 Hai, semua. Nama saya Xiamen, dan saya akan menangani kerja kita Default Cyber Level Resistance Against Differensia For That Tab. Ini adalah perjalanan saya. Jadi kita akan mulai dengan introduksi Selain dari kawasan main kita, DFA Resistance Framework Dan selain dari Default, yang adalah instansiasi DFA Resistance Framework. Jadi, pertama untuk reduksi. Atau Atau For That Tab adalah kawasan kawasan main kita Di mana keadaan akan menyebabkan sebuah kawasan kawasan Untuk mengawasikan komputasi kawasan main kita Dengan 40 perjalanan. Atau Atau Differensia For That Tab adalah Atau Atau Kawasan Main yang menyebabkan dan mempunyai Atau Atau Regulat dan 40 perjalanan dari perjalanan yang sama. Jadi,emeacsan, Prada perjalanan pertama, kita mempunyai Atau Differensia For That Tab yang sama. Di tripun kedua, untuk ketiga perjalanan yang sama, Atau Atau Differensia For That Tab akan menyebabkan Sebuah kawasan main yang berikut yang sama, Sebuah kawasan main yang berikut yang sama, Dan dari kawasan main ini, Mereka akan mencuba mengubahkan KJK. Mereka mengalami perangkat perangkat perangkat perangkat perangkat, salah satu adalah perangkat perangkat. Jadi, sebab kira-kira kita dapat menggunakan layar perangkat fizikal atau menerangkan untuk melindungi perangkat perangkat. Jadi, semasa perangkat apabila perangkat berusaha menerangkan perangkat, perangkat ini akan melindungi penerangkan perangkat. Tetapi, sebuah perangkat perangkat ini biasanya adalah pilihan perangkat perangkat, dan ia di luar skopak kriptografi. Satu cara adalah perangkat perangkat. Untuk menerangkan perangkat perangkat, jadi, sebab kira-kira perangkat, ia akan digunakan untuk kedua-dua perangkat untuk membuat perangkat perangkat, dan ia akan menerangkan jika berdua-dua perangkat perangkat sama. Jadi, jika perangkat tersebut menerangkan perangkat dalam satu daripada mereka, semasa perangkat perangkat perangkat, ia akan menerangkan bahawa ia berbeza dan ada perangkat, dan ia akan tidak menerangkan perangkat. Satu cara adalah untuk menggabungkan kode kawasan perangkat perangkat dalam perangkat perangkat, supaya jika perangkat tersebut menerangkan, kode kawasan perangkat perangkat akan dapat mengambil kode kawasan perangkat dan ia akan tidak menerangkan perangkat juga. Jadi, ini adalah sebuah cara untuk menggabungkan kode kawasan perangkat daripada mengambil kode kawasan perangkat untuk menerangkan kode kawasan perangkat. Namun, sebuah cara seperti ini juga dapat dibuat oleh keadaan lebih jauh. Untuk menunjukkan komputasi perangkat, jika kode kawasan perangkat boleh juga membuat perangkat untuk mengambil perangkat dalam kode kawasan perangkat yang sama dengan kode kawasan perangkat yang sama, kemudian dengan perangkat, anda masih akan memahami kode kawasan perangkat yang sama dan teruskan kode kawasan perangkat yang 40. Untuk kode kawasan perangkat, jika kode kawasan tersebut cukup besar dan lebih daripada kode kawasan perangkat, kemudian anda tidak akan dapat mengambil kode kawasan dan anda akan juga mengambil kode kawasan perangkat yang 40. Jadi, dalam kedua-dua jika kode kawasan perangkat lebih daripada kode kawasan perangkat, jika kode kawasan perangkat adalah lebih daripada kode kawasan perangkat. Jadi, keduanya yang penting di sini adalah untuk mempunyai kode kawasan perangkat. Jadi, dan perkara pertama, ia adalah kode kawasan perangkat. Jadi, kami tidak perlu berhubung pada kode kawasan perangkat. Dan ia boleh digunakan untuk mempunyai kode kawasan perangkat untuk melindungi kode kawasan perangkat. Dan idea yang tinggi adalah untuk memimpulkan kode kawasan perangkat yang lebih daripada kode kawasan perangkat. Jadi, kami menolak kode kawasan untuk mengambil kode kawasan dan mengambil kode kawasan yang mereka mahu, tapi bahkan dengan kode kawasan mereka akan mempunyai banyak kode kawasan. Dan kami akan membuat kerja untuk memberikan kejadian yang lebih daripada kode kawasan ini. Kita akan bercakap tentang kode kawasan perangkat. Tetapi sebelum itu, saya akan memberikan perangkat. Kita berhubung pada perangkat S-Box. S-Box adalah hasil kode kawasan yang mempergantikan kode kawasan dengan kode kawasan yang lebih daripada kode kawasan. Dan, dengan kode kawasan dan perangkat dan