BEGIN:VCALENDAR VERSION:2.0 PRODID:-//Laboratoire de Mathématiques de Versailles - ECPv6.15.20//NONSGML v1.0//EN CALSCALE:GREGORIAN METHOD:PUBLISH X-WR-CALNAME:Laboratoire de Mathématiques de Versailles X-ORIGINAL-URL:https://lmv.math.cnrs.fr X-WR-CALDESC:Évènements pour Laboratoire de Mathématiques de Versailles REFRESH-INTERVAL;VALUE=DURATION:PT1H X-Robots-Tag:noindex X-PUBLISHED-TTL:PT1H BEGIN:VTIMEZONE TZID:Europe/Paris BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20190331T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20191027T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20200329T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20201025T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20210328T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20211031T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20220327T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20221030T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20230326T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20231029T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20240331T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20241027T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20250330T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20251026T010000 END:STANDARD BEGIN:DAYLIGHT TZOFFSETFROM:+0100 TZOFFSETTO:+0200 TZNAME:CEST DTSTART:20260329T010000 END:DAYLIGHT BEGIN:STANDARD TZOFFSETFROM:+0200 TZOFFSETTO:+0100 TZNAME:CET DTSTART:20261025T010000 END:STANDARD END:VTIMEZONE BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250314T110000 DTEND;TZID=Europe/Paris:20250314T120000 DTSTAMP:20260412T125213 CREATED:20250224T100043Z LAST-MODIFIED:20250314T122745Z UID:13782-1741950000-1741953600@lmv.math.cnrs.fr SUMMARY:CRYPTO: Rocco Mora - The Regular Multivariate Quadratic Problem DESCRIPTION:In this talk\, we introduce a new NP-complete variant of the multivariate quadratic problem. The computational challenge involves finding a solution to an algebraic system that meets the « regular » constraint\, meaning that each block of the solution vector contains only one nonzero entry. Following this\, we adapt and compare various techniques of cryptanalysis to study the asymptotic complexity of the average instance. URL:https://lmv.math.cnrs.fr/evenenement/crypto-rocco-mora-tba/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250311T110000 DTEND;TZID=Europe/Paris:20250311T120000 DTSTAMP:20260412T125213 CREATED:20250127T215121Z LAST-MODIFIED:20250314T122801Z UID:13621-1741690800-1741694400@lmv.math.cnrs.fr SUMMARY:CRYPTO : Christophe Levrat - A new algorithm solving the matrix code equivalence problem DESCRIPTION:The matrix code equivalence problem consists\, given two k-dimensional vector spaces C\,D of m x n matrices over a finite field\, in finding invertible matrices P and Q such that D=PCQ. Recent signature schemes such as MEDS and ALTEQ relate their security to the hardness of this problem. Naranayan et al. recently published an algorithm solving this problem in the case k = n =m in O(q^{k/2}) operations. In this talk\, we present a different algorithm which solves the general matrix equivalence problem. Our approach consists in reducing the problem to the matrix code conjugacy problem\, i.e. the case P=Q. For the latter problem\, a natural invariant based on the hull of the code can be used. Next\, the equivalence of codes can be deduced using a usual list collision argument. For k=m=n\, our algorithm achieves a similar complexity to the aforementioned reference. However\, it extends to a much broader range of parameters. This is joint work with Alain Couvreur. URL:https://lmv.math.cnrs.fr/evenenement/tba-christophe-levrat/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250310T110000 DTEND;TZID=Europe/Paris:20250310T120000 DTSTAMP:20260412T125213 CREATED:20250224T101845Z LAST-MODIFIED:20250314T122653Z UID:13785-1741604400-1741608000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Ky Nuguyen - Multi-Client Functional Encryption with Public Inputs and Strong Security DESCRIPTION:Recent years have witnessed a significant development for functional encryption (FE) in the multi-user setting\, particularly with multi-client functional encryption (MCFE). The challenge becomes more important when combined with access control\, such as attribute-based encryption (ABE)\, which was actually not covered syntactically by the public-key FE nor semantically by the secret-key MCFE frameworks. On the other hand\, as for complex primitives\, many works have studied the admissibility of adversaries to ensure that the security model encompasses all real threats of attacks.\n\n  1. At a conceptual level\, by adding a public input to FE/MCFE\, we cover many previous primitives\, notably attribute-based function classes. Furthermore\, with the strongest admissibility for inner-product functionality\, our framework is quite versatile\, as it encrypts multiple sub-vectors\, allows repetitions and corruptions\, and eventually also encompasses public-key FE and classical ABE\, bridging the private setting of MCFE with the public setting of FE and ABE.\n\n  2. Finally\, we propose an MCFE with public inputs with the class of functions that combines inner-products (on private inputs) and attribute-based access-control (on public inputs) for LSSS policies. We achieve the first AB-MCFE for inner products with strong admissibility (from Nguyen et al.\, ACNS’23) and with adaptive security.\nIn the end\, our concrete MCFE leads to MIFE for inner products\, public-key single-input inner-product FE with LSSS key-policy\, and KP-ABE for LSSS\, with adaptive security. Previous AB-MCFE constructions are either restricted in terms of weaker admissibility (Nguyen et al.\, ASIACRYPT’22) or considers a slightly larger functionality of attribute-weighted sum but with only selective security (Agrawal et al.\, CRYPTO’23).