Download textbook Advances In Cryptology Asiacrypt 2018 24Th International Conference On The Theory And Application Of Cryptology And Information Security Brisbane Qld Australia December 2 6 201 2 ebook all chapter pdf

Advances in Cryptology – ASIACRYPT
2018: 24th International Conference on

the Theory and Application of
Cryptology and Information Security,
Brisbane, QLD, Australia, December
2–6, 2018, Proceedings, Part II Thomas
Peyrin
Visit to download the full and correct content document:
https://textbookfull.com/product/advances-in-cryptology-asiacrypt-2018-24th-internati
onal-conference-on-the-theory-and-application-of-cryptology-and-information-security
-brisbane-qld-australia-december-2-6-201-2/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...
Advances in Cryptology – ASIACRYPT 2018: 24th

International Conference on the Theory and Application
of Cryptology and Information Security, Brisbane, QLD,
Australia, December 2–6, 2018, Proceedings, Part II
Thomas Peyrin
https://textbookfull.com/product/advances-in-cryptology-
asiacrypt-2018-24th-international-conference-on-the-theory-and-
application-of-cryptology-and-information-security-brisbane-qld-
australia-december-2-6-201-2/

Australia, December 2–6, 2018, Proceedings, Part I
Thomas Peyrin
australia-december-2-6-201/

Australia, December 2–6, 2018, Proceedings, Part III
Thomas Peyrin
australia-december-2-6-201-3/
Advances in Cryptology ASIACRYPT 2019 25th

of Cryptology and Information Security Kobe Japan
December 8 12 2019 Proceedings Part II Steven D.
Galbraith
application-of-cryptology-and-information-security-kobe-japan-
of Cryptology and Information Security Daejeon South
Korea December 7 11 2020 Proceedings Part II Shiho
Moriai
application-of-cryptology-and-information-security-daejeon-south-
korea-december-7-11-2020-proceedings-part-ii-shih/

December 8 12 2019 Proceedings Part I Steven D.
Galbraith
december-8-12-2019-proceedings-part-i-steven-d-galb/

December 8 12 2019 Proceedings Part III Steven D.
Galbraith
december-8-12-2019-proceedings-part-iii-steven-d-ga/

Korea December 7 11 2020 Proceedings Part I Shiho
Moriai
korea-december-7-11-2020-proceedings-part-i-shiho/

Korea December 7 11 2020 Proceedings Part III Shiho
Moriai
Thomas Peyrin
Steven Galbraith (Eds.)
LNCS 11273
Advances in Cryptology –
ASIACRYPT 2018
24th International Conference on the Theory
and Application of Cryptology and Information Security
Brisbane, QLD, Australia, December 2–6, 2018, Proceedings, Part II
123
Lecture Notes in Computer Science 11273
Commenced Publication in 1973
Founding and Former Series Editors:
Gerhard Goos, Juris Hartmanis, and Jan van Leeuwen
Editorial Board
David Hutchison
Lancaster University, Lancaster, UK
Takeo Kanade
Carnegie Mellon University, Pittsburgh, PA, USA
Josef Kittler
University of Surrey, Guildford, UK
Jon M. Kleinberg
Cornell University, Ithaca, NY, USA
Friedemann Mattern
ETH Zurich, Zurich, Switzerland
John C. Mitchell
Stanford University, Stanford, CA, USA
Moni Naor
Weizmann Institute of Science, Rehovot, Israel
C. Pandu Rangan
Indian Institute of Technology Madras, Chennai, India
Bernhard Steffen
TU Dortmund University, Dortmund, Germany
Demetri Terzopoulos
University of California, Los Angeles, CA, USA
Doug Tygar
University of California, Berkeley, CA, USA
Gerhard Weikum
Max Planck Institute for Informatics, Saarbrücken, Germany
More information about this series at http://www.springer.com/series/7410
Thomas Peyrin Steven Galbraith (Eds.)
•
Advances in Cryptology –
ASIACRYPT 2018
24th International Conference on the Theory
Brisbane, QLD, Australia, December 2–6, 2018
Proceedings, Part II
123
Editors
Thomas Peyrin Steven Galbraith
Nanyang Technological University University of Auckland
Singapore, Singapore Auckland, New Zealand
ISSN 0302-9743 ISSN 1611-3349 (electronic)

Lecture Notes in Computer Science
ISBN 978-3-030-03328-6 ISBN 978-3-030-03329-3 (eBook)
https://doi.org/10.1007/978-3-030-03329-3
Library of Congress Control Number: 2018959424
LNCS Sublibrary: SL4 – Security and Cryptology
© International Association for Cryptologic Research 2018

