 Le prochain talk est « De belles blocs hajinsans, un paradigme pour construire des preuves de ban, de sécurité, de PRFs » par Nilanjan Datta, Avidjid Dutta, Meredul Nandi et Gautam Paul, et le talk est donné par Meredul. Merci pour l'introduction. C'est un joint de travail avec Nilanjan Datta, Avidjid Datta et Gautam Paul. Je me souviens d'abord, la story de la symétrie classique, c'est très commun pour tous, c'est pour rappeler le set-up. C'est un set-up de symétrie. Il y a Alice and Bob, qui ont la même chute. Il y a un autre question, qui est l'adversaire, qui peut s'interseparer. Il peut aussi manipuler les communications. L'authentication est la main chute. Alice compute un tag, d'un message et d'une chute. Bob récompute la même chose. Il récompute un tag et vérifie si c'est la même ou pas. C'est la façon dont l'authentication fonctionne. En cas de la sécurité des fourgers, la chute doit être modifiée si l'adversaire ne peut pas modifier l'adversaire, sans forger un nouveau et correcteur. Si elle ne devrait pas produire un nouveau, elle ne devrait pas produire un nouveau message et un tag. C'est la sécurité du jeu pour l'authentication. La question est maintenant dans le point d'adversaire, comment l'adversaire peut forger. Avant de définir la forge, on doit modéliser l'adversaire et le goal. Le goal est l'adversaire. L'adversaire peut faire plusieurs enquiries. Il peut faire plusieurs enquiries pour l'adversaire. Il peut avoir des tags pour différents messages dans sa propre chute. Il est adaptable. Il peut aussi faire des enquiries pour l'adversaire. Il peut générer un nouveau message pour l'adversaire. Il peut avoir des réponses pour l'adversaire. L'adversaire a les enquiries, l'adversaire et l'adversaire. L'adversaire peut faire les enquiries pour l'adversaire. Le destinations sont répliquées en vidéo. Lebat mètre en vidéo. Le passe de l'adversaire sera l'adversaire. Le but est de reproduire un message et un autre bloc cipher avec des clés d'indépendance. Donc, c'est l'enquête CBCMAC. Il y a plusieurs variants de cela. Juste, nous allons nous concentrer sur ceci. Donc, pour l'adversaire, nous allons voir des propriétés de ce CBCMAC. Si vous avez des conditions ici, si les t-values collèrent pour deux messages différents, parce que le bloc cipher est permutation, c'est-à-dire que c'est collègé sur le CBCMAC. Donc, la collision entre le CBCMAC et le CBCMAC est équilibrée à la collision entre le CBCMAC. Et cela donne une expérience d'expansion. C'est-à-dire que si vous avez des collisions, si vous ajoutez des blocs extraits, vous avez encore des collisions. C'est-à-dire que c'est l'expansion d'expansion de la CBCMAC. C'est-à-dire que la CBCMAC satisfy cette expérience d'expansion. Et cela pourrait être utilisé pour avoir une attaque si vous avez des collisions. Alors, nous allons voir comment cela peut être utilisé. Donc, l'adversaire peut faire des équipements de la CBCMAC et poursuivre des collisions. Et la réplique de l'adversaire va avoir des collisions. La probabilité d'accepter les collisions sera la quantité de têtes. La quantité du nombre de têtes est divisé par 2 pour N, où N est la taille de la taille. Lorsque l'adversaire a des collisions, si l'adversaire a des collisions pour la CBCMAC et la CBCMAC, il peut être la même quantité de la CBCMAC que la CBCMAC. C'est-à-dire que si je ajoute des blocs extraits après ça, nous aurons des collisions. Parce que l'expansion est la propre. Donc, Bob, un communiqué abstrait, comme Bob s'est demandé à Alice, qu'est-ce que c'est votre réveil? Et donc, elle dit, ok, on devrait répondre à la réveil. Alice a maintenant dit, ok, j'accepte votre papier. Mais on a déjà dit que j'accepte, j'y rejecte. Donc, avec la même taille T, pour la taille T, c'est la message. Et la même taille T, c'est la taille Valide pour j'y rejecte votre papier. Ok? Donc, c'est-à-dire, si ça génère une nouvelle message, j'y rejecte votre papier avec la taille Valide T. Donc, c'est un état de forge. Et ça requiert des collisions et c'est la baune. Donc, essentiellement, le nombre de quadris est la baune. Et notre principal focus sur ce talk sera comment on peut atteindre la sécurité de la baune. Ok? Donc, on va voir ce qui se