\n\nThis is a joint work with Duong Hieu Phan (Télécom Paris) and David Pointcheval (ENS-PSL\, Cosmian)\, available at https://eprint.iacr.org/2024/740 URL:https://lmv.math.cnrs.fr/evenenement/crypto-ky-nuguyen-multi-client-functional-encryption-with-public-inputs-and-strong-security/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250305T110000 DTEND;TZID=Europe/Paris:20250305T120000 DTSTAMP:20260412T125213 CREATED:20250227T105220Z LAST-MODIFIED:20250307T094122Z UID:13794-1741172400-1741176000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Sofia Zebboudj : Authentification Quantique DESCRIPTION:Bien que certains cryptosystèmes classiques soient considérés comme sûrs avec la technologie actuelle\, les avancées en informatique quantique pourraient bientôt remettre en cause la robustesse de certains mécanismes cryptographiques. À titre d’exemple\, les algorithmes quantiques de factorisation des nombres premiers et de résolution des problèmes de logarithme discret fragilisent les bases sur lesquelles reposent la plupart des cryptosystèmes classiques. La cryptographie quantique offre une alternative prometteuse en exploitant certains principes de la mécanique quantique (principes d’incertitude de Heisenberg et de non-clonage) pour garantir la sécurité des communications. \nCette présentation se focalise plus particulièrement sur l’authentification quantique. Un nouveau protocole de génération de codes d’authentification de message (MAC) combinant traitements quantiques et classiques y sera présenté. Cette solution représente une avancée vers des protocoles d’authentification résistants aux menaces quantiques et classiques et ouvre la voie à des applications sécurisées et plus réalisables pour les réseaux de communication de demain. URL:https://lmv.math.cnrs.fr/evenenement/crypto-sofia-zebboudj-authentification-quantique/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250304T110000 DTEND;TZID=Europe/Paris:20250304T120000 DTSTAMP:20260412T125213 CREATED:20250127T215014Z LAST-MODIFIED:20250307T094139Z UID:13619-1741086000-1741089600@lmv.math.cnrs.fr SUMMARY:CRYPTO : Kévin Carrier - Combinatorial Attacks on Code-based and Lattice-based Cryptosystems DESCRIPTION:The decoding problem is fundamental in post-quantum cryptography. It can be broadly described as essentially solving a linear system with a non-linear constraint on the solution. Phrased this way\, the problem applies to both code-based and lattice-based cryptography. For example\, the linear system may be defined over FF_q\, with the non-linear constraint being a condition on the Hamming weight of the solution (McEliece\, BIKE\, HQC\, Wave\, SDitH…) or even a condition on the subfield in which the solution resides (CROSS). The system may also be defined over FF_q^m\, with the non-linear constraint being a condition on the rank of the vector space spanned by the solution vectors (Mirath\, Ryde). In lattice-based cryptography\, the system is generally defined over ZZ_q\, with the non-linear constraint being a condition on the Euclidean length of the solution (Kyber\, Falcon\, Dilithium\, Hawk…). The list above is far from exhaustive and can extend to other areas such as Fully Homomorphic Encryption (FHE) or the blind code recognition problem (reverse of telecomunication). \nFor a long time in cryptography\, codes and lattices evolved in parallel without much interaction. A unified approach allows for a better understanding of new cryptosystems and their fundamental limits. Whether designing or attacking\, it is interesting for each field to draw inspiration from the other. \nCombinatorial techniques for solving the decoding problem (in both codes and lattices) can be classified into two categories: primal attacks and dual attacks. Primal attacks aim to recover a set of information about the solution\, essentially a compressed description of the solution. Exhaustive search can then be accelerated using techniques like the Birthday Paradox (collision search). More recently\, techniques based on nearest-neighbor searches have emerged and significantly sped up primal attacks. The nearest-neighbor problem involves finding close pairs in a list. The notion of closeness can be extended to adapt to the non-linear constraint of the original decoding problem. However\, this requires adapting known techniques to these different variants of the nearest-neighbor problem. \nIt turns out that primal decoding techniques are often more effective when there are few equations in the system relative to the number of unknowns. Therefore\, when the number of equations is close to the number of unknowns\, is it possible to reduce the problem to another decoding problem where the number of equations is smaller? One approach to this is to dualize the decoding problem: instead of searching for a solution in a specific subspace\, could we reduce the problem to finding a solution in the orthogonal/dual subspace? Some recent attacks\, known as dual attacks\, offer an initial attempt at such a reduction. However\, dual attacks are a topic of controversy. In particular\, the recent dual attack by Matzov\, which claims to significantly lower the security level of Kyber\, a lattice-based cryptosystem currently being standardized by NIST\, has not been widely accepted. The analysis behind this attack relies on a set of assumptions that\, in certain scenarios\, have been shown to contradict established theorems or well-tested heuristics. Nonetheless\, we present new techniques for analyzing dual attacks. Specifically\, we avoid the same independence assumption made in Matzov’s work\, allowing us to reassess the complexity of dual attacks on Kyber and demonstrate that its security levels fall below the NIST requirements. URL:https://lmv.math.cnrs.fr/evenenement/tba-kevin-carrier/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250221T110000 DTEND;TZID=Europe/Paris:20250221T120000 DTSTAMP:20260412T125213 CREATED:20250127T214856Z LAST-MODIFIED:20250221T125150Z UID:13617-1740135600-1740139200@lmv.math.cnrs.fr SUMMARY:CRYPTO - Jules Baudrin - L'auto-équivalence linéaire\, un point de vue unifié sur les familles connues de fonctions APN DESCRIPTION:Les fonctions APN (Almost Perfect Nonlinear) sont les fonctions qui offrent une résistance optimale à la cryptanalyse différentielle. Étudiées depuis plus de 30 ans\, elles posent encore un grand nombre de problèmes ouverts. Le plus important est sans aucun doute le « grand problème APN » : existe-t-il une bijection APN de GF(2^n) dans lui-même quand n est pair et strictement supérieur à 6 ?\n\nIl a longtemps été conjecturé que les bijections APN n’existaient pas en dimension n paire\, jusqu’à l’identification par Dillon en 2009 d’une bijection APN de GF(2^6) dans la classe d’équivalence CCZ d’une fonction quadratique. Il s’agit cependant du seul exemple (à équivalence près) connu à ce jour.\nNaturellement\, un grand nombre de travaux a tenté de généraliser la construction de Dillon\, en cherchant de nouvelles fonctions APN en dimension paire puis en parcourant leur classe d’équivalence CCZ. Ces recherches incluent des travaux mathématiques qui définissent des familles de fonctions quadratiques APN par une forme polynomiale instantiable pour presque toutes valeurs de n\, mais aussi des travaux algorithmiques permettant de trouver un grand nombre de fonctions APN quadratiques pour de petites valeurs de n\, typiquement 8 ou 10. Parmi ces derniers\, une idée récente consiste à rechercher des fonctions APN uniquement parmi les fonctions linéairement auto-équivalentes\, i.e. pour lesquelles il existe deux bijections linéaires A\, B telles que B o F o A = F.