This work is subject to copyright. All rights are reserved by the Publisher, whether the whole or part of the
material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation,
broadcasting, reproduction on microfilms or in any other physical way, and transmission or information
storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now
known or hereafter developed.
The use of general descriptive names, registered names, trademarks, service marks, etc. in this publication
does not imply, even in the absence of a specific statement, that such names are exempt from the relevant
protective laws and regulations and therefore free for general use.
The publisher, the authors and the editors are safe to assume that the advice and information in this book are
believed to be true and accurate at the date of publication. Neither the publisher nor the authors or the editors
give a warranty, express or implied, with respect to the material contained herein or for any errors or
omissions that may have been made. The publisher remains neutral with regard to jurisdictional claims in
published maps and institutional affiliations.
This Springer imprint is published by the registered company Springer Nature Switzerland AG
The registered company address is: Gewerbestrasse 11, 6330 Cham, Switzerland
Preface
ASIACRYPT 2018, the 24th Annual International Conference on Theory and Appli-
cation of Cryptology and Information Security, was held in Brisbane, Australia, during
December 2–6, 2018.
The conference focused on all technical aspects of cryptology, and was sponsored
by the International Association for Cryptologic Research (IACR).
Asiacrypt 2018 received a total of 234 submissions from all over the world. The
Program Committee selected 65 papers for publication in the proceedings of this
conference. The review process was made by the usual double-blind peer review by the
Program Committee, which consisted of 47 leading experts of the field. Each sub-
mission was reviewed by at least three reviewers and five reviewers were assigned to
submissions co-authored by Program Committee members. This year, the conference
operated a two-round review system with rebuttal phase. In the first-round review the
Program Committee selected the 145 submissions that were considered of value for
proceeding to the second round. In the second-round phase the Program Committee
further reviewed the submissions by taking into account their rebuttal letter from the
authors. The selection process was assisted by a total of 347 external reviewers. These
three-volume proceedings contain the revised versions of the papers that were selected.
The revised versions were not reviewed again and the authors are responsible for their
contents.
The program of Asiacrypt 2018 featured three excellent invited talks by Mitsuru
Matsui, Melissa Chase, and Vanessa Teague. The conference also featured a traditional
rump session that contained short presentations on the latest research results of the
field. The Program Committee selected the work “Block Cipher Invariants as Eigen-
vectors of Correlation Matrices” by Tim Beyne for the Best Paper Award of Asiacrypt
2018. Two more papers, “Learning Strikes Again: the Case of the DRS Signature
Scheme” by Yang Yu and Léo Ducas, and “Tighter Security Proofs for GPV-IBE in the
Quantum Random Oracle Model” by Shuichi Katsumata, Shota Yamada, and Takashi
Yamakawa, were solicited to submit the full versions to the Journal of Cryptology. The
program chairs selected Chris Brzuska and Bart Mennink for the Best PC Member
Award.
Many people contributed to the success of Asiacrypt 2018. We would like to thank
the authors for submitting their research results to the conference. We are very grateful
to all of the PC members as well as the external reviewers for their fruitful comments
and discussions on their areas of expertise. We are greatly indebted to Josef Pieprzyk,
the general chair, for his efforts and overall organization. We would also like to thank
Waleed Alkalabi, Niluka Arasinghe, Mir Ali Rezazadeh Baee, Lynn Batten, Xavier
Boyen, Ed Dawson, Ernest Foo, Mukhtar Hassan, Udyani Herath, Qingyi Li, Georg
Lippold, Matthew McKague, Basker Palaniswamy, Anisur Rahman, Leonie Simpson,
Shriparen Sriskandarajah, Gabrielle Stephens, and Chathurika Don Wickramage, the
VI Preface
local Organizing Committee for their continuous support. We thank Craig Costello,
Léo Ducas, and Pierre Karpman for expertly organizing and chairing the rump session.
Finally we thank Shai Halevi for letting us use his nice software for the paper
submission and review process. We also thank Alfred Hofmann, Anna Kramer, and
their colleagues for handling the editorial process of the proceedings published in
Springer’s LNCS series.
December 2018 Thomas Peyrin

Steven Galbraith
ASIACRYPT 2018
The 24th Annual International Conference on Theory

Sponsored by the International Association for Cryptologic Research (IACR)
December 2–6, 2018, Brisbane, Australia
General Chair
Josef Pieprzyk CSIRO, Data61, Australia
Program Co-chairs
Thomas Peyrin Nanyang Technological University, Singapore
Steven Galbraith University of Auckland, New Zealand
Program Committee
Martin Albrecht Royal Holloway University of London, UK
Prabhanjan Ananth MIT, USA
Lejla Batina Radboud University, The Netherlands
Sonia Belaïd CryptoExperts, France
Daniel J. Bernstein University of Illinois at Chicago, USA
Chris Brzuska Aalto University, Finland
Bernardo David Tokyo Institute of Technology, Japan
Nico Döttling Friedrich-Alexander University Erlangen-Nürnberg, Germany
Léo Ducas CWI, The Netherlands
Jens Groth University College London, UK
Dawu Gu Shanghai Jiao Tong University, China
Goichiro Hanaoka AIST, Japan
Viet Tung Hoang Florida State University, USA
Takanori Isobe University of Hyogo, Japan
Jérémy Jean ANSSI, France
Stefan Kölbl Technical University of Denmark, Denmark
Ilan Komargodski Cornell Tech, USA
Kaoru Kurosawa Ibaraki University, Japan
Virginie Lallemand Ruhr-Universität Bochum, Germany
Gaëtan Leurent Inria, France
Benoît Libert CNRS and ENS de Lyon, France
Helger Lipmaa University of Tartu, Estonia
VIII ASIACRYPT 2018
Atul Luykx Visa Research, USA

Stefan Mangard TU Graz, Austria
Bart Mennink Radboud University, The Netherlands
Brice Minaud Royal Holloway University of London, UK
Mridul Nandi Indian Statistical Institute, India
Khoa Nguyen Nanyang Technological University, Singapore
Svetla Nikova KU Leuven, Belgium
Elisabeth Oswald University of Bristol, UK
Arpita Patra Indian Institute of Science, India
Giuseppe Persiano Università di Salerno, Italy and Google, USA
Carla Ràfols Universitat Pompeu Fabra, Spain
Amin Sakzad Monash University, Australia
Jae Hong Seo Hanyang University, Korea
Ling Song Institute of Information Engineering, Chinese Academy
of Sciences, China
Nanyang Technological University, Singapore
Douglas Stebila University of Waterloo, Canada
Marc Stevens CWI, The Netherlands
Qiang Tang New Jersey Institute of Technology, USA
Mehdi Tibouchi NTT laboratories, Japan
Yosuke Todo NTT Secure Platform Laboratories, Japan
Dominique Unruh University of Tartu, Estonia
Gilles Van Assche STMicroelectronics, Belgium
Frederik Vercauteren KU Leuven, Belgium
Bo-Yin Yang Academia Sinica, Taiwan
Yu Yu Shanghai Jiao Tong University, China
Aaram Yun UNIST, Korea
External Reviewers
Behzad Abdolmaleki Paulo Barreto

Aysajan Abidin Gilles Barthe
Shweta Agrawal Hridam Basu
Estuardo Alpirez Bock Aurélie Bauer
Joël Alwen Carsten Baum
Abdelrahaman Aly Christof Beierle
Andris Ambainis Adi Ben-Zvi
Elena Andreeva Ela Berners-Lee
Jan-Pieter d’Anvers David Bernhard
Kazumaro Aoki Pauline Bert
Nuttapong Attrapadung Ward Beullens
Karim Baghery Rishiraj Bhattacharyya
Shi Bai Jean-Francois Biasse
Gustavo Banegas Nina Bindel
Subhadeep Banik Bruno Blanchet
ASIACRYPT 2018 IX
Olivier Blazy Rafael Dowsley