perangkat yang lebih daripada kode kawasan, katakan kode kawasan dan Deltar. X adalah solusi jika ia menunjukkan perasaan ini di sini. Jadi jika anda mempunyai Deltar kecil dan anda dapat meletakkan Deltar kecil, kemudian X adalah solusi. Dan di sini anda dapat lihat jika X adalah solusi, X atau Deltar adalah juga solusi. Anda hanya memutuskan kompetiti di sini. Jadi solusi akan selalu datang dalam perasaan. Dan untuk pembelajaran, apabila pembelajaran ingin melindungi perasaan klasikal, biasanya kita akan mempunyai perasaan berkeliaran daripada perasaan berkeliaran ini. Tetapi mempunyai perasaan berkeliaran berkeliaran itu sebenarnya membuat DFA lebih mudah. Jadi jika anda meletakkan kepada perasaan terakhir ini adalah perasaan berkeliaran dan kita meletakkan ke satu posisi perasaan berkeliaran. Jadi perasaan anda dapat melihat perasaan berkeliaran, tetapi kerana ada beberapa perasaan klasikal, jadi perasaan dari perasaan berkeliaran adalah mengenai. Seperti untuk perasaan perasaan berkeliaran juga tidak terkenal. Jadi apa yang perasaan boleh lakukan adalah untuk memperkenalkan perasaan pada kawasan X di sini untuk membuat beberapa perasaan berkeliaran kecil. Dan anda dapat melihat perasaan berkeliaran yang besar dari perasaan berkeliaran di sini. Sejak perasaan perasaan berkeliaran adalah berkeliaran, jadi perasaan akan menjadi sama. Dan dengan kecuali perasaan kecil ini, perasaan besar, perasaan berkeliaran, dan perasaan berkeliaran dari perasaan berkeliaran, perasaan anda dapat mengubah pilihan kemungkinan untuk X. Dan dari sana anda dapat mempunyai kemungkinan untuk Y dan memperkenalkan perasaan berkeliaran anda akan dapatkan kemungkinan kemungkinan. Dan jika perasaan akan memperkenalkan perasaan ini untuk perasaan berkeliaran, kemudian anda akan dapatkan beberapa perasaan berkeliaran. Dan kecuali perasaan berkeliaran akan menjadi sebuah perasaan berkeliaran dari semua perasaan berkeliaran ini. Jadi jika perasaan berkeliaran berkeliaran lebih besar, kemudian dengan kecuali dua atau tiga perasaan berkeliaran, perasaan berkeliaran dapat mengubah perasaan unik, perasaan unik sudah. Our idea is to prevent the adversary from obtaining a unique subkey solution and we do that through the linear structure of S boxes. So an element A is linear structure of S box S if for some constant B we have this formula holds for all possible z value and if x is a solution for some input output difference small delta and large delta then we know that x xor A will also be a solution as well. So you can see that from the following formula sorry for the following equation. So by the above definition the S x xor A can be rewritten as S x xor B similarly for the other one and the constant B can be cancelled off and we will get S x xor S x xor small delta and since we know small delta sorry since we know x is the solution for small delta large delta then this will become this is equals to large delta. So it shows that x xor A is also a solution as well. So if A is non-zero then the intersection of the key candidates will now give us a unique solution because for any input output difference when there is a solution x xor A is also a solution as well. So when you repeat the attack from before when you get a key candidate the same when you get a key candidate k k xor A is also another possible key candidate. So that is for single S box. Now if you consider the entire block cipher for 128 bit state size if we use 4 bit S box then there will be 32 4 bit S boxes and for regular S box regular S boxes there is only one linear structure which is the A equals to zero which is the trivial linear structure then it is possible for the adversary to find a unique solution and the key space is just one. But if we have a as we see before if we have a linear structure A then there's guaranteed to have at least two solution per S box no matter how many intersection you do then the key space is now 2 to the 32 and if you have 4 linear structures then you can even achieve 2 to the 64 key candidates. So this increases the attack complexity for the adversary because no matter how many faults they inject no matter how many intersection they try to do they will always have a set