\n\nDans un récent travail collaboratif avec Anne Canteaut et Léo Perrin\, nous avons montré que\, malgré des techniques très diverses\, l’immense majorité des familles infinies de fonctions APN connues partagent les mêmes propriétés structurelles\, puisqu’elles sont elles aussi\, (à équivalence près)\, linéairement auto-équivalentes. Après des rappels contextuels et une présentation détaillée de la boîte à outils d’analyse de fonctions booléennes\, nous aborderons donc ce point de vue unifié\, ce qu’il dit de notre compréhension actuelle des fonctions APN\, mais aussi les problèmes et perspectives ouverts (ou réouverts) par notre travail. URL:https://lmv.math.cnrs.fr/evenenement/tba-jules-baudrin/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20250204T110000 DTEND;TZID=Europe/Paris:20250204T120000 DTSTAMP:20260412T125213 CREATED:20250127T214628Z LAST-MODIFIED:20250207T111921Z UID:13615-1738666800-1738670400@lmv.math.cnrs.fr SUMMARY:CRYPTO: Antonio Flórez-Gutiérrez - Design and Analysis of ZIP-AES DESCRIPTION:Based on « General Practical Cryptanalysis of the Sum of Round-Reduced Block Ciphers and ZIP-AES »: Antonio Flórez-Gutiérrez\, Lorenzo Grassi\, Gregor Leander\, Ferdinand Sybleyras and Yosuke Todo\, presented at ASIACRYPT 2024.\n\nIn recent years\, there has been an increased interest in the desgin of pseudorandom functions (PRFs)\, as they provide better security than block ciphers when used in some modes of operations. In this talk\, I will present a low-latency PRF called ZIP-AES and its associated ZIP construction. ZIP-AES consists of two branches\, one of which is 5-round AES\, and the other of which is inverse 5-round AES\, which are XORed to obtain the output. The main feature of ZIP-AES is that\, as it uses the AES round function and has a very short critical path\, a great software performance with exceptionally low latency can be achieved due to the existence of AES-specific instructions in most modern microprocessors. Furthermore\, it is designed so that its resistance to many cryptanalysis families can be deduced from existing cryptanalysis of AES. For differential and linear cryptanalysis\, it is possible to prove that any trail of ZIP-AES has an equivalent counterpart for full 10-round AES. For other cryptanalysis families\, we can recycle known attacks on reduced-round AES to quickly assess its resistance\, as is shown with integral cryptanalysis. The construction is also quite resistant to several kinds of key recovery attacks. This intermediate approach between security reduction of modes and dedicated cryptanalysis\, which we call general practical cryptanalysis\, can provide an effective and efficient way of assessing the security of new constructions\, as well as guide the design of cryptanalysis-friendly primitives in the future. URL:https://lmv.math.cnrs.fr/evenenement/crypto-antonio-florez-gutierrez-design-and-analysis-of-zip-aes/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20241212T110000 DTEND;TZID=Europe/Paris:20241212T133000 DTSTAMP:20260412T125213 CREATED:20241129T083118Z LAST-MODIFIED:20241212T144919Z UID:13393-1734001200-1734010200@lmv.math.cnrs.fr SUMMARY:CRYPTO: Michele Orrù (IRIF) - Revisiting keyed-verification credentials DESCRIPTION:Keyed-verification anonymous credentials are widely recognized as some of the most efficient tools for anonymous authentication. \nIn this work\, we revisit two prominent credential systems: the scheme by Chase et al. (CCS 2014)\, commonly referred to as CMZ or PS MAC\, and the scheme by Barki et al. (SAC 2016)\, known as BBDT or BBS MAC. We show how to make CMZ perfectly anonymous and BBS MAC more efficient and compatible with the BBS RFC draft. We provide a comprehensive security analysis for anonymous tokens\, showing strong(er) unforgeability and blindness properties\, which we call extractability and anonymity. These properties allow them to be composed with extensions that users can select freely. We build rate-limiting and pseudonym systems as examples. \nFor keyed-verification anonymous credentials\, designated-verifier proofs suffice since the verifier is known in advance. To enable faster proofs for complex presentations\, we present a compiler that transforms an interactive oracle proof and a designated-verifier polynomial commitment into a designated-verifier non-interactive zero-knowledge proof (NIZK). This allows for building fully-succinct designated-verifier SNARKs without pairings. We explore potential extensions that could benefit from this approach. \nMichele Orrù is a chargé de recherche (Assistant Professor) at the French National Centre for Scientific Research (CNRS). He conducts research in cryptography and security\, with a focus on zero-knowledge proofs\, anonymous credential systems\, and confidential transactions. He is a developer of a popular zk-SNARK library (arkworks) and a co-author of an anonymous whistleblowing platform\, Globaleaks. In the past\, he contributed to Python\, Debian\, and Tor. \nL’ePrint paper https://eprint.iacr.org/2024/1552.pdf URL:https://lmv.math.cnrs.fr/evenenement/crypto-michele-orru-irif-revisiting-keyed-verification-credentials/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20241205T110000 DTEND;TZID=Europe/Paris:20241205T123000 DTSTAMP:20260412T125213 CREATED:20241129T082232Z LAST-MODIFIED:20241205T153846Z UID:13391-1733396400-1733401800@lmv.math.cnrs.fr SUMMARY:CRYPTO: Jacques Patarin - Où en est la cryptographie Multivariable ? DESCRIPTION:La Cryptographie Multivariable est une technique de cryptographie basée sur le problème de résolution de systèmes d’équations polynomiales (en général de degré 2) en plusieurs variables sur un corps fini.\nIl s’agit d’un problème NP complet apparemment très robuste.\nLa cryptographie multivariable est actuellement une des 6 grandes techniques pour faire de la cryptographie à clé publique Post-Quantique (avec les réseaux\, les codes correcteurs\, les isogénies\, le MPC in the head\, et les signatures à base de Hash). \nElle est apparu assez tôt avec l’algorithme C* de Matsumoto et Imai et de très nombreux algorithmes ont été développés depuis.\nCependant la plupart ont été cassés\, en particulier via des techniques de bases de gröbner ou de MinRank. \nNéanmoins l’un des schéma\, UOV (Unbalanced Oil and Vinegar)\, résiste bien\, et 4 variantes de UOV viennent de passer au second tour de la nouvelle compétition Post Quantique du NIST en signature.\nDe plus des idées très récentes permettent à nouveau de rendre un autre algorithme\, HFE (Hidden Field Equation)\, relativement efficace aussi bien en signature qu’en chiffrement. \nParmi les avantages de la cryptographie multivariable : avoir des signatures très courtes\, être en général Post Quantique\, et certains schémas sont vraiment très simples.