passe dans la sécurité de la baune. Si on fixe l'Epsilon est à moins de 10, c'est comme votre avantage de forge. Et si on prend un petit bloc comme un 64 avec blocs, ou 64 avec taille T, et si on prend l'H2 pour 16, l'H est le nombre de blocs de la message. Donc, ça sometimes affecte la probabilité de collision qui fait pour le PMAC. Donc, la baune c'est la baune pour ECBC et PMAC. ECBC a une baune sans un factor L. Pour PMAC, on a un factor L. Et si on compute cette baune, si on plait ces valeurs dans cette baune, vous trouverez que le nombre de quadris doit être à plus de 25 pour ECBC et PMAC, il doit être à plus de 80. Donc, c'est-à-dire que la baune sécurité, si vous avez la baune sécurité, votre limiter de la baune ou votre limiter de la data c'est mieux si vous avez une baune baune sécurité. Ok, donc, en tant que qu'on considère la gamme de fourger de la Mac, on considère la baune fourger de la Mac ECBC et on voit que la baune donne trop de limitations. Donc, c'est mieux si vous avez quelque chose de la baune baune. Donc, maintenant, on verra comment on peut obtenir une baune baune sécurité. Donc, par exemple, vous avez quelques ECBCs par Yasuda en CTRSA 2010. Donc, c'est juste deux copies de ECBC. Donc, vous avez une ECBC et vous avez déjà vu l'ECBC ici. Donc, l'EK1 et l'EK2, c'est une map ECBC. Et vous avez une autre map ECBC appliquée à la même message, mais les deux différents sont K3 et K4. Et puis, vous soumettez. Donc, le nom est le design de quelques ECBCs. Ok. Et il requiert 4 blocs d'indépendance et la sécurité est prouvelée comme KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, KQL, avec un peu d'abri. Donc, vous avez juste ce que vous avez à faire. C'est la valeur CBC Mac, ou la valeur ECBC Mac, en fait. Et ensuite, vous exhorz avec les valeurs de changement. Appliquez un autre clé, appliquez le bloc hyper, un autre clé indépendant. Et ensuite, vous avez un final tag. Donc, ils ont prouvé les séquences QQL, QO242N. Mais nous avons trouvé que cette prouve est faite, en fait. Vous n'avez pas obtenu une séquence sur Bound Security en termes de l'L. C'est-à-dire, sur Bound Security, en termes de l'L, il devrait être l'L par 4. Donc, cette prouve n'est pas correcte. Mais c'est une question différente. Quand vous regardez les constructions différentes, avec une prouve sur Bound Security, vous avez trouvé un peu d'abri dans la prouve. Et il y a une autre construction, Lightmap Plus, par Nitro en 2017. Et là, vous avez un Lightmap sur le top. Et ensuite, vous avez la même idée, l'appliquer à la Pmap Plus. Et vous avez un Lightmap Plus. Et ici, vous n'avez pas un factor L, comme un Lightmap Plus. Mais nous avons maintenant le Bound Security. Ok. Donc, pour l'instant, nous avons vu les constructions qui atteignent le Bound Security. Mais toutes ces constructions ont 3 sujets. Et ils ont des principes de design similaires. Donc, c'est ce qu'on voit, quels sont les principes de design. Et on utilise ça pour unifier tous ces designs, ont une prouve unifiée. Et ce n'est pas seulement l'unification de toutes les constructions, mais ça aussi donne une sécurité haute, dans le sens de la bounde haute, peut-être en termes de L, ou parfois en termes de vue. Donc, on voit. Donc, nous avons ces constructions de 3 sujets. Ce sont les constructions unifiées de toutes ces constructions. On applique les fonctions hash, des fonctions hash. Et puis, on a des fonctions post-processions, on les appelle, disons, des fonctions. Et on applique ça, et on en applique. Donc, vous avez un hash double bloc et ensuite vous appliquez des fonctions. Donc, si vous avez... Et ici, vous avez 3 sujets, parce qu'on considère que c'est un quai indépendant. Et toutes ces constructions ont des sujets indépendants. Et peut-être 4 sujets pour l'incase de l'ECBC. Parce qu'ici, ils ont deux sujets. Mais vous pouvez faire deux sujets si vous avez un même bloc de cypher ici. Donc, ça peut dire 1 quai. Depuis 3 sujets, vous pouvez avoir deux sujets. Et même plus, vous pouvez faire un seul quai si vous utilisez le même quai ici. Donc, il y a des variantes différentes de ce type de paradigme, comme on les appelle double bloc, qui ont des sujets. Et pour toutes ces constructions, nous