ご紹介いただきありがとうございます。I'm Yoosuke Toto from NTT Secure Platform,ラブラトリーズです。初めのコレーションのアタックをご紹介いただき、タカノリ・イソペ、ウィリメギア、カツマロワーキー、ビンチェンをご紹介いただき、まずは、私の話です。私の話は初めのコレーションアタックをご紹介いただき、一番のクリプトアナルシスのテクニックについて、シメトリーキーサイフェリーを最新の構造海苔のテクニックです。最初の構造アタックは 1985年について、広いアタック スラテジウを具体的に2019年についての構造コレーションアタックでした。一番のクリプトアナルシスのテクニックは、初めのコレーションアタックをご紹介いただき、私が初めのコレーションアタックをご紹介しています。そして、新しいプロパティ、ロンキー・ハイポゼシス、新しいアタックフレームワーク。新しいアイデアはとても強いです。多くのリニアアプロジェクトのレプレゼンテーションがあります。そうすると、アタックはマーチプロリニア・ファストコリレーションタックです。最後に、この技術をモダンスリームサイファファミリー、グレインファミリーに、グレインファレライン-V1、グレインファニリー・アイデア・アイシーズ等サクセスとなり、ファミリーでインのアタック等新しいアタックフレームワークのインスリームポートフォリオ and128a元答なった ISYC、新しいアタックフレームワークが冷やしたアタックフレームワーク劣化面をバスワークと magic outlet it be.では、そしてこちら、まず、LFSR-based stream ciphersを説明する必要があります。最初のコリエーションアタックはLFSR-based stream ciphersの可能性です。最初はLFSR-based stream ciphersのインターナルスタイトです。セクレットキーやイニシャライズレーションベクトはLFSR-based stream ciphersのインターナルスタイトです。このスタイトはセクレットです。このスタイトはレニアフィードバックポリノミアルFでアップされています。そして、A.T。A.Tはキーストリームを使って、セクレットキーストリームはセクレットキーストリームのインターナルスタイトです。バッドカップマシアルグリズムを使え、インターナルスタイトはキーストリームを使って、エラーステーキンスのE.T。エラーステーキンスはエラーステーキンスがエラーステーキンスです。しかし、現在、シメトリーケースサイファについてお話しする必要があります。では、リランダムからエイティを選ぶことはできません。モデンスリームサイファで、新しいステートを再現しています。このステートは、LFSRステートを供給していません。LFSRステートは、新しいステートを供給しています。このサイファを使用して、コリレーションをアタックするために、それがゼラのアサンプションです。エイティは0と、プロバビリティは1と同じです。このサイファは、1コリレーションをアタックするために、セキューは0と同じです。このエンジニアは0と同じです。表示し、シメトリーケースサイファの距離は0と同じです。そのとき、エイティとコリレーションを抵補し、エイティとコリレーションを抵補し、エイティとコリレーションを抵補し、エイティとコリレーションを選んだら、このセキューが correct、この価値を追加するために普通の価値を追加することもできますもちろん、意味は違いますそのため、正確な値と正確な値を繋げることもできますもちろん、コリレーションのアタックは非常に有名なアタックですフェンVデザイン、モーダウンスリームサイファーE.T.は普通にバイエストではないでも、普通のバイエストのリレーションは例えば、GT-plus-Iの数を使用するためにオプタマリーを選択するためにそして、高いバイエストのリレーションを入れていることができます例えば、Grain-V0の場合fsc2006の場合バイエストはGrain-V0を割ることができますこれがV1の最初のバージョンでコリネーションを使ってこのタッグを使うとTZは0と80と同じですまずはコリネーションの授業を説明しますこのタッグは3つの方法です1つはパーティチェッククレーションを生成します2つはセクレットビッズのサイズを渡しますそしてセクレットビッズを使ってLFSRベーススリームサイファの高いレベルですSTとBTの時点はLFSRのリニアスペースとノンリニアスペースに関してSTプラス1はGをマルチプライングでBTプラス1はGとSTプライングでノンリニアファンクションでこのファンクションはSKSTプラス1とSTプライングでスペースは高いレニアスペースを見つけますこのタッグはBROCKサイファのノリニアクリプトのレニアクリプトと同じです生存が0とBTとBTとBTを7と80と同じですウォースリーニアマスクがこの価値は非常に大きなバイエスですその場合、このリニアアプロクシメットの展示を持っています最も重要な部分はリニアマスクラムダアイの高いバイエスを見つけますこのアプロクシメットを見つけますST plus IはリニアリのSTで生産されていますこのアプロクシメットで生産されていますSTもリニアリのSTで生産されていますその場合、この価値を変えますこの価値はこの価値を変えます最後に、このリニアアプロクシメットを見つけます次に、このリニアアプロクシメットを見つけますこの多くのアプロクシメットで生産されていますこのリニアアプロクシメットはこのようですこのアプロクシメットで生産されていますこの価値を見つけます最後に、この価値を変えますこのアプロクシメットの価値を変えますこの価値を変えますこの価値を変えますこの価値を変えますこの価値を変えますこの最後の価値を変えますこの価値を変えますこの新しいマトリックを生産させますこの価値を変えます最後の価値を変えますこの価値を変えます最後に、この価値を変えますこの価値を変えますこちらの価値を変えますその間は、このような価値を変えてこちらの価値を変えると、この価値が減っているこの価値は、この価値が減っているその後、S0を各側に上げてS0を各側に上げて最後に、S0を各側に上げてこの価値を同時に交換するコリエーションはプラドクスプログラムのためにオリジナルコリエーションを見ることができますそのため、2ヴェクタースを描くためにコリエーションはシート2に落ちています他の結果でデータコンプレクティーは1を乗るためにシート2を乗るためにその場合、リニアアプロクシメーションを見るためにコリエーションは2-50に乗るためにデータコンプレクティーは2-200に乗るためにセキュリティーのレベルは128ビットですそのため、リニアアプロクシメーションは意味のないですそれでは、ファストコリエーションを見るためにファストコリエーションを見るためにこのアプロクシメーションとこのマドリックスマジュプロケーションをセキュリティーはシート2に落ちていますデータコンプレクティーはシート2に落ちていますガンマーはリニアアプロクシメーションを選択していますでは、ファストコリエーションをこのマジュプロケーションにおいてこのマジュプロケーションにおいてファストコリエーションのファイナイトフィールGF2-Nを選択していますファストコリエーションのファイナイトフィールGF2-Nを選択していますファストコリエーションのフィールでアルファはプリンティブルートですガンマーのフィールGF2-Nを選択しています自分のコンバジオンのFDIGAMが次に、G2t times gamma over the binary matrix is a natural conversion of alpha 2t gamma over Gf2n.このように、G2t times gamma goes to alpha 2t gamma, is equivalent to gamma alpha 2t, and then we convert this multiplication over Gf2n to the corresponding matrix multiplication.そして、この表現は、クッキーと同じことです。このように、G2t times gamma is the same as the first column of G2t, and this first column is the same as the gamma.Gamma M is generated like this.1st column is Gamma and 2nd column is Gamma Alpha.Gamma Alpha to the T, blah blah blah.So that we can generate these binary matrix.So if we use these techniques,so we know G to the T times Gamma is commutative.So we can change these linear approximationsinto these linear approximations.So now we notice one fact.So if parity check equations are generated from Alpha to the Tinstead of G to the T times Gamma,then if attackers guess S times M Gamma,instead of S,the approximations above holds with high probability.And now,assuming there are many high bias linear masks like this,so all of them are highly biased.So in this procedure,we have multiple bias solutions.So now,we want to exploit this fact.Okay,so the originally S prime is S,high bias,but a new fast correlation tag.So S prime is S M