\nParmi les inconvénients : avoir souvent une clé publique assez grande\, mais ces dernières années plusieurs idées nouvelles ont permis de beaucoup réduire cette taille. URL:https://lmv.math.cnrs.fr/evenenement/crypto-jacques-patarin-ou-en-est-la-cryptographie-multivariable/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20241119T110000 DTEND;TZID=Europe/Paris:20241119T120000 DTSTAMP:20260412T125213 CREATED:20241113T145404Z LAST-MODIFIED:20241122T161004Z UID:13361-1732014000-1732017600@lmv.math.cnrs.fr SUMMARY:CRYPTO: Maya Saab Chartouni (Thales) - Attaques quantiques sur la cryptographie à clé symétrique DESCRIPTION:Les attaques quantiques en cryptographie évoquées sont généralement celles visant des algorithmes à clé publique\, comme le RSA\, Diffie-Hellman et les courbes elliptiques. Dans cette présentation\, nous allons nous concentrer plutôt sur les attaques quantiques visant la cryptographie à clé secrète\, notamment sur l’AES\, Even-Mansour\, et les schémas de Feistel. \nNous allons aborder divers algorithmes quantiques\, notamment ceux de Grover\, Simon\, Zhandry\, ainsi que l’algorithme de Childs et Eisenberg\, qui permettent de réduire la complexité des attaques. Par exemple\, l’algorithme de Grover peut accélérer la recherche de clés en rendant certaines attaques plus efficaces\, bien que cette amélioration soit polynomiale plutôt qu’exponentielle. L’algorithme de Simon\, en revanche\, exploite des propriétés spécifiques à la structure interne des schémas symétriques pour affiner la complexité de l’attaque et obtenir un gain exponentielle dans certain cas. \nAinsi\, dans cette présentation nous allons évaluer l’impact des attaques quantiques sur les schémas symétrique nécessaires dans un avenir où les ordinateurs quantiques deviendront plus puissants. URL:https://lmv.math.cnrs.fr/evenenement/maya-saab-chartouni-thales-attaques-quantiques-sur-la-cryptographie-a-cle-symetrique/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20241105T103000 DTEND;TZID=Europe/Paris:20241105T120000 DTSTAMP:20260412T125213 CREATED:20241022T114704Z LAST-MODIFIED:20241108T090132Z UID:13274-1730802600-1730808000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Chloé Hébant (Cosmian) - Recherche de mots-clés dans des données chiffrées DESCRIPTION:Dans cette présentation\, nous allons aborder les défis liés au chiffrement des grandes bases de données et à la recherche de mots-clés dans des données chiffrées. Les bases de données modernes offrent des performances élevées\, même en cas de forte concurrence\, en garantissant la scalabilité et la fiabilité tout en permettant la recherche par mots clés. Cependant\, ces performances sont possibles parce que les serveurs ont accès aux données en clair. Lorsque l’on chiffre les documents avant de les envoyer au serveur\, on résout le problème de confidentialité\, mais on perd la capacité de rechercher des informations.\n\n\nPour pallier ce problème\, des primitives cryptographiques comme les algorithmes de recherche sur données chiffrées (Symmetric Searchable Encryption\, SSE) ont été développées. Ces schémas permettent à un utilisateur de chiffrer des documents tout en créant un index sécurisé\, facilitant ainsi la recherche de mots-clés. Toutefois\, les constructions SSE actuelles se limitent à un seul utilisateur et un seul serveur et ne prennent donc pas en compte les requêtes concurrentes qui pourraient arriver. \nFindex propose une avancée majeure dans ce domaine. Cet article présente la première solution SSE qui définit clairement la correction et garantit la sécurité dans un environnement concurrent. L’article introduit notamment la notion de linéarisation comme critère standard de correction pour les SSE dans des contextes où plusieurs utilisateurs effectuent des requêtes simultanément. De plus\, il met en évidence l’impact de la concurrence sur la sécurité\, en proposant un nouveau modèle de sécurité appelé log-security\, qui protège contre les attaques liées aux logs de persistance\, comblant ainsi une lacune dans les modèles de sécurité basés sur des instantanés (snapshot). \n\n\nArticle : https://eprint.iacr.org/2024/1541\nGithub : https://github.com/Cosmian/findex/tree/eprint URL:https://lmv.math.cnrs.fr/evenenement/recherche-de-mots-cles-dans-des-donnees-chiffrees/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20240118T110000 DTEND;TZID=Europe/Paris:20240118T120000 DTSTAMP:20260412T125213 CREATED:20240125T104210Z LAST-MODIFIED:20240125T104210Z UID:12398-1705575600-1705579200@lmv.math.cnrs.fr SUMMARY:CRYPTO: Sacha Servan-Schreiber (IRIF) : The power of subtractive secret sharing in secure computation DESCRIPTION:Surprisingly\, two-party computation protocols are occasionally more efficient than their three party computation counterparts. This is due to the fact that two-party protocols can use distributed point function (DPF) which are a very efficient building block. In this talk\, we will examine what mathematical tools are used to build efficient DPFs and we will go in details over a specific construction. This will help us understand why multi-party DPFs have been difficult to construct and what assumptions could allow us to circumvent this barrier in the future. URL:https://lmv.math.cnrs.fr/evenenement/crypto-sacha-servan-schreiber-irif-the-power-of-subtractive-secret-sharing-in-secure-computation/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20231214T110000 DTEND;TZID=Europe/Paris:20231214T123000 DTSTAMP:20260412T125213 CREATED:20231116T131142Z LAST-MODIFIED:20231214T124045Z UID:12273-1702551600-1702557000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Nicolas Bon (CryptoExperts) : Evaluation homomorphe de fonctions booléennes DESCRIPTION:Le chiffrement complètement homomorphe (ou FHE for Fully Homomorphic Encryption) est une technique cryptographique qui permet à un serveur d’effectuer des calculs sur des données chiffrées sans apprendre aucune information sur celles-ci. Après une présentation générale de la technologie et de l’état de l’art\, nous présenterons plus en détail TFHE\, l’un des chiffrements les plus performants actuellement. Nous introduirons ensuite une nouvelle méthode permettant d’évaluer des fonctions booléennes de manière plus efficace  avec TFHE et illustrerons les avantages de notre technique sur des cas concrets d’évaluations homomorphes de primitives cryptographiques. URL:https://lmv.math.cnrs.fr/evenenement/crypto-nicolas-bon-cryptoexperts-evaluation-homomorphe-de-fonctions-booleennes/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20231123T110000 DTEND;TZID=Europe/Paris:20231123T120000 DTSTAMP:20260412T125213 CREATED:20231101T122601Z LAST-MODIFIED:20231125T101735Z UID:12240-1700737200-1700740800@lmv.math.cnrs.fr SUMMARY:CRYPTO : Jules Baudrin (Inria) : La cryptanalyse commutative\, une classe (pas trop) générale d'attaques DESCRIPTION:La cryptanalyse par diagramme commutatif\, unifie sous un même cadre la plupart des méthodes « classiques » d’analyse de chiffrements symétriques. Néanmoins depuis 20 ans\, cette généralisation n’a\, à notre connaissance\, jamais été utilisée\, ni pour bâtir des arguments de sécurité\, ni pour découvrir de nouveaux types d’attaques.