Xavier Bonnetain Alexandre Duc
Charlotte Bonte Avijit Dutta
Carl Bootland Ratna Dutta
Jonathan Bootle Sébastien Duval
Cecilia Boschini Edward Eaton
Raphael Bost Maria Eichlseder
Christina Boura Ali El Kaafarani
Florian Bourse Keita Emura
Dusan Bozilov Naomi Ephraim
Andreas Brasen Kidmose Muhammed Esgin
Jacqueline Brendel Thomas Espitau
Ignacio Cascudo Martianus Frederic Ezerman
Dario Catalano Leo (Xiong) Fan
Andrea Cerulli Antonio Faonio
Avik Chakraborty Oriol Farràs
Debrup Chakraborty Prastudy Fauzi
Long Chen Serge Fehr
Yu Chen Dario Fiore
Yu Long Chen Tore Frederiksen
Wonhee Cho Thomas Fuhr
Ashish Choudhury Eiichiro Fujisaki
Chitchanok Chuengsatiansup Benjamin Fuller
Michele Ciampi Philippe Gaborit
Sandro Coretti Clemente Galdi
Alain Couvreur Nicolas Gama
Ben Curtis Chaya Ganesh
Dana Dachman-Soled Si Gao
Joan Daemen Luke Garratt
Nilanjan Datta Romain Gay
Pratish Datta Nicholas Genise
Alex Davidson Rosario Gennaro
Thomas De Cnudde Essam Ghadafi
Luca De Feo Anirban Ghatak
Lauren De Meyer Satrajit Ghosh
Gabrielle de Micheli Junqing Gong
Fabrizio De Santis Alonso González
Rafael Del Pino Hannes Gross
Cyprien Delpech de Saint Guilhem Paul Grubbs
Yi Deng Charles Guillemet
Amit Deo Siyao Guo
David Derler Qian Guo
Apoorvaa Deshpande Kyoohyung Han
Lin Ding Javier Herranz
Ning Ding Julia Hesse
Christoph Dobraunig Harunaga Hiwatari
X ASIACRYPT 2018
Thang Hoang Xiangyu Li

Dennis Hofheinz Fuchun Lin
Seungwan Hong Donxi Liu
Akinori Hosoyamada Fukang Liu
Kathrin Hövelmanns Hanlin Liu
James Howe Junrong Liu
Andreas Huelsing Shengli Liu
Ilia Iliashenko Ya Liu
Ai Ishida Zhen Liu
Masahito Ishizaka Zhiqiang Liu
Mitsugu Iwamoto Victor Lomne
Tetsu Iwata Yu Long
Håkon Jacobsen Xianhui Lu
Christian Janson Yuan Lu
Dirmanto Jap Chen Lv
Jinhyuck Jeong Shunli Ma
Ashwin Jha Xuecheng Ma
Luke Johnson Rusydi Makarim
Antoine Joux Giulio Malavolta
Pierre Karpman Mary Maller
Shuichi Katsumata Alex Malozemoff
Andrey Kim Yoshifumi Manabe
Dongwoo Kim Avradip Mandal
Duhyeong Kim Mark Manulis
Jeongsu Kim Marco Martinoli
Jihye Kim Daniel Masny
Jiseung Kim Pedro Maat Costa Massolino
Myungsun Kim Takahiro Matsuda
Elena Kirshanova Alexander May
Fuyuki Kitagawa Sogol Mazaheri
Susumu Kiyoshima Patrick McCorry
Yashvanth Kondi Florian Mendel
Ben Kreuter Peihan Miao
Toomas Krips Vincent Migliore
Veronika Kuchta Kazuhiko Minematsu
Marie-Sarah Lacharite Matthias Minihold
Junzuo Lai Takaaki Mizuki
Esteban Landerreche Andrew Morgan
Tanja Lange Paz Morillo
Joohee Lee Fabrice Mouhartem
Iraklis Leontiadis Pratyay Mukherjee
Tancrède Lepoint Alireza Naghipour
Jie Li Yusuke Naito
Qinyi Li Maria Naya-Plasencia
Shun Li Ryo Nishimaki
Wei Li Ariel Nof
ASIACRYPT 2018 XI
Wakaha Ogata André Schrottenloher

Emmanuela Orsini Jacob Schuldt
Rafail Ostrovsky Peter Schwabe
Carles Padró Danping Shi
Tapas Pandit Kyoji Shibutani
Louiza Papachristodoulou SeongHan Shin
Alain Passelègue Ferdinand Sibleyras
Kenny Paterson Janno Siim
Goutam Paul Javier Silva
Michaël Peeters Thierry Simon
Chris Peikert Luisa Siniscalchi
Massimo Perillo Kit Smeets
Léo Perrin Yongha Son
Edoardo Persichetti Gabriele Spini
Peter Pessl Christoph Sprenger
Thomas Peters Martijn Stam
Christophe Petit Damien Stehle
Stjepan Picek Ron Steinfeld
Zaira Pindado Joshua Stock
Bertram Poettering Ko Stoffelen
Eamonn Postlethwaite Shifeng Sun
Thomas Prest Siwei Sun
Emmanuel Prouff Moon Sung Lee
Elizabeth Quaglia Koutarou Suzuki
Adrián Ranea Alan Szepieniec
Shahram Rasoolzadeh Akira Takahashi
Divya Ravi Katsuyuki Takashima
Ling Ren Benjamin Tan
Guénaël Renault Adrian Thillard
Joost Renes Jean-Pierre Tillich
Joost Rijneveld Elmar Tischhauser
Thomas Roche Radu Titiu
Paul Rösler Junichi Tomida
Mélissa Rossi Ni Trieu
Dragos Rotaru Boaz Tsaban
Yann Rotella Thomas Unterluggauer
Arnab Roy Christine Van Vredendaal
Sujoy Sinha Roy Prashant Vasudevan
Sylvain Ruhault Serge Vaudenay
Mohammad Sabt Philip Vejre
Mohammad Reza Sadeghi Muthuramakrishnan
Yusuke Sakai Venkitasubramaniam
Simona Samardzijska Daniele Venturi
Olivier Sanders Benoît Viguier
John Schanck Jorge L. Villar
Peter Scholl Srinivas Vivek
XII ASIACRYPT 2018
Antonia Wachter-Zeh Scott Yilek

Alexandre Wallet Kazuki Yoneyama
Michael Walter Jingyue Yu
Peng Wang Yang Yu
Ping Wang Xingliang Yuan
Yuyu Wang Thomas Zacharias
Man Wei Michal Zajac
Zihao Wei Rina Zeitoun
Friedrich Wiemer Mark Zhandry
Tim Wood Bin Zhang
Joanne Woodage Cong Zhang
Thomas Wunderer Fan Zhang
Keita Xagawa Jiang Zhang
Haiyang Xue Juanyang Zhang
Shota Yamada Ren Zhang
Takashi Yamakawa Yingjie Zhang
Avishay Yanai Raymond K. Zhao
Kang Yang Shuoyao Zhao
Qianqian Yang Linfeng Zhou
Kan Yasuda Vincent Zucca
Kevin Yeo
Local Organizing Committee

