu'il n'y a pas de sécurité ou de sécurité forte pour les mêmes paramètres ? Oui, dans notre papier, à un moment on a un table qui montre l'implication de notre papier mais à un niveau haut, l'idée c'est que la sécurité de votre prouve soit une fonction de l'assistant signal-to-noise ratio et de l'assistant masking ordre. Donc si l'assistant signal-to-noise ratio devient plus bas et l'assistant masking ordre devient plus haut, vous aurez plus de sécurité et si vous faites la prouve, donc selon le modèle que vous avez, vous aurez une fonction différente. Dans notre case, la fonction de la sécurité est beaucoup plus haute que les autres. Et ça dit que vous avez besoin d'un ordre de laur et que vous avez besoin de votre signal-to-noise ratio pour ne pas être aussi bas que avec les modèles prévus. Merci. Ok, let's thank the speaker again.