\nDans cet exposé\, nous introduisons et développons un cas moins général\, la cryptanalyse commutative. Son principe : étant donnée une primitive E\, trouver un couple de bijections affines (A\,B) vérifiant l’égalité EoA = BoE avec grande probabilité. Ce cadre est à la fois suffisamment général pour englober certaines attaques déjà connues (notamment différentielles\, qui correspondent au cas A = Id + a\, B = Id + b)\, tout en permettant d’en découvrir de nouvelles\, de nature jusqu’alors inconnue.\nNous illustrerons les méthodes développées en étudiant notamment une version modifiée du chiffrement Midori. Pour celle-ci\, nous présenterons un tel couple (A\, B) qui\, lorsque la clé est faible\, vérifie l’égalité avec probabilité 1 et distingue la primitive d’une permutation aléatoire avec un seul couple clair-chiffré. Enfin\, la relation entre ce distingueur et son interprétation différentielle sera aussi discutée: lorsque la clé est faible\, il existe des différentielles dont la très haute probabilité est indépendante du nombre de tours. URL:https://lmv.math.cnrs.fr/evenenement/crypto-jules-baudrin-inria-la-cryptanalyse-commutative-une-classe-pas-trop-generale-dattaques/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20231109T110000 DTEND;TZID=Europe/Paris:20231109T120000 DTSTAMP:20260412T125213 CREATED:20231031T054720Z LAST-MODIFIED:20231110T095823Z UID:12238-1699527600-1699531200@lmv.math.cnrs.fr SUMMARY:CRYPTO: Balthazar Bauer (LMV) : Monnaies numériques transférables\, et modèle du groupe algébrique. DESCRIPTION:Dans cette présentation\, on s’intéressera au monnaies numériques\ntransférable et on regardera en particulier pourquoi définir la\nconfidentialité des transactions n’est pas chose triviale.\nPuis dans un second temps\, et après avoir posé un paradigme important de\nla sécurité prouvée\, on étudiera de nombreuses hypothèses cryptographiques\nasymétriques dans le modèle du groupe algébrique dans lequel on choisit\nvolontairement de considérer des adversaires aux capacités de calcul\nrestreintes. URL:https://lmv.math.cnrs.fr/evenenement/crypto-balthazar-bauer-lmv-monnaies-numeriques-transferables-et-modele-du-groupe-algebrique/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20230223T112000 DTEND;TZID=Europe/Paris:20230223T122000 DTSTAMP:20260412T125213 CREATED:20230112T075914Z LAST-MODIFIED:20230224T084328Z UID:11470-1677151200-1677154800@lmv.math.cnrs.fr SUMMARY:CRYPTO : Alain Couvreur (Inria Saclay) : On a recent attack on SIKE DESCRIPTION:In this talk\, after recalling some general results on elliptic curves and isogenies\, I will present\, the various key exchange techniques based on isogenies between\, namely Couveignes-Rostovtsev-Stolbunov\, SIKE and CSIDH.\nThen\, I give a description of the main ideas that led Decru and Castryck to a devastating attack on SIKE. This talk is *not* the presentation of personal results. URL:https://lmv.math.cnrs.fr/evenenement/crypto-alain-couvreur-inria-saclay-on-a-recent-attack-on-sike/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20221201T110000 DTEND;TZID=Europe/Paris:20221201T120000 DTSTAMP:20260412T125213 CREATED:20221128T092841Z LAST-MODIFIED:20221128T092841Z UID:11079-1669892400-1669896000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Kévin Carrier (CY Cergy-Paris Université) : Faster Dual Lattice Attacks by Using Coding Theory DESCRIPTION:We present a faster dual lattice attack on the Learning with\nErrors (LWE) problem\, based on ideas from coding theory. Basically\, it\nconsists in revisiting the most classical dual attack by replacing\nmodulus switching by a decoding algorithm. This replacement achieves a\nreduction from small LWE to plain LWE with a very significant reduction\nof the secret dimension. We also replace the enumeration part of this\nattack by betting that the secret is zero on the part where we want to\nenumerate it and iterate this bet over other choices of the enumeration\npart.We estimate the complexity of this attack by making the optimistic\,\nbut realistic guess that we can use polar codes for this decoding task. We\nshow that under this assumption the best attacks on Kyber and Saber\ncan be improved by 1 and 6 bits. URL:https://lmv.math.cnrs.fr/evenenement/crypto-kevin-carrier-cy-cergy-paris-universite-faster-dual-lattice-attacks-by-using-coding-theory/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20221124T110000 DTEND;TZID=Europe/Paris:20221124T120000 DTSTAMP:20260412T125213 CREATED:20221116T081232Z LAST-MODIFIED:20230509T133324Z UID:11066-1669287600-1669291200@lmv.math.cnrs.fr SUMMARY:CRYPTO : Augustin Bariant (INRIA) : Algebraic Attacks against Some Arithmetization-Oriented Symmetric Cryptographic Algorithms DESCRIPTION:In some recent advanced protocols\, like Zero-Knowledge Proofs (allowing a prover to convince a verifier that he knows a secret without revealing it)\, or Multi Party Computation\, algorithms do not process bit-oriented information\, but rather elements of big finite fields Z/qZ. In that regard\, the only operations allowed in such algorithms are additions and multiplications in the field. These protocols therefore require cryptographic algorithms that are not optimized for usual bit-oriented platforms (desktop computers\, servers\, microcontrollers\, RFID tags…)\, but rather for their short implementation in Z/qZ. These are called arithmetization-oriented cryptographic algorithms. \nSince 2016\, several arithmetization-oriented algorithms have been presented. Their security highly depends on the complexity of polynomial root-finding and Groebner basis algorithms\, which define a special class of attacks: algebraic attacks. In 2021\, the Ethereum Foundation launched a series of challenges on this new class of ciphers\, aiming at better understanding the threat of algebraic attacks. We took that opportunity to perform a thorough study of univariate and multivariate polynomial solving algorithms in big fields. \nIn this talk\, we present an overview of existing algebraic attacks and analysis\, along with new theoretical and experimental results on several ciphers. URL:https://lmv.math.cnrs.fr/evenenement/crypto-augustin-bariant-inria-algebraic-attacks-against-some-arithmetization-oriented-symmetric-cryptographic-algorithms/ LOCATION:Bâtiment Fermat\, salle 4205 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20221020T110000 DTEND;TZID=Europe/Paris:20221020T120000 DTSTAMP:20260412T125213 CREATED:20221011T190230Z LAST-MODIFIED:20221021T135943Z UID:10937-1666263600-1666267200@lmv.math.cnrs.fr SUMMARY:CRYPTO : Léo Perrin (Inria) : La cryptographie orientée arithmétisation : pourquoi et comment ? DESCRIPTION:La cryptographie symétrique traite de fonctions ordinairement définies sur des (chaînes de) bits en utilisant éventuellement des sous-fonctions définies sur de petits corps finis (comme l’AES et sa boîte-S définie sur GF(256)). Néanmoins\, de nouveaux protocoles sophistiqués\, par exemple de preuve à échange nul de connaissance\, nécessitent désormais des primitives symétriques dites « orientées arithmétisation » qui doivent satisfaire un cahier des charges très différent de celui auquel les cryptographes symétriques sont habitués. En effet\, il devient nécessaire de considérer des fonctions de bas degré définies sur de grands corps premiers\, ce qui est à l’antipode des usages dans ce domaine.