General Chair
Josef Pieprzyk CSIRO, Data61, Australia
Advisors
Lynn Batten Deakin University, Australia
Ed Dawson QUT, Australia
Members
Waleed Alkalabi QUT, Australia
Niluka Arasinghe QUT, Australia
Mir Ali Rezazadeh QUT, Australia
Baee
Xavier Boyen QUT, Australia
Ernest Foo QUT, Australia
Mukhtar Hassan QUT, Australia
Udyani Herath QUT, Australia
Qingyi Li QUT, Australia
Georg Lippold Mastercard, Australia
Matthew McKague QUT, Australia
Basker Palaniswamy QUT, Australia
Anisur Rahman QUT, Australia
ASIACRYPT 2018 XIII
Leonie Simpson QUT, Australia

Shriparen QUT, Australia
Sriskandarajah
Gabrielle Stephens QUT, Australia
Chathurika Don QUT, Australia
Wickramage
Contents – Part II
Symmetric-Key Cryptanalysis
Programming the Demirci-Selçuk Meet-in-the-Middle Attack

with Constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Danping Shi, Siwei Sun, Patrick Derbez, Yosuke Todo, Bing Sun,
and Lei Hu
Cryptanalysis of MORUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Tomer Ashur, Maria Eichlseder, Martin M. Lauridsen, Gaëtan Leurent,
Brice Minaud, Yann Rotella, Yu Sasaki, and Benoît Viguier
New MILP Modeling: Improved Conditional Cube Attacks

on Keccak-Based Constructions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Ling Song, Jian Guo, Danping Shi, and San Ling
On the Concrete Security of Goldreich’s Pseudorandom Generator . . . . . . . . 96

Geoffroy Couteau, Aurélien Dupin, Pierrick Méaux, Mélissa Rossi,
and Yann Rotella
Public Key and Identity-Based Encryption
A Framework for Achieving KDM-CCA Secure Public-Key Encryption . . . . 127

Fuyuki Kitagawa and Keisuke Tanaka
Understanding and Constructing AKE via Double-Key Key

Encapsulation Mechanism . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Haiyang Xue, Xianhui Lu, Bao Li, Bei Liang, and Jingnan He
Identity-Based Encryption Tightly Secure Under

Chosen-Ciphertext Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Dennis Hofheinz, Dingding Jia, and Jiaxin Pan
Short Digital Signatures and ID-KEMs via Truncation

Collision Resistance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Tibor Jager and Rafael Kurek
Asiacrypt 2018 Award Paper I
Tighter Security Proofs for GPV-IBE in the Quantum Random

Oracle Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Shuichi Katsumata, Shota Yamada, and Takashi Yamakawa
XVI Contents – Part II
Side-Channels
New Instantiations of the CRYPTO 2017 Masking Schemes . . . . . . . . . . . . 285

Pierre Karpman and Daniel S. Roche
Statistical Ineffective Fault Attacks on Masked AES

with Fault Countermeasures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Christoph Dobraunig, Maria Eichlseder, Hannes Gross,
Stefan Mangard, Florian Mendel, and Robert Primas
Tight Private Circuits: Achieving Probing Security with the Least

Refreshing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Sonia Belaïd, Dahmun Goudarzi, and Matthieu Rivain
Attacks and Countermeasures for White-box Designs . . . . . . . . . . . . . . . . . 373

Alex Biryukov and Aleksei Udovenko
Signatures
Signatures with Flexible Public Key: Introducing Equivalence Classes

for Public Keys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Michael Backes, Lucjan Hanzlik, Kamil Kluczniak, and Jonas Schneider
Compact Multi-signatures for Smaller Blockchains . . . . . . . . . . . . . . . . . . . 435

Dan Boneh, Manu Drijvers, and Gregory Neven
Multi-key Homomorphic Signatures Unforgeable Under

Insider Corruption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Russell W. F. Lai, Raymond K. H. Tai, Harry W. H. Wong,
and Sherman S. M. Chow
Attribute-Based Signatures for Unbounded Languages

from Standard Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Yusuke Sakai, Shuichi Katsumata, Nuttapong Attrapadung,
and Goichiro Hanaoka
Asiacrypt 2018 Award Paper II
Learning Strikes Again: The Case of the DRS Signature Scheme . . . . . . . . . 525
Yang Yu and Léo Ducas
Leakage-Resilient Cryptography
How to Securely Compute with Noisy Leakage

in Quasilinear Complexity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Dahmun Goudarzi, Antoine Joux, and Matthieu Rivain
Contents – Part II XVII
Leakage-Resilient Cryptography from Puncturable Primitives

and Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Yu Chen, Yuyu Wang, and Hong-Sheng Zhou
Functional/Inner Product/Predicate Encryption
Unbounded Inner Product Functional Encryption from Bilinear Maps . . . . . . 609

Junichi Tomida and Katsuyuki Takashima
Adaptively Simulation-Secure Attribute-Hiding Predicate Encryption . . . . . . . 640

Pratish Datta, Tatsuaki Okamoto, and Katsuyuki Takashima
Improved Inner-Product Encryption with Adaptive Security

and Full Attribute-Hiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Jie Chen, Junqing Gong, and Hoeteck Wee
Decentralized Multi-Client Functional Encryption for Inner Product. . . . . . . . 703

Jérémy Chotard, Edouard Dufour Sans, Romain Gay,
Duong Hieu Phan, and David Pointcheval
Practical Fully Secure Unrestricted Inner Product Functional Encryption

Modulo p. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
Guilhem Castagnos, Fabien Laguillaumie, and Ida Tucker
Author Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