pouvons prouver la sécurité si vous avez une sécurité de ces fonctions. Donc, si l'un des fonctions est un prf, vous pouvez appeler le bien-known Hasden prf et vous pouvez obtenir un prf, ou une maxi-quality. Mais, l'un des fonctions n'est pas un prf, et c'est facile de voir. Ce sont 4 sujets pour les fonctions. Pour les deux premiers sujets, les premiers blocs sont les mêmes. Et les 3rds et 4ths sont les mêmes. Et les 1sts et 3rds et les 2nds et 4ths sont les 2nds blocs. C'est-à-dire que chaque bloc est utilisé exactement deux fois. Maintenant, si vous observez ces 4 outils, et si vous exhorer parce que chaque bloc appélée exactement deux fois, il s'éteint et vous avez 0. Donc, par faire 4 quadruples vous pouvez distinguer les fonctions. Donc, les fonctions ne sont pas clairement appérées. Donc, si vous graphiquement représentez cette priorité, ce que vous pouvez avoir est un cycle alternatif. Cela signifie que l'équalité du 1er bloc et l'équalité bleue sont les deux blocs. Ce que nous avons dans ces 4 quadruples c'est que nous avons un cycle alternatif. Nous avons une haine rouge, une haine rouge et une haine bleue. Donc, si vous avez ce type de cycle alternatif qui n'est pas possible quand vous analysez le PRF mais ça peut être possible que nos outils soient collés si l'outil de l'outil de l'outil a été collé et cela peut donner 2 cycles alternatifs. Ce sont les 4 cycles alternatifs et nous avons 6 cycles alternatifs. L'équalité des cycles alternatifs nous lead donc, nous devons l'avouer. Donc, pour avouer ce type de cycles nous devons considérer un parc alternatif de 2 ou 3 un peu plus alors, on va considérer un parc alternatif. En fait, cela simplifie les analyses. Les analyses des cycles alternatifs sont plus convergent et donc, pour éviter ce type de cycles, nous considérons le parc alternatif. Alors, nous nous focusions sur la sécurité de cette mode. C'est la mode unifiée. Nous allons juste discuser et vous verrez les détails dans le papier. Donc, nous avons des valeurs sigma et des valeurs theta si vous avez des messages différents. Et nous dirigeons que les valeurs sigma, triple et theta tau sont couvertes si nous avons des cycles d'alimentation de la ligne 2 que nous avons à l'avouer pour deux messages différents, nous avons des conditions sur les valeurs hash. Ou l'alimentation de la ligne 3 signifie que nous avons deux axes, sigma equal à j et theta i equal à k. Donc, c'est l'alimentation de la ligne 3. Donc, vous pouvez facilement voir que si vous n'avez pas ces deux conditions, il n'y a pas de cycles d'alimentation. Parce que le cycle d'alimentation de la ligne 4 ou 6, ou plus, doit contacter une ligne 3. Donc, c'est juste de l'analyser. Vous pouvez considérer une ligne 4, ou peut-être un peu plus haute, pour pouvoir avoir une meilleure bounde. Si vous voulez prouver une meilleure bounde, probablement vous devez aller pour ça. Mais si vous restrez votre événement comme ça, l'analysation est plus simple et vous pouvez, vous pouvez en fait avoir la même bounde que les décisions originales. Donc, on a déjà vu que l'alimentation d'alimentation d'alimentation fait que la ligne 0. Donc, vous devez l'avouer. Donc, l'un des bons événements est le deuxième d'alimentation d'alimentation d'alimentation d'alimentation 2, comme je l'ai mentionné. L'autre bon événement est la ligne 3. Donc, ce sont les différents bons événements qui appuient dans la preuve. Et cela appuie en fait tous les cycles de l'alimentation d'alimentation d'alimentation d'alimentation. Mais il y aura des bons événements plus mauvais, quand vous prouvez pour cela, les détails complets vous avez des bons événements plus mauvais. Donc, pourquoi ces autres bons événements sont venus ? On le voit. Ce que nous faisons dans le monde idéal, dans le monde idéal, c'est de circuler un tout planfement qui nous inquiète ce qui est intéressant. On le voit sur une kapelle, il faut parler des latatures et les représentants. Tu vois superfachten Pokémon ugh honnêtement, comme沒 Il faut savoir ce que vous voyez A la controle tout cela est d'une ou une grande Mireille. Donc ce que nous allons faire c'est sample un de ces, supposons sample Sigma j-hat, nous devons donner le même Sigma j-hat