\n\nDans cette présentation\, nous étudierons ce que l’orientation arithmétisation implique concrètement\, ce qui imposera un détour par des concepts mathématiques non triviaux issus de la théorie des fonctions Booléennes vectorielles. En particulier\, nous verrons que l’équivalence CCZ s’avère jouer un rôle prépondérant dans ce nouveau contexte. Nous verrons ensuite la famille de permutations appelées « Anemoi » dont la construction est basée sur la-dite équivalence\, de l’idée à la base de sa conception jusqu’aux performance de son implémentation finale. URL:https://lmv.math.cnrs.fr/evenenement/crypto-leo-perrin-inria-la-cryptographie-orientee-arithmetisation-pourquoi-et-comment/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20221013T110000 DTEND;TZID=Europe/Paris:20221013T120000 DTSTAMP:20260412T125213 CREATED:20221009T210632Z LAST-MODIFIED:20221013T105400Z UID:10927-1665658800-1665662400@lmv.math.cnrs.fr SUMMARY:CRYPTO : Patrick Derbez (Université Rennes 1) : MILP appliqué à la cryptographie DESCRIPTION:Rechercher les meilleures attaques et les meilleurs distingueurs contre les primitives cryptographiques a toujours été une tâche difficile. Depuis une dizaine d’années\, l’utilisation de solveurs MILP pour résoudre ce type de problèmes s’est largement démocratisée. Dans cette présentation nous discuterons de différentes techniques de cryptanalyse et des modélisations MILP associées. Nous aborderons les limites de ces modèles et certaines des solutions proposées pour les contourner. URL:https://lmv.math.cnrs.fr/evenenement/crypto-patrick-derbez-universite-rennes-1-milp-applique-a-la-cryptographie/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20220224T111000 DTEND;TZID=Europe/Paris:20220224T123000 DTSTAMP:20260412T125213 CREATED:20220216T150035Z LAST-MODIFIED:20220303T094358Z UID:9994-1645701000-1645705800@lmv.math.cnrs.fr SUMMARY:CRYPTO : Pierre Galissant (UVSQ) : Resisting Key-Extraction and Code-Compression: a Secure Implementation of the HFE Signature Scheme in the White-Box Model DESCRIPTION:Cryptography is increasingly deployed in applications running on open devices in which the software is extremely vulnerable to attacks\, since the attacker has complete control over the execution platform and the software implementation itself. This creates a challenge for cryptography: design implementations of cryptographic algorithms that are secure\, not only in the black-box model\, but also in this attack context that is referred to as the white-box adversary model. Moreover\, emerging applications such as mobile payment\, mobile contract signing or blockchain-based technologies have created a need for white-box implementations of public-key cryptography\, and especially of signature algorithms. \nHowever\, while many attempts were made to construct white-box implementations of block-ciphers\, almost no white-box implementations have been published for what concerns asymmetric schemes. We present here a concrete white-box implementation of the well-known HFE signature algorithm for a specific set of internal polynomials. For a security level $2^{80}$\, the public key size is approximately 62.5 MB and the white-box implementation of the signature algorithm has a size approximately 256 GB. \nThe talk will be based on joint work with Louis Goubin. A preprint is available here :  https://eprint.iacr.org/2022/138 URL:https://lmv.math.cnrs.fr/evenenement/crypto-pierre-galissant-uvsq-resisting-key-extraction-and-code-compression-a-secure-implementation-of-the-hfe-signature-scheme-in-the-white-box-model/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20220210T110000 DTEND;TZID=Europe/Paris:20220210T120000 DTSTAMP:20260412T125213 CREATED:20220131T121449Z LAST-MODIFIED:20220211T133509Z UID:9921-1644490800-1644494400@lmv.math.cnrs.fr SUMMARY:CRYPTO : Yann Rotella (UVSQ) : Cryptanalyse des algorithmes GEA-1 et GEA-2 pour la communication GPRS DESCRIPTION:Dans cette présentation\, nous présenterons l’article publié à Eurocrypt 2021 [BDLLRRRS21]. Nous montrerons comment retrouver l’état interne dans ces deux chiffrements\, encore utilisés dans la communication 2G. Notre attaque nécessite 44 GB de mémoire et peut se faire avec un nombre réduit de couples clairs / chiffrés\, en utilisant principalement l’interaction entre deux registres de l’état interne. De plus\, nous montrerons que cette interaction est peu probable et que cela indique que la faiblesse aurait pu être introduite intentionnellement. \nNous montrerons aussi comment attaquer GEA-2\, en combinant plusieurs techniques de cryptanalyse. \nhttps://link.springer.com/chapter/10.1007/978-3-030-77886-6_6 \nhttps://eprint.iacr.org/2021/819.pdf \n  \nLe séminaire aura lieu en hybride (via Zoom).  URL:https://lmv.math.cnrs.fr/evenenement/crypto-yann-rotella-uvsq-cryptanalysis-of-the-gprs-encryption-algorithms-gea-1-and-gea-2/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210708T110000 DTEND;TZID=Europe/Paris:20210708T120000 DTSTAMP:20260412T125213 CREATED:20210705T064537Z LAST-MODIFIED:20210709T090047Z UID:9401-1625742000-1625745600@lmv.math.cnrs.fr SUMMARY:CRYPTO: Luca De Feo (IBM): On the (in)security of ElGamal in OpenPGP DESCRIPTION:Do you think you know ElGamal encryption? Think twice. \nWe uncover vulnerabilities in the OpenPGP ecosystem stemming from confusion about the definition of ElGamal encryption (and the lack of an unequivocable standard). The first vulnerability leads to practical plaintext recovery in a limited number of cases. The second one\, combined with side-channel leakage we found in some popular OpenPGP libraries\, leads to feasible key recovery\, in relatively rare cases. \nJoint work with B. Poettering and A. Sorniotti URL:https://lmv.math.cnrs.fr/evenenement/crypto-luca-de-feo-ibm-on-the-insecurity-of-elgamal-in-openpgp/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210624T110000 DTEND;TZID=Europe/Paris:20210624T120000 DTSTAMP:20260412T125213 