Symmetric-Key Cryptanalysis
Programming the Demirci-Selçuk
Meet-in-the-Middle Attack
with Constraints
Danping Shi1,2 , Siwei Sun1,2,3(B) , Patrick Derbez4 , Yosuke Todo5 , Bing Sun6 ,
and Lei Hu1,2,3
1
State Key Laboratory of Information Security, Institute of Information
Engineering, Chinese Academy of Sciences, Beijing, China
{shidanping,sunsiwei,hulei}@iie.ac.cn
2
Data Assurance and Communication Security Research Center,
Chinese Academy of Sciences, Beijing, China
3
School of Cyber Security,
University of Chinese Academy of Sciences, Beijing, China
4
Univ Rennes, CNRS, IRISA, Rennes, France
patrick.derbez@irisa.fr
5
NTT Secure Platform Laboratories, Tokyo, Japan
todo.yosuke@lab.ntt.co.jp
6
College of Liberal Arts and Sciences,
National University of Defense Technology, Changsha, China
happy come@163.com
Abstract. Cryptanalysis with SAT/SMT, MILP and CP has increased

in popularity among symmetric-key cryptanalysts and designers due to
its high degree of automation. So far, this approach covers differential,
linear, impossible differential, zero-correlation, and integral cryptanaly-
sis. However, the Demirci-Selçuk meet-in-the-middle (DS-MITM) attack
is one of the most sophisticated techniques that has not been automated
with this approach. By an in-depth study of Derbez and Fouque’s work
on DS-MITM analysis with dedicated search algorithms, we identify the
crux of the problem and present a method for automatic DS-MITM
attack based on general constraint programming, which allows the crypt-
analysts to state the problem at a high level without having to say how
it should be solved. Our method is not only able to enumerate distin-
guishers but can also partly automate the key-recovery process. This
approach makes the DS-MITM cryptanalysis more straightforward and
easier to follow, since the resolution of the problem is delegated to off-
the-shelf constraint solvers and therefore decoupled from its formulation.
We apply the method to SKINNY, TWINE, and LBlock, and we get the
currently known best DS-MITM attacks on these ciphers. Moreover, to
demonstrate the usefulness of our tool for the block cipher designers,
we exhaustively evaluate the security of 8! = 40320 versions of LBlock
instantiated with different words permutations in the F functions. It
turns out that the permutation used in the original LBlock is one of the
64 permutations showing the strongest resistance against the DS-MITM
c International Association for Cryptologic Research 2018

T. Peyrin and S. Galbraith (Eds.): ASIACRYPT 2018, LNCS 11273, pp. 3–34, 2018.
https://doi.org/10.1007/978-3-030-03329-3_1
4 D. Shi et al.
attack. The whole process is accomplished on a PC in less than 2 h. The

same process is applied to TWINE, and similar results are obtained.
Keywords: Demirci-Selçuk meet-in-the-middle attack

Automated cryptanalysis · Constraint programming · MILP
1 Introduction
Cryptanalysis of block ciphers is a highly technical, time consuming and error-
prone process. On the one hand, the attackers have to perform a variety of
cryptanalytic techniques, including differential attack [1], linear attack [2], inte-
gral attack [3–5], etc., to see which technique leads to the best attack. On the
other hand, the designers need to repeat all these different attacks again and
again to identify the optimal choices of parameters and building blocks which
meet the security and implementation requirements. Therefore, automatic tools
are indispensable to the community, which significantly reduce the manual work
and make a thorough exploration of the design/analysis space possible.
One paradigm for automatic symmetric-key cryptanalysis getting increasing
popularity in recent years is to model the problem by means of constraints, which
includes the methods based on SAT/SMT (satisfiability modulo theory) [6–8],
MILP (mixed-integer linear programming) [9–13], and classical constraint pro-
gramming [14,15]. In this paper, these methods are collectively referred to as
the general constraint programming (CP) based approach, or just CP based app-
roach for short. So far, the CP based approach covers a wide range of symmetric-
key cryptanalysis techniques. For instance, we can determine the minimum num-
ber of differentially or linearly active S-boxes of a block cipher with MILP [9]; we
can search for actual differential characteristics, linear characteristics, and inte-
gral distinguishers with SAT/SMT, MILP or classical constraint programming
[8,10,11,14]; and we can search for impossible differentials and zero-correlation
linear approximations [12,16] in a similar way.
Compared with search algorithms implemented from scratch in general pur-
pose programming languages [17–24], the CP based approach allows the crypt-
analysts to state the problem very naturally, and at a high level without having
to say how it should be solved. The resolution of the problem is delegated to
generic solvers, and therefore decoupled from the formulation of the problem.
As Eugene C. Freuder stated [25]: Constraint programming represents one of the
closest approaches computer science has yet made to the Holy Grail of program-
ming : the user states the problem, the computer solves it.
However, the Demirci-Selçuk meet-in-the-middle attack (DS-MITM) attack
[26], introduced by Demirci and Selçuk at FSE 2008 to attack the famous
Advanced Encryption Standard (AES) [27], is one of the cryptanalytic tech-
niques which has not been automated with general constraint programming due
to its extraordinary sophistication. After a series of improvements of the attack
with various creative techniques [28–32], the DS-MITM attack reaches the best
known attack on 7-round AES-128, 9-round AES-256 and 10-round AES-256
Programming the Demirci-Selçuk Meet-in-the-Middle Attack 5
in the single-key model. The attack has been applied to several specific block
ciphers [33–36] as well as on generic balanced Feistel constructions [37]. Most
recently, Guo et al. show generic attacks on unbalanced Feistel ciphers based on
the DS-MITM technique which penetrate a large number of rounds of some spe-
cific class of unbalanced Feistels [38]. Note that despite sharing the same name
with the traditional MITM attacks in some literature (the attacks on some block
ciphers [39,40] and on a number of hash functions, e.g. [41,42]), the DS-MITM
attack concerned in this paper follows a different and a more complex strategy.
Related Work and Our Contribution. In [30,31], Derbez and Fouque presented
a tool implemented in C/C++ for finding the DS-MITM attack with dedicated
search algorithm. In this paper, we present the first CP-based tool for finding
the DS-MITM attack automatically. Our approach is based on a novel modelling
technique in which we introduce several different types of variables for every
input/output word of all operations, and impose constraints on these variables
such that from a solution of these variables satisfying all the constraints we can
deduce a DS-MITM distinguisher or DS-MITM attack.
Compared with Derbez and Fouque’s tool [30,31] which was implemented
in the general purpose programming language C/C++, the CP based method
allows the cryptanalysts to state the problem at a high level very naturally,
without considering how to maintain the relationships between the variables
explicitly with dedicated algorithms. Therefore, our tool should be very useful
in fast prototyping in the process of block cipher design.
In [43], Lin et al. modeled the problem of searching for DS-MITM distin-
guishers as an integer programming model. However, their integer programming
model is incomplete and is solved by a dedicated search algorithm. Secondly,
Lin et al. ’s work only focuses on the distinguisher part. Our CP based approach
can not only enumerate distinguishers but also partly automate the key-recovery
process of the attack. Moreover, by applying our CP based approach to LBlock,
the same cipher targeted in [43], we show it finds better distinguishers as well
as better attacks. To demonstrate the effectiveness of our approach, we apply
it to SKINNY [44], TWINE [45], and LBlock [46]. We produce so far the best
DS-MITM attacks on these well-known ciphers automatically.
For LBlock, we can not only find an 11-round DS-MITM distinguisher
which is 2 rounds longer than the one(s) presented in [43], but also construct
the first DS-MITM attack on 21-round LBlock. We also rediscover the same
attack on TWINE-128 given in [34], and identify the first DS-MITM attack on
20-round TWINE-80. In addition, we report the first concrete DS-MITM analysis
of SKINNY. A remarkable fact is that our tool identify an 10.5-round DS-MITM
distinguisher in a few seconds, while its designers expect an upper-bound of 10
rounds against such distinguishers in [44]. A summary of these results are given
in Table 1.
We also show how helpful our tool can be in the block cipher design process
by searching for the best choices of block shuffles in LBlock and TWINE. We
scan over 40320 variants of LBlock, and 887040 variants of TWINE. We iden-
tify permutations which are potentially stronger than the permutations in the
original designs. We make the source code of this work publicly available at
6 D. Shi et al.
https://github.com/siweisun/MITM.
In addition, all supplementary materials referred later on are provided in an

