 Donc, la fin de cette session, c'est une fréquence générale pour les distinguisseurs de récentes AS. Et, comme déjà dit, c'est une follow-up pour la précédente discussion. Le papier est de Christine Aboura, Anconto et Daniel Cogia, et Daniel va donner la parole. Merci Gaétan, et merci Lorenzo pour votre talk. Ce travail avec Anconto et Christine Aboura est un élément du travail de Lorenzo Grassi, Christian Reichberger et Sandra Renium, et des distinguisseurs de récentes AS. On a étudié les distinguisseurs de récentes AS, et on a réussi à donner une prouve pour elles qui nous permettent de généraliser pour les autres cifres espionnés. Donc, je vais commencer avec les nécessaires préliminaires, même si Lorenzo l'a fait. Donc, nous travaillons avec les matrices 4x4, avec les couleurs en F2-8, et je vais définir des sub-spaces de cet espace vector. Donc, nous avons les couleurs, qui sont définies par les sets, qui ont des éléments non-zero sur la première couleur, pour exemple, pour les couleurs zeroes. Si nous pouvons obtenir plusieurs indices, c'est juste l'exemple direct de couleurs espaces. Donc, l'exemple direct de couleurs espaces donne des couleurs espaces. Et il y a d'autres sub-spaces intéressants, c'est les diagonaux, qui sont définies comme l'image à travers les couleurs des chiffres, qui donnent des couleurs espaces. Il y a des diagonaux anti-diagonaux, qui sont l'image à travers les couleurs espaces, et finalement, des espaces mixés, qui sont l'image par les couleurs mixés des espaces anti-diagonaux. Ce qui est intéressant de ces sub-spaces, c'est que les diagonaux sont liés aux couleurs, après la fonction de la récentes AS, et les couleurs sont liés aux couleurs mixés, après une fonction de la récentes AS. Mais la récentes AS est un cipher de alternation, donc ce que nous voulons de ces sub-spaces, c'est de vérifier une property plus forte. Et c'est la property de les sub-spaces. Donc, si je considère la fonction F, les sub-spaces U et V, je dirais que les U et V définissent les sub-spaces à travers les couleurs F. Si chaque cassette de vue est mapée à un cassette V. Et la bonne news c'est que les diagonaux et les couleurs définissent les sub-spaces pour la fonction de la récentes AS, ainsi que les couleurs et les espaces mixés. C'est suffisant de comprendre ce que les multiplares distinguent. Donc, tu prends un élément A, tu prends un espace diagonaux, et un espace mixé. Et tu prends le nombre de pares des élémentaires qui belongent à ce cassette de diagonaux qui, la différence, après 5 rounds, belongent à le espace mixé et ce nombre sera toujours un multiplaire de 8. Donc, qu'est-ce que nous avons fait avec ça ? Dans l'original paper, que je recrute en 2017, il a été dit dans la preuve qu'il n'y avait pas de détaillement de l'espace, mais que l'élément linéaire avait besoin d'un numéro de pares maximaux. Nous n'avions pas vraiment été convaincés avec ça, et nous devions faire une nouvelle preuve pour être convaincés que le numéro de pares maximaux n'est pas nécessaire. Et le fait que nous n'avons pas besoin de ce numéro de pares maximaux a été demandé si c'était possible d'adapter ces distinguages donc nous devrions regarder les détails de la preuve. Ce qui est intéressant, c'est que nous avons ces deux sujets de sub-spaces. La chose importante est que ces sujets de sub-spaces sont liés par une propriété de 1 round entre les bases mixées et les diagonaux. Cette propriété doit être familiale. Si vous regardez le nombre de pares de éléments de ce set de base mixé et qui a une différence après 1 round de diagonaux, ce numéro est un multiploi de 8. Pour prouver cela, nous commençons avec la définition d'une relation équivalente entre les deux sujets de pares. Donc ici, nous avons l'exemple d'un paire de sujets dans la zone mixée 0. C'est un sub-space de dimension 4. Et si nous regardons carefully les éléments de ce paire, nous verrons que les coordonnées de sub-spaces de base sont 2 et 3, mais nous avons différentes coordonnées sur les sujets de base 0 et 1. Et puis, nous définissons l'information de set K d'un paire comme l'indice de les sujets de base où les coordonnées diffèrent. Donc, pour mon exemple, l'information de set 0 et 1. Si je prends ce autre paire, je vois que c'est aussi de la même coordonnée sur les sujets de base 2 et 3, mais différentes coordonnées sur les sujets de base 0 et 1. En plus, si je regarde carefully les coordonnées sur les sujets de base 0 et 1, elles sont les mêmes que le premier paire, mais elles ont été swapées. Donc, c'est de la façon que je définis une relation équivalente. Si je prends deux sujets de base P et Q, si elles sharesnt la