CREATED:20210603T115047Z LAST-MODIFIED:20210625T081003Z UID:9336-1624532400-1624536000@lmv.math.cnrs.fr SUMMARY:CRYPTO : Kevin Deforth and Mariya Georgieva (Inpher) : Manticore: Efficient Framework for Scalable Secure Multiparty Computation Protocols DESCRIPTION:In this talk we will present a novel MPC framework\, Manticore\, with full threshold and semi-honest security model\, supporting a combination of real number arithmetic (arithmetic shares)\, Boolean arithmetic (Boolean shares) and garbled circuits (Yao shares). We establish a parallel between the plaintext encodings used to represent boolean\, integer and fixed-point numbers between Chimera-FHE and Manticore-MPC\, and show that many notions like level\, depth\, lift/bootstrapping are in common between these two privacy preserving techniques. \nWe explain how to achieve the base arithmetic on bits and numbers in MPC. \n\nThe talk is based on: https://eprint.iacr.org/2021/200.pdf URL:https://lmv.math.cnrs.fr/evenenement/crypto-kevin-deforth-and-mariya-georgieva-inpher-manticore-efficient-framework-for-scalable-secure-multiparty-computation-protocols/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210617T110000 DTEND;TZID=Europe/Paris:20210617T120000 DTSTAMP:20260412T125213 CREATED:20210517T143153Z LAST-MODIFIED:20210618T070722Z UID:9289-1623927600-1623931200@lmv.math.cnrs.fr SUMMARY:CRYPTO : Léo Perrin (Inria) : Testing the equivalence of quadratic vectorial Boolean functions DESCRIPTION:Vectorial Boolean functions map n bits to m. These functions and their properties are of particular interest to cryptographers since they correspond to the S-boxes used in block ciphers\, to the filter functions of stream ciphers\, etc. \nQuadratic functions are especially interesting for two reasons. From the implementation perspective\, they ease the use of some counter-measures against side-channel attacks. From a theoretical stand-point\, they play a big role in the ongoing investigation of the big APN problem (an APN function is one with optimal differential properties). In this talk\, I will present some tools that allow an efficient investigation of the equivalence class in which a given function lives. The focus will be on CCZ-equivalence\, including the particular case of extended-affine equivalence. \nTwo approaches will be presented.\n1. The one relies on the Jacobian matrix of the function\, and allows recovering the specifics of the extended-affine relation between two functions (if it exists). It is a joint work with Anne Canteaut and Alain Couvreur.\n2. The other can very efficiently « label » the extended-affine equivalence class of a quadratic APN function\, and thus its CCZ-class. As an illustration of the latter\, I will present a significantly large number of new quadratic APN functions found by a team from Bochum\, and then quickly mention some fun functions in this set that I investigated with them. URL:https://lmv.math.cnrs.fr/evenenement/crypto-leo-perrin-inria-testing-the-equivalence-of-quadratic-vectorial-boolean-functions/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210610T110000 DTEND;TZID=Europe/Paris:20210610T123000 DTSTAMP:20260412T125213 CREATED:20210603T085623Z LAST-MODIFIED:20210611T064752Z UID:9334-1623322800-1623328200@lmv.math.cnrs.fr SUMMARY:CRYPTO : Ilaria Chillotti (Zama) : Improved Programmable Bootstrapping with Larger Precision and Efficient Arithmetic Circuits for TFHE DESCRIPTION:Fully Homomorphic Encryption (FHE) schemes enable to compute over encrypted data. Among them\, TFHE has the great advantage of offering an efficient method for bootstrapping noisy ciphertexts\, i.e.\, reduce the noise. Indeed\, homomorphic computation increases the noise in ciphertexts and might compromise the encrypted message. TFHE bootstrapping\, in addition to reducing the noise\, also evaluates (for free) univariate functions expressed as look-up tables. It however requires to have the most significant bit of the plaintext to be known a priori\, resulting in the loss of one bit of space to store messages. Furthermore it represents a non negligible overhead in terms of computation in many use cases.\nIn this presentation\, we show a solution to overcome this limitation\, that we call Programmable Bootstrapping Without Padding (WoP-PBS). This approach relies on two building blocks. The first one is the multiplication à la BFV that we incorporate into TFHE. This is possible thanks to a thorough noise analysis showing that correct multiplications can be computed using practical TFHE parameters. The second building block is the generalization of TFHE bootstrapping introduced in this paper. It offers the flexibility to select any chunk of bits in an encrypted plaintext during a bootstrap. It also enables to evaluate many LUTs at the same time when working with small enough precision.\n\nThis is a joint work with Damien Ligier\, Jean-Baptiste Orfila and Samuel Tap. URL:https://lmv.math.cnrs.fr/evenenement/crypto-ilaria-chillotti-zama-improved-programmable-bootstrapping-with-larger-precision-and-efficient-arithmetic-circuits-for-tfhe/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210408T110000 DTEND;TZID=Europe/Paris:20210408T120000 DTSTAMP:20260412T125213 CREATED:20210402T123218Z LAST-MODIFIED:20210409T102552Z UID:9130-1617879600-1617883200@lmv.math.cnrs.fr SUMMARY:CRYPTO : Geoffroy Couteau (IRIF) : LPN a densité variable\, et fonctions faiblement pseudoaléatoires dans des classes de complexité basses DESCRIPTION:Les fonctions faiblement pseudoaléatoires (WPRFs) sont des\nfonctions F_K indistinguables d’une fonction totalement aléatoire à\npartir de paires (x\, F_K(x)) pour des x aléatoires. Ces fonctions ont\ndiverses applications en cryptographie symétrique – elles permettent par\nexemple de construire des MACs\, ou des systèmes de chiffrement à flot –\net l’existence de telles fonctions dans des classes de complexité basses\nest une question fondamentale en théorie de l’apprentissage. Dans ce\npapier\, nous étudions l’existence de WPRFs dans une classe de complexité\nparticulièrement faible : les circuits booléens de taille polynomiale et\nde profondeur 2\, avec une rangée de portes ET (de degré entrant\narbitraire)\, et une unique porte XOR avant la sortie. Le choix de cette\nclasse particulière est aussi motivé par une application surprenante au\ndomaine du calcul sécurisé : nous démontrons que l’existence d’une WPRF\ndans cette classe permet d’améliorer radicalement l’efficacité de la\nphase de précalcul d’essentiellement tous les protocoles de calcul\nsécurisé modernes. \nNous introduisons une nouvelle variante de l’hypothèse LPN (qui\nconjecture la difficulté de décoder des mots de codes bruités dans un\ncode linéaire aléatoire)\, où la matrice génératrice du code et le\nvecteur de bruit ont tous deux une densité