extended version of this paper at https://github.com/siweisun/MITM.
Organization. In Sect. 2, we give the notations used in this paper. An intro-
duction of the DS-MITM attack is presented in Sect. 3. We show the general
principle of how to model the DS-MITM attack in Sect. 4, and subsequently in
Sect. 5 the technical detail of the modelling method is given. Section 6 discusses
how to use our method in practice. In Sect. 7, we apply our approach to SKINNY,
TWINE, LBlock, AES, ARIA, and SIMON. In Sect. 8, we discuss how to use our
tool to find high-quality building blocks (with respect to the DS-MITM attack)
in the process of block cipher design. Section 9 is the conclusion.
Table 1. A summary of the results. Though the focus of this paper is the DS-MITM
attack, we also list other types of attacks which achieve currently known best results
against the ciphers targeted. For the DS-MITM attack, the number of rounds attacked
is presented in the form of a + b, where a shows how many rounds are covered by the
underlying DS-MITM distinguisher, while b is the number orouter rounds added when
performing a key-recovery attack. Therefore, b = 0 indicates a distinguishing attack.
Target Rounds Time Data Memory Method Ref

LBlock 11 + 10 270.20 248 CP 261.91 DS-MITM Sect. 7.2
9+0 274.5 − − DS-MITM Dist. [43]
23 274.5 259.5 CP 274.3 ID [47]
23 275.36 259 CP 274 ID [48]
72 62.1
23 2 2 Kp 260 MultiD ZC [47]
23 276 262.1 Kp 260 MultiD ZC [49]
TWINE80 11 + 9 277.44 232 CP 282.91 DS-MITM Sect. 7.3
23 279.09 257.85 CP 284.06 ID [50]
23 273 262.1 KP 260 MultiD ZC [47]
124.7 48
TWINE128 11 + 14 2 2 CP 2109 DS-MITMa [34]
25 2124.5 259.1 CP 278.1 ID [34]
25 2119 262.1 KP 260 MultiD ZC [47]
25 2122.12 262.1 KP 260 MultiD ZC [49]
SKINNY- 10.5+11.5 2382.46 296 CP 2330.99 DS-MITM Sect. 7.1
128-384
11 + 11 2373.48 292.22 CP 2147.22 ID [51]
a
We find the attacks with the same complexity.
2 Notations
An n-bit state state with n = cnc is alternatively regarded as a sequence
(state[0], state[1], · · · , state[nc − 1]) of nc c-bit words. Let A = [j0 , j1 , · · · , js−1 ]
be an ordered set of integers such that 0 ≤ j0 < · · · < js−1 < nc . Then state[A]
is used to represent state[j0 ]|| · · · ||state[js−1 ], where state[j] is the j-th c-bit word
of state and || is the operation of bit string concatenation.
Definition 1. A set {P 0 , · · · , P N −1 } ⊆ Fcn 2

c
= Fn2 of N = 2sc n-bit values for
state is a δ(A)-set for state with A = [k0 , k1 , · · · , ks−1 ] if P 0 [A] ⊕ P j [A] = j
(1 ≤ j < N ), and P i [k] = P j [k] for all i, j ∈ {0, · · · , N − 1} and k ∈
/ A. That is,
{P 0 , · · · , P N −1 } traverse the s c-bit words specified by A while share the same
value in other word positions.
An r-round iterative block cipher E with r = r0 + r1 + r2 , depicted in Fig. 1,

is a keyed permutation which transforms an n-bit state state0 into state2r step by
step with nonlinear and linear operations. In our indexing scheme, as illustrated
in Fig. 1, state2k is the input state of round k, state2k+1 is the output state of the
nonlinear operation of round k, and state2(k+1) is the output of round k or the
input of round k + 1 for k ∈ {0, · · · , r0 + r1 + r2 − 1}. For the sake of simplicity
and concreteness, we will conduct the discussion based on Fig. 1, which visualizes
the structure of a common SP cipher. Without loss of generality, we assume that
the key addition is performed after the linear layer L as illustrated in Fig. 1. The
basic rule is that we should always introduce a new state for the direct input
to the nonlinear layer. For example, if the key addition is performed in between
state2i and the NL operation, then a new state (representing the direct input to
NL) should be introduced in between the key addition and the NL operation,
and the original state may be omitted (regarding the new state as an output
obtained by masking the output of the previous round with the subkey).
Note that though our discussion are based on a SP cipher illustrated in Fig. 1,
the ideas and techniques presented in this paper are general enough to be applied
to other structures, such as Feistel and Generalized Feistel structures.
For convenience, a δ(A)-set {P 0 , · · · , P N −1 } is denoted by Pδ(A) , and let
ΔE (Pδ(A) , B) be the sequence [C 0 [B]⊕C 1 [B], · · · , C 0 [B]⊕C N −1 [B]], where C i =
E(P i ) and B = [j0 , · · · , jt−1 ] such that 0 ≤ j0 < · · · < jt−1 < nc .