même information et si, dans l'information de set, elles ont été swapées, je dirais que ces sujets sont équivalents. Ce qui est très bien avec cette relation équivalente, c'est que cette fonction delta qui s'applique à un paire non ordre et qui compute la différence après 5 rounds, cette fonction delta est constant dans les classes équivalentes. Une autre bonne propriété, en fonction de la taille de l'information de set, donc, j'ai cette puissance 2 et cette expérience est toujours plus grande que 3. Ce qui signifie que cette cardinatie sera toujours multipliée. Donc, si je prends le maire, si j'écoute le numéro n comme le numéro de paire qui a une différence après 1 ronde, selon la même diagonale, si l'équivalence des classes équivalentes forment une partition, j'ai le droit de write n comme le nombre de classes équivalentes et si vous regardez ces intersections, le fait que delta est constant dans les classes équivalentes signifie que cette intersection n'est qu'une entreprise ou l'ensemble de la classe. Et depuis que toutes les classes équivalentes ont une cardinatie qui est un multiple de 8, le numéro n est un multiple de 8. Donc, qu'est-ce que le numéro de paire ? Bien, l'influence du numéro de paire est la suivante. Si je prends le b, le numéro de paire me permet de refiner dans l'expression pour laquelle l'équivalence de la classe est peut-être un set non-empte, mais ce n'est pas possible d'affecter le nombre de propriétés. Donc, notre première question est inserte et nous verrons maintenant comment nous pouvons utiliser cette preuve pour les autres SPNs. Bien, j'ai besoin d'expliquer comment nous généraliser un peu cette preuve. Donc, n'oubliez pas que quelques slides avant, nous avons défendu les mi-spaces comme l'image des colonnes et le lait de l'EAS. Ensuite, quand nous avons les mi-spaces, j'ai défendu une relation équivalente qui était très dépendante du structeur des mi-spaces. D'ailleurs, j'ai besoin d'expression des vectors, des coordonnées. Et cette relation équivalente m'a permis d'établir cette théorie très importante pour moi. Et cela dépend de la fonction round de l'EAS. Il doit donc être un magique entre le structeur de la mi-space et la fonction round de l'EAS pour avoir la théorie pour tout. Qu'est-ce que c'est ? Je vous donne un hint. C'est la base de la mi-space 0,2 dans la base canonique. La base canonique est la base sur laquelle l'opération sub-bites est définie. Et ce qui doit être évident est que cette base formule une matrixe diagonale bloc. Ce sera la main caractérisation des mi-spaces qui peuvent remplir les mi-spaces dans ce qu'on veut faire. On les appelle compatibles avec les sub-bites de sub-spaces. Ce qui caractérise une surface V est qu'elle a une base G qui s'exprime à la matrixe diagonale bloc dans la base canonique. Les blocs peuvent avoir de la taille. Qu'est-ce que le nombre de blocs ? Le nombre de blocs H me donnera la modulité de l'équivalent de l'équivalent. C'est plus un exemple que l'autre, mais c'est un papier et dans le de l'équivalent de producer un bloc diagonal de M0 et c'est compatible avec les sub-bites et les portes théorème Par contre, je reviens au de l'équivalent de la mixture de Lorenzo parce que ce que l'on peut voir peut prouver dans un autre гор de la wraps. Je le racontis sur mes notes, qui sont très inspirés de Lorenzo's notation. Donc je prends un élément A, je prends ce sub-space U, et je prends un mix-space, je choisis un mix-space. Je prends des éléments de cette forme, P0, P1, Q0, Q1. Et le résultat c'est que la différence après 4 rounds de l'EPA s'agit de la mix-space que j'ai choisi si et à la fois si la différence après 4 rounds de l'EPA-Q s'agit de la mix-space. Bien, on va le montrer de notre manière. Donc cette sub-space U peut être expérimente à cette intersection. Je défends cette sub-space V. Et ce que nous savons déjà, c'est que l'un et l'autre forment une sub-space traînée pour la fonction de la round, ce qui signifie que les images de P0, P1, Q0, Q1 tout après une round sont allées à la même cosette de V. Ce qui est intéressant avec V est que c'est compatible avec les sub-bites parce que de la base diagonale bloc. Maintenant, si vous avez... On compute ce que P0, P1, Q0, Q1 ont donné après une round. Et ce que nous avons, c'est que de la façon dont nous avons choisi P0, P1, Q0, Q1, les images forment des paires équivalentes dans la cosette de V plus B. Puis, la hausse de theorem. Et cela permet d'avoir cette qualité. Donc, cela devrait vous remercier de ce que Lorenzo nous a dit. Et cette qualité, grâce à la sub-space traînée de la base diagonale, de la base mixte, donne le résultat final. Donc, ce