variable. Nous montrons que\nsous cette nouvelle hypothèse\, il est possible de construire une WPRF\ncalculable avec une rangée de ET\, et un unique XOR. Nous étudions\nensuite la sécurité de cette nouvelle construction\, sous l’angle d’une\nvariante de LPN\, et sous l’angle des fonctions booléennes. Nous\ndémontrons que de nombreuses classes d’attaques (attaques linéaires\,\nattaques algébriques\, attaques par requêtes statistiques\, cryptanalyse\nlinéaire\, et attaques AC0) ne peuvent pas asymptotiquement invalider\ncette hypothèse. \nBasé sur des travaux joints avec Elette Boyle\, Niv Gilboa\, Yuval Ishai\,\nLisa Kohl\, et Peter Scholl\, présentés à FOCS 2021. \nL’événement aura lieu en ligne via Zoom. \nhttps://uvsq-fr.zoom.us/j/91963933158?pwd=MnlRVHRGTTQwOEdVUEdJMFZoa1pRQT09 URL:https://lmv.math.cnrs.fr/evenenement/crypto-geoffroy-couteau-irif-lpn-a-densite-variable-et-fonctions-faiblement-pseudoaleatoires-dans-des-classes-de-complexite-basses/ CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20210311T110000 DTEND;TZID=Europe/Paris:20210311T123000 DTSTAMP:20260412T125213 CREATED:20210217T142928Z LAST-MODIFIED:20210311T154135Z UID:8978-1615460400-1615465800@lmv.math.cnrs.fr SUMMARY:CRYPTO : Antonin Leroux (Inria Saclay) : SQISign: Compact Post-Quantum Signature from Quaternions and Isogenies DESCRIPTION:We introduce a new signature scheme\, SQISign\, (for Short Quaternion and Isogeny Signature)  from isogeny graphs of supersingular elliptic curves. The signature scheme is derived from a new one-round\, high soundness\, interactive identification protocol. Targeting the post-quantum NIST-1 level of security\, our implementation results in signatures of 204 bytes\, secret keys of 16 bytes and public keys of 64 bytes. In particular\, the signature and public key sizes combined are an order of magnitude smaller than all other post-quantum signature schemes. On a modern workstation\, our implementation in C takes 0.6s for key generation\, 2.5s for signing\, and 50ms for verification.\nWhile the soundness of the identification protocol follows from classical assumptions\, the zero-knowledge property relies on the second main contribution of this paper.\nWe introduce a new algorithm to find an isogeny path connecting two given supersingular elliptic curves of known endomorphism rings.\nA previous algorithm to solve this problem\, due to Kohel\, Lauter\, Petit and Tignol\, systematically reveals paths from the input curves to a `special’ curve. This leakage would break the zero-knowledge property of the protocol. Our algorithm does not directly reveal such a path\, and subject to a new computational assumption\, we prove that the resulting identification protocol is zero-knowledge. URL:https://lmv.math.cnrs.fr/evenenement/crypto-antonin-leroux-inria-saclay-sqisign-compact-post-quantum-signature-from-quaternions-and-isogenies/ LOCATION:Bâtiment Descartes\, salle 301 CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20201217T095000 DTEND;TZID=Europe/Paris:20201217T124500 DTSTAMP:20260412T125213 CREATED:20201210T155312Z LAST-MODIFIED:20201218T083310Z UID:8831-1608198600-1608209100@lmv.math.cnrs.fr SUMMARY:CRYPTO : Séminaire special dédié au concours du NIST sur la cryptographie légère DESCRIPTION:The last event of the crypto seminar will be dedicated to the ongoing NIST competition on lightweight cryptography. We plan to have different speakers to present both some second round candidates to the competition while also to expose some recent cryptanalysis results on some of the candidate ciphers. \nThe program of the event is as follows: \n\n9h50 – 10h: Opening remarks\, Yann Rotella and Christina Boura (UVSQ)\n10h – 10h15: Introduction to lightweight cryptography\, Léo Perrin (Inria)\n10h15 – 11h25: Presentation of  2-round candidates\n\n10h15 – 10h25: Forkcipher\, Virginie Lallemand (Loria)\n10h25 – 10h35: Saturnin\, André Schrottenloher (Inria)\n10h35 – 10h45: Sparkle\, Léo Perrin (Inria)\n10h45 – 10h55: Spook\, Sébastien Duval (UVSQ)\n10h55 – 11h05: Subterranean\, Yann Rotella (UVSQ)\n\n\n11h05 – 11h25: Questions\, discussions\, break\n11h25 – 12h15: Cryptanalysis\n\n11h25-11h45: MixFeed and the AES key schedule\, Clara Pernot (Inria)\n11H45-12H05: Cryptanalysis of Gimli\, Antonio Florez Gutierrez (Inria)\n12h05-12h15: Cryptanalysis ideas for Xoodyak\, Yann Rotella (UVSQ)\n\n\n12h15 – 12h45: Questions\, discussions\, closing remarks\n\nThe event will take place online on Zoom. The link to connect is: \nhttps://uvsq-fr.zoom.us/j/95522238525?pwd=YWJaUXA0MmF5MEhESkw4SVlPNTlzQT09 URL:https://lmv.math.cnrs.fr/evenenement/crypto-seminaire-special-dedie-au-concours-du-nist-sur-la-cryptographie-legere/ CATEGORIES:Séminaire CRYPTO END:VEVENT BEGIN:VEVENT DTSTART;TZID=Europe/Paris:20201210T110000 DTEND;TZID=Europe/Paris:20201210T123000 DTSTAMP:20260412T125213 CREATED:20201202T165153Z LAST-MODIFIED:20201211T163341Z UID:8784-1607598000-1607603400@lmv.math.cnrs.fr SUMMARY:CRYPTO : Sébastien Duval (UVSQ) : Exploring Crypto-Physical Dark Matter and Learning with Physical Rounding DESCRIPTION:Fresh re-keying is a recent and promising direction to handle side-channel attacks in cryptographic solutions. It is a simple\, plug-in\, efficient function that handles the core of side-channel protection directly on the secret key of cryptographic computations. State-of-the-art re-keying schemes can be viewed as a tradeoff between efficient but heuristic solutions based on binary field multiplications\, that are only secure if implemented with a sufficient amount of noise\, ans formal but more expensive solutions based on weak pseudorandom functions\, that remain secure if the adversary accesses their output in full. Recent results on “crypto dark matter” (TCC 2018) suggest that low-complexity pseudorandom functions can be obtained by mixing linear functions over different small moduli. In this paper\, we conjecture that by mixing some matrix multiplications in a prime field with a physical mapping similar to the leakage functions exploited in side-channel analysis\, we can build efficient re-keying schemes based on “crypto-physical dark matter”\, that remain secure against an adversary who can access noise-free measurements. We propose linear re-keying functions which are both more secure and cheaper than previous solutions\, and are meant to handle the core part of side-channel resistance in cryptographic functions. \nLe séminaire aura lieu en ligne via la plateforme Zoom : \nhttps://uvsq-fr.zoom.us/j/91206750927?pwd=bFR4N0pqaVVqNGZHK1hDWWZpaytjZz09 \nVeuillez contacter les organisateurs pour avoir le code de la réunion. URL:https://lmv.math.cnrs.fr/evenenement/crypto-sebastien-duval-uvsq-exploring-crypto-physical-dark-matter-and-learning-with-physical-rounding/ CATEGORIES:Séminaire CRYPTO END:VEVENT END:VCALENDAR