Let P , P ∈ Fn2 be two values of state0 shown in Fig. 1, which are often
regarded as plaintexts since state0 is the input of the encryption algorithm. The
value P creates a series of intermediate values during the encryption process. We
define P (statei ) as the intermediate value at statei created by the partial encryp-
tion of P . Sometimes we only care about the value of P (statei ) at some specified
word positions indexed by an ordered set I, which is denoted by P (statei [I]).

We define P ⊕ P (statei ) and P ⊕ P (statei [I]) to be the intermediate differences

P (statei ) ⊕ P (statei ) and P (statei [I]) ⊕ P (statei [I]) respectively. Let C and

C be the ciphertexts of P and P . An intermediate value can also be regarded
as the result of a partial decryption of the ciphertext C. Therefore, we define

C(statei ), C(statei [I]), C ⊕ C (statei ), and C ⊕ C (statei [I]) similarly. Note that
in the above notations, the intermediate values or differences of intermediate val-
ues are specified with respect to some plaintexts or ciphertexts. We may as well
specify them with respect to some intermediate values, say Q = P (statej ) and

Q = P (statej ). Hence, we may have notations such as Q(statei ), Q(statei [I]),

Q ⊕ Q (statei ), and Q ⊕ Q (statei [I]), whose meanings should be clear from the
context.
To make the notation succinct, if not stated explicitly, we always assume
that A = [k0 , · · · , ks−1 ], B = [j0 , · · · , jt−1 ], and a state state is viewed as a
8 D. Shi et al.
Plaintext
state0
Ā NL
state1
L
k0
E0
state2
(0 → · · · → r0 − 1)
..
. Involved Key: kE
0
state2(r −1)
0
NL
state2(r −1)+1
0
L
kr −1
A 0
state2r
0
NL
state2r +1
0
L
kr 0
E1
state2(r +1)
0
(r0 → · · · → r0 + r1 − 1)
..
.
state2(r +r −1)
0 1
NL
state2(r +r −1)+1
0 1
L
kr +r −1
0 1
state2(r +r )
0 1
B
NL
state2(r +r )+1
0 1
L
kr +r
0 1
state2(r +r +1) E2
0 1
.. (r0 + r1 → · · · → r0 + r1 + r2 − 1)
. Involved Key: kE
2
state2(r +r +r −1)
0 1 2
NL
state2(r +r +r −1)+1
0 1 2
L
kr +r +r −1
0 1 2
state2(r +r +r )
0 1 2
Ciphertext
Fig. 1. An r-round SP block cipher E = E2 ◦E1 ◦E0 with r = r0 +r1 +r2 , whose round
function consists of a layer of nonlinear operation and a layer of linear operation. A
DS-MITM key-recovery attack is performed based on a DS-MITM distinguisher placed
at E1 . A more detailed explanation of this figure will be given in Sect. 3.2.
a sequence of n bits or a sequence of nc c-bit words. Moreover, we make the

following assumption which is very natural for a block cipher.
Assumption 1. Let the nonlinear layer in Fig. 1 be a parallel application of

nc c × c invertible S-boxes, and I = [j : Q ⊕ Q (state2k [j]) = 0, 0 ≤ j <

nc ] be an ordered set, where Q and Q are two values for state2k . If we know

the value of Q(state2k [I]), then we can derive the value of Q ⊕ Q (state2k+1 )

with the knowledge of Q ⊕ Q (state2k [I]). Similarly, we can derive the value of

Q ⊕ Q (state2k ) with the knowledge of Q(state2k+1 [I]) and Q ⊕ Q (state2k+1 [I]).
In other words, we can derive the value of the output/input differences if we
know the value of input/output values and differences at the active positions.
3 The Demirci-Selçuk Meet-in-the-Middle Attack

3.1 The DS-MITM Distinguisher
The DS-MITM attack relies on a special differential-type distinguisher. Com-

pared with ordinary differential distinguishers, the DS-MITM distinguishers gen-
erally lead to much stronger filters.
Let F be a keyed permutation, and Qδ(A) = {Q0 , · · · , QN −1 } be a δ(A)-set
for the input state of F . If F is a random permutation, then it can be shown
cs
that there are (2ct )2 −1 possibilities for ΔF (Qδ(A) , B). But for a block cipher
F , it is possible that the sequence ΔF (Qδ(A) , B) can be fully determined with
the knowledge of d c-bit words. For instance, from the values of one internal
state and the master key one can derive the values for all the internal states.
Therefore, given Qδ(A) , we can get at most 2cd possible cases of ΔF (Qδ(A) , B) by
traversing the d c-bit words. We call d the (A, B)-degree of F , which is denoted
by DegF (A, B), or simply Deg(A, B) if F can be inferred from the context. If
cs cs
DegF (A, B) = d is small enough such that λ = 2cd /(2ct )2 −1 = 2c(d−t·(2 −1)) <
1, or d < t · (2 − 1), then we can use this property as a distinguisher and
cs
construct a key-recovery attack on F . Therefore, a DS-MITM distinguisher of a

keyed permutation F can be regarded as a tuple (A, B, DegF (A, B)).
3.2 Key Recovery Attack Based on DS-MITM Distinguisher
We now describe how a key-recovery attack can be performed with a DS-MITM