Gamma,high bias.So now,this is a procedure of our new algorithm.So first,we generate parity check equationsby using Alpha to the Tby correcting the capital N bit key stream.So the time complexity is N.So next,we pick top NPS prime,whose NPTICAL bias is high.But of course,to evaluate it,so we need to guess N bit S prime.So the time complexity is N to the N,even if we use the first word,shadow mark transform.But now,we exploit many high bias solutions.So currently,we have M high bias solutions.So in that case,even if we only evaluate S prime,whose LSB is always 0.So we should find M over 2 high bias S prime on average.So in general,so if beta bits are bypassed,so we can reduce the time complexity for FHWTfrom N to the N to N minus betaSo now,we bypass beta bits.So this time complexity is reduced to like this.And finally,so we apply M gamma I inversefor NPTICAL solutions,the time complexity is NP times N.So the second step,so to estimate the success probability,so we use normal distributionfor the second step and the person distribution for the third step.So this is the example parameter.So the size of LFSR is 24and assuming we have the correlationwith 2 to the minus 10.415and assuming we have 2 to the 10 high bias linear masks.And now,we bypass 5 bit in the first version.And now we bypass 5 bit in the first version.Then we first correct to the 23.25 bitsand evaluate this value.So if S prime is S times M gamma I,so this value follows this normal distribution.Otherwise,so this value follows this random case,so this random normal distribution.So we use the threshold here.So this is the 2 to the 12.68.So under we pick S prime,whose NPTICAL correlation is greater than this side,greater than 2 to the right side.And the peak solution,the number of peak solutions is 2 to the 30.28.And after that,we apply 2 to the 10 high bias linear masksand so we recover the secret key.So finally,so removing the M gamma,so as a correct key,follows the number of appearance of the correct key,follows this person distribution,but incorrect key,so it follows this person distribution.So now,I implement this attackto the toy grain cipherand it's a plot of the experimental result.So as a result,our experiments almost followed our theoryand in this case,if we use the threshold 9,so the correct key is always distinguishedwith incorrect keys.So finally,so we applied this techniqueto grain family.So our new idea is powerfulwhen there are many high bias linear approximations.So the importance isso grain-like ciphers has many high bias linear masks.So this is a structure of grainand this bit is the key stream sequenceand the key stream is generated from the Boolean function h.And this is the example of grain v1.So h is a Boolean functionand h is a Boolean functionso if we use linear maskthen the correlation is the minus 2 to the minus 2and if we use 0 0 1 1 1for example,the corresponding correlationis the 2 to the minus 2.So in this example,so we know2 to the 4 potentialthere are 2 to the 4 potential linear maskswith high correlationsand each input linear maskderives different linear approximations.So in the case of grain v1moreover,the sum of the tz key stream bits is usedand in the case of grain v1we use tz is like this.So the potential number of approximationsis the 2 to the 4 times the 10and the 2 to the 40 different linear approximations.But of course,this is rough estimationso in real we need more complicated variations.So actually it is very difficult to explain itin this short timeso please read our paper in detail.So this is the conclusion and open question.So this is the summary of our attack.So for example,the grain v1 to 8awe can find 2 to the 26.5atolinear approximations with correlationis like this.So in this parameter,we can attackthis scheme with time complexitythe 2 to the 150.4so which is fasterthan 2 to the 128.So but we havebig open questions.So yeah,actuallywe can break the grain 128abut the target isonly grain 128awith that authentication mode.So if authentication mode is enabledso only even clock outputare used as keystreamand the old clock outputis used to generate the tag.In that case,the attackercannot observe theold clock outputin realisticassumption.So it is very difficultto generate high biased linear approximations.So unfortunately we cannot breakgrain v1 to 8awith authentication mode.So it is anopen question to breakgrain v1 to 8awith authentication mode.Thank you very much.