of solutions and if we consider 8 bit S box because of the size we are able to have even more linear structures and hence potentially having an even larger key space. So for our DFA resistant framework we propose a airhold protection layer to protect existing block cipher against DFA so the layer work consists of rounds of S boxes with linear structures and we will append it after the main cipher so when an adversary were to inject fault at this protection layer the search complexity will be lower bound as we discussed before for example is there will be at least 2 to the x solutions there will be 2 to the x key solutions so another strategy the adversary could do is to inject the fault in the main cipher and hope that it will propagate through the this layer and then launch a same attack at the last round of the main cipher. So to make this attack costly we want the the protection layer to have a differential upper bound of 2 to the minus x so if the attacker wants to propagate the difference through this layer they have to pay is actually the same cost as guessing the all the possible key candidates and if the decryption oracle also require some form of protection then we can prepend the layer as well so when the adversary do the decryption they can't do the fault injection as well because we have a layer protecting it so next we will talk about default so default is a full flash DFA resistant cipher is compriser with with the two acop protection layer that we mentioned before sandwiching a core layer here a core cipher here so the raw function is inspired by gif 128 which for the default layer it is a 28 rounds with 4 bs boxes that has 4 linear structures and for the default core it's a 24 round with 4 bs boxes but without the linear structure because with the linear structure it's actually very bad for it's very bad against differential the classical differential key analysis so for the middle layer we want need to have some form of protection against the classical differential key analysis so and for both layers the the permutation layer is the same same as the gif 128 b permutation and for every round we also have a full state key addition so this default layer can be used for protecting any existing cipher as well so for example if you have a gif or aes you can just put this default layer before and after the cipher and since we are using 4 bs box with 4 linear structures our security go against DFA is 64 bit security and for classical key analysis we still want to achieve the standard 128 bit security next we talk about the hardware benchmarking results so we compare gif with we compare default with gif because they have very similar structure and for if we put the default layer over gif this is the benchmarking result automatically we can use the existing duplicate computation method either we use the circuit and do the computation twice then in that case it will incur double the cycle or we can have 2 copies of the gif circuit to do the duplicate computation in parallel so here you can see that if we were to put the to add the default layer on top of gif the even increment is actually very little very very small and default is smaller than default has a smaller area compared to both the duplication method and for software benchmarking we can see that default we use gif 1 2 8 as a as a reference so you can see that default is slightly faster than doing a gif duplicate implementation and to conclude our work we propose the first cipher layer DFA resident framework by using sboxes with linear structure which is usually not used in normal cipher design because it is bad for differential quick analysis and through that we can give a lower bound on the DFA key recovery complexity and our airhawk protection layer can be applied to any existing block cifers to protect against DFA and for we instantiate with a 4-bit sboxes with linear structures and we present propose a default layer which is the airhawk DFA resistant layer that can be used to protect any block cifers or and also we propose a default which is a full-fledged cipher that has the default layer sandwiching a default core layer so that's all for my presentation thank you