ici, Sigma i-hat doit être Sigma j-hat parce que l'input est polié ici. Mais quand vous fixez Sigma j-hat ici, alors le Theta i-hat doit être Theta i-hat qui doit être Theta i plus Sigma i-hat. Donc cette valeur est un peu fixée, il ne peut pas, il ne peut pas, il n'y a pas de randomité, mais quand vous fixez tous les Theta i-hat et le Sigma j-hat, et cela peut arriver, cela peut coller pour l'autre Theta j-hat, donc cette Theta i-hat, qui est assignée parce que vous essayez de le faire confortable avec vos previouses Theta j-hat et qui peuvent coller avec l'autre Theta j-hat. Et cela peut être un problème, parce que Theta i ne peut pas être equal à Theta j-hat, et vous avez une collision sur le range, mais il n'y a pas de collision sur le domaine. Donc cela s'appelle la collision du range, vous avez une collision du range. Donc les collisions précédentes étaient comme les collisions du domaine, comme les AC2 ou les AP3. Mais maintenant vous avez une sorte de collision du range, parce que c'est un bloc cyber, donc vous devez éviter les collisions du range et du domaine. Donc c'est la collision du range 1, et similarly vous avez une collision du range 2, c'est juste l'opposite, vous avez une collision sur le Theta i, maintenant vous avez une collision sur le Sigma i-hat. Donc vous avez une sorte de collision similaire. Ok, donc on définit le problème, on dit que le problème même est que tous ces collisions, les collisions du range, comme les précédentes, les AP3 et les AC2, et puis vous pouvez bounder les collisions du range, comme les trois possibles tupples, i, j, k, et puis vous pouvez choisir les QQ poids, vous choisissez les trois poids particulièrement, et la probabilité pour cette collision du range, vous avez deux poids N, et il y a une plus de collisions, parce que vous faites cette collision du range, une fois que vous avez un Sigma equal à Sigma j, ou Theta equal à Theta j. Donc une fois que vous avez une collision ici, c'est la probabilité de collision des functions hash, on les appelle les functions universales, et nous avons un randomness de la T, nous avons une autre collision Theta, qui cause deux poids minus N ici. Donc vous avez des deux poids 2N, si vous assumez que l'adversaire de l'adversaire est deux poids minus N. Donc vous avez des deux poids 2N ici. Et nous avons les autres bounds, comme c'est l'AC2, l'adversaire du range 2, c'est la position des functions hash, les deux poids 2N, donc vous espérez avoir deux poids 2N, un par deux poids 2N ici. Et nous avons uneocado-free avantage, qui est la T3, ici au-delà des outils de hash, ou avec les constructions délicates, vous pouvez avoir un par deux poids 2N ici. Donc en total, vous avez deux poids 2N, QQ2, par deux poids 2N. Mais encore sans, nous avons de konkong, mais pour cela, nous avons utilisé des résultats de permutation Okay, so what we get at the end, we get that the PR advantage is persist of these four terms, so one is the cover free terms, one is the AC2 terms, another is this is due to range collision. And this is due to the good transit analysis, you have to consider some of permutation, you get this term due to good transit analysis. So, this is the bound, you can get the details of how actually these bounds are coming and we apply the H-technique proof, you can get all the details in the proof. Okay, so now I move to two key constructions, the two key construction is similar to the three key construction but you have now same key. So, the problem here is in this case you have to have a more bad events, like previously you are considering sigma equal to sigma j or theta equal to theta k, but now you have to consider cross collisions like sigma equal to theta k or theta equal to sigma j. So, these cross collisions are coming and that makes the analysis much more cumbersome. So, what we did, we applied some fix you and fix one, so this means we fix one bit to zero of the hash output and fix one means we fix say last bit to one. So, that means I never get a collision between sigma and between one sigma value with the other theta values because the last bit is fixed. So, that actually is a trick to avoid the unnecessary extra bad events which can arise for the two key