n'est pas un résultat géométrique et cryptonalytique pour avoir une croissance différente, mais ce qui est intéressant est que nous avons un framework unifié pour les multiples propres et nous pouvons les prouver de la même manière. Ce qui nous permet d'avoir cette généralisation nous permet aussi d'adapter à d'autres cifers de SPN pour donner deux exemples. Le premier est de la midrige. La midrige est très similaire à l'instructeur de l'AES. La chose intéressante pour moi est que la colonne mixte, qui est définie par cette matrice, a un n° 4. Donc, ce n'est pas maximal, car le n° 5 est maximal. Le n° 5 est maximal. Thanks to the work of Leandert, Scan and Vimmer, we had algorithms that can prove that the longest subspace trails we can get for midrige are of the same format for the AES. So we take columns and we can define diagonals and mixpaces in the same fashion and we have two round subspace trails. The mixpaces for midrige, so for example here you have the midrige and mixpaces 0, have also block diagonal basis with four blocks. So we also have equivalence classes with cardinality multiple of 8. Because there are four blocks. And hence we have the multiple of 8 distinguished on five rounds for midrige even if the branch number is four. We do not claim any important cryptanalytic result again because midrige has got 16 of five rounds. So there are 20 rounds. So five rounds is not a lot compared to the total number of rounds. But it's still interesting to illustrate that the branch number doesn't need to be maximal to have these kind of distinguishes. The other example is Klein. It's got a slightly different states. But the components are nearly the same. Substitution layer, permutation and a mixed columns. So again, the algorithms from Leander, Toscana and Wimmer allowed to find the longest subspace trails. So it's very similar to what we had with the AES and midrige. And if I look at the Klein mix space for example the Klein mix space 0 here it's got a block diagonal matrix with two blocks. What's interesting for me here is that changes the modulus of the cardinati of the equivalence classes. It will only be two here. So we have a multiple of two distinguisher for five rounds for Klein. So again, when compared to the total number of rounds of Klein or the interest is not purely cryptanalytic but it's still interesting to see that we can have other than multiple of eight properties but we can also have multiple of two multiple of four and so on. And all of this thanks to this adapted lemma we managed to get with block diagonal basis. So as a conclusion our generalized proof framework with the algorithms of Leander, Toscana and Wimmer can find mixture differential properties distinguishes and multiple of properties in kind of a systematic way for any SPN. I'm not saying that this will cover a large number of rounds but it can be done in a systematic way. As for the improvements of these techniques I think they are highly limited by the length of the subspace trails we can get. But basically the longest subspace trail we can have if the final space of the subspace trails can have a block diagonal basis we can build such a distinguisher but again the length of such subspace trails is too limited to give big improvements of these techniques. Well thanks for listening and if you have any questions I'll be happy to answer them. Do we have questions? Thank you. I think you basically answered my question with your last point but just to be sure. So now that you have tested this kind of distinguisher and a few different kind of structure what is the best and the worst you could do to resist those distinguishers? So for instance if you have a full state matrix multiplication does it really destroy everything very quickly or can you still When you say full state I understand over F2. Still on the size of the cells but a dense matrix. Yes, but a dense matrix for instance. Well I don't think that's going to change if I understood correctly. Well you see for example that for the for the AS we have this where having a dense matrix we maybe change the we would have maybe different values for M0 then for others but it won't change maybe don't change the block diagonal basis fact. I'm not sure I understood correctly your question. If I wanted to break this kind of thing for example for Krypton which has a linear layer which is only F2 linear this wouldn't work because the fact that this is F2 to the 8 linear or rounds in the subspecies and to have those block diagonals matrix. Ok, thanks. All for questions? So if you know let's thank the speaker again and all the speakers of this session.