analysis. So, this actually gives us two key analysis, two key has then some analysis, but here you have to be careful because we have a universal advantage as well as the collision advantage for the hash functions. But the hash function is no longer this, hash function should be after fix you and fix one. So, the overhead actually comes into the analysis of the hash function, but still it's better because you only consider a pair of message or three messages and you consider some collision event on sigma and theta. Ok, so in that case we get a similar results for the two key constructions which fix you and fix one. We get a similar terms, we get some extra term q over 2 porin and these terms again due to the sum of permutation results. But now it's not for sum of permutations with the same, two independent keys, but sum of permutations with the same key. So, there are some variants of the battery analysis also, so where you can apply that and you get a different factor like 6q over 2 por 2n and using that we get a two key analysis. Ok, so let's see some instantiation and what happens our bound if we apply this analysis. So, we already have a sum eCbc, pmaq plus, 3kf9, likemaq plus, so all these are 3k. These are the old bound and if you see the new bounds, we actually get some improved bound. For example, sum eCbc, we don't have L factor here actually. But we have a qL square, which is in term, if you square it, you get a q square L4 over 2 por 2n and you have a q cube L4 2 por 2n. So, in some sense it's better bound than this, in some cases. This is more or less, even this is better also, so we don't have a Lq factor here. So, we mostly gain in terms of the L factors. So, we have a pmaq plus bound, which is improved. The 3kf9, which is not correct, as I mentioned, there should be L4. So, I found it very difficult to avoid the birthday bound of L. So, in the sequential constructions, the birthday bound of L becomes unavoidable. So, this is not correct. So, what the bound we got is q cube L4 over 2 por 2n. Lightmap plus, ok, this is already typed, so there is nothing to improve. But at the same time, we actually have two key versions of all these constructions with a similar bound. So, the previous all these constructions are three keys, maybe four keys. But now you have two key versions of all these constructions, and you get a similar bound. So, this means you save keys, you get a better bounds. So, this is the advantage of, sometimes you get advantage if you unify the designs, if you have a better understanding of the designs, so you have a better analysis on those designs. And you get better bounds. So, we have shown the security of all these constructions up to 2 por 2n by 3. As I mentioned, we consider the two bad events, like a path of length 3 with two edges. So, one may actually go for the 3 ap4. So, one can hope for better security, and that's what we believe. In fact, there are attacks known in last year. We have shown that all these constructions can be attacked in 2 por 3n by 4, 3n by 4 query complexity. So, the 2 por 3n by 4 is the upper bound on the number of queries. You cannot do it better than that. And we already have a lower bound on the number of queries 2 por 2n by 3. So, there is still a gap, which is an open problem. And we believe that the gap can be pushed further to 2 por 3n by 4, if you consider possibly the ap4 and some other bad events, maybe. So, we have not done those analysis because it looks more cumbersome. Already we have a stable bad events, so we avoid those bad events. But we hope that this can be tied to 2 por 3n by 4. Thank you. Questions for Maidoul? So, we have a brief question. Could you go back one slide? So, for 3kf9, so you said that you have cube l to the 4, and they have cube cube l to the 3rd, and that's why their result is incorrect. But could it just as well be that your bound is slightly worse, or is it really a mistake in the proof of 3kf9? Yes, so this is the proof as plot. Ah, ok. So, if you connect the proof, their proof, you will get this part. But you found a mistake in the proof. Ah, ok, yes, yes. Ok, that's it. Other questions? Well, if not, let us sign Maidoul again. And the last talk.