distinguisher. This part should be read while referring to Fig. 1.
As shown in Fig. 1, we divide the target cipher E into 3 parts: E0 , E1 , and
E2 , where Ei is a keyed permutation with ri rounds. As depicted in Fig. 1, E0
covers rounds (0 → · · · → r0 − 1), E1 covers rounds (r0 → · · · → r0 + r1 − 1), and
E2 covers rounds (r0 + r1 → · · · → r0 + r1 + r2 − 1). According to our indexing
scheme, as illustrated in Fig. 1, state0 is the input state of E0 ; state2r0 is the
output state of E0 which is also the input state of E1 ; state2(r0 +r1 ) is the output
of E1 or the input of E2 ; finally, state2(r0 +r1 +r2 ) is the output of E2 .
In the attack, we place a DS-MITM distinguisher (A, B, DegE1 (A, B)) at E1 ,
and prepare a δ(Ā)-set Pδ(Ā) of chosen plaintexts for state0 , where Ā is the
ordered set of integers k (0 ≤ k < nc ) such that V 0 ⊕ V j (state0 [k]) = 0 for some
δ(A)-set Vδ(A) = {V 0 , · · · , V N −1 } for state2r0 (the input state of E1 ) and some
j ∈ {0, · · · , N − 1}. Note that Ā can be obtained by propagating the differences
created by Vδ(A) for state2r0 (the input of E1 ) reversely against E0 .
Then we select an arbitrary plaintext P 0 from Pδ(Ā) , and guess the secret
key information kE0 ∈ Fe20 with which we can find P 1 , · · · , P N −1 in Pδ(Ā) such
that Qδ(A) = {Q0 , · · · , QN −1 } where Qj = E0 (P j ) forms a δ(A)-set for state2r0 .
10 D. Shi et al.
Finally, we guess the secret key information kE2 ∈ Fe22 involved in E2 with which
we can determine the sequence
ΔE1 (Qδ(A) , B) = [C 0 ⊕ C 1 (state2(r0 +r1 ) [B]), · · · , C 0 ⊕ C N −1 (state2(r0 +r1 ) [B])]
by partial decryption with E2 , where C j = E(P j ).
If the resulting sequence is not one of the possible ΔE1 (Qδ(A) , B) sequences
which can be determined with the DegE1 (A, B) = d c-bit parameters, the guesses
of kE0 and kE2 are certainly incorrect and therefore rejected. Similar to [52], we
adopt the notion of |kE0 ∪ kE2 | to represent the log of the entropy of the involved
secret key bits in the outer rounds from an information theoretical point of view.
3.3 Complexity Analysis

Offline Phase. Store all the 2cd possibilities of the sequence ΔE1 (Qδ(A) , B) in a
hash table. The time complexity is 2cd · 2cs · ρE1 CE , and the memory complexity
is (2cs − 1) · ct · 2cd bits, where CE is the time complexity of one encryption with
E, and ρE1 is typically computed in literature as Deg(A, B) divided by the total
number of S-boxes in E.
Online Phase. For each of the 2|kE0 ∪kE2 | possible guesses, if the resulting
sequence ΔE1 (Qδ(A) , B) is not in the hash table precomputed, then the guess
under consideration is certainly not correct and is discarded. The time complex-
ity of this step is 2|kE0 ∪kE2 | · 2sc · ρE0 ∪E2 CE , where ρE0 ∪E2 is typically computed
as the number of S-boxes involved in the outer rounds divided by the total
number of S-boxes in E. After this step, the 2|kE0 ∪kE2 | key space is reduced
cs
approximately to λ · 2|kE0 ∪kE2 | , where λ = 2c(d−t·(2 −1)) .
4 Modelling the DS-MITM Attack with Constraints:

A High Level Overview
In this section, we give a high level overview of our modelling method with the
aid of Figs. 1 and 2, which serves as a road map for the next section (Sect. 5),
where the technical details are presented. To model the attack with constraint
programming (CP) for the cipher E = E2 ◦ E1 ◦ E0 shown in Fig. 1, we proceed
as the following steps.
Step 1. Modelling the distinguisher part
• Introduce three types (X, Y , and Z) of 0-1 variables for each word of the states
state2r0 , · · · , state2(r0 +r1 ) involved in E1 . We denote the sets of all type-X,
type-Y and type-Z variables by Vars(X), Vars(Y ) and Vars(Z), respectively.
• Introduce a set of constraints over Vars(X) to model the propagation of the
forward differential, and introduce a set of constraints over Vars(Y ) to model
the backward determination relationship.
• Impose a set of constraints on Vars(Z) such that a type-Z variable for statei [j]
is 1 if and only if the type-X and type-Y variables for statei [j] are 1 simulta-
neously.
Remark 1. Under the above configuration, every instantiation of the variables

in Vars(X), Vars(Y ), and Vars(Z) corresponds to a potential DS-MITM distin-
guisher. Therefore, all distinguishers can be enumerated with the above model.
Also note that the key addition can be omitted while searching for distinguish-
ers if it does not affect the propagation of the forward differential and back-
ward determination relationship. This is the case for all the examples presented
in this paper, where key additions are only involved in computing the actual
complexities.
Step 2. Modelling the outer rounds
• Introduce a type-M variable for each word of the states state0 , · · · , state2r0
involved in E0 , and impose a set of constraints over Vars(M ) to model the
backward differential. Note that there are both type-X and type-M variables
for state2r0 . We require that the corresponding type-X and type-M variables
for each of the nc words of state2r0 are equal.
• Introduce a type-W variable for each word of the states state2(r0 +r1 ) , · · · ,
state2(r0 +r1 +r2 ) involved in E2 , and impose a set of constraints over Vars(W )
to model the forward determination relationship. Note that there are both
type-Y and type-W variables for state2(r0 +r1 ) . We require that the corre-
sponding type-Y and type-W variables for each of the nc words of state2(r0 +r1 )
are equal.
Remark 2. Every solution of Vars(M ) and Vars(W ) helps us to identify the infor-
mation that needs to be guessed in the outer rounds, which will be clearer in
the following.
M X, Y, Z W
E0 E1 E2
Fig. 2. A high level overview of the modelling method for DS-MITM attack
The overall modelling strategy is depicted in Fig. 2. In summary, given a full

solution of the variables such that all constraints are fulfilled, we can extract the
following information
• A : The variables in Vars(X) for state2r0 whose values are 1 indicate A;

• B : The variables in Vars(Y ) for state2(r0 +r1 ) whose values are 1 indicate B;
• DegE1 (A, B) : The variables in Vars(Z) for state2j , r0 ≤ j < r0 + r1 whose
values are 1 indicate DegE1 (A, B);
12 D. Shi et al.
• Ā and guessed materials in E0 : The variables in Vars(M ) whose values are

1 indicate Ā and guessed materials in E0 which tells us how to prepare the
plaintexts leading a δ(A) set at state2r0 ;
• Guessed materials in E2 : The variables in Vars(W ) whose values are 1 indi-
cate the Guessed materials in E2 with which we can derive the sequence of
differences at state2(r0 +r1 ) from the ciphertexts.
Together this information forms a DS-MITM attack on E. Note that the guessed
materials in E0 and E2 still need to be converted to guessed key materials, which
can be done manually or automatically fairly straightforwardly.
According to the semantics of Vars(Z), if we draw the propagation pat-
terns of Vars(X) and Vars(Y ) in two figures, then the propagation pattern of
Vars(Z) can be obtained by superposition of the two figures. Therefore, the key
to understand the details of the modelling of DS-MITM attack is the so-called
forward/backward differential and forward/backward determination relationship.
To make the description succinct and without loss of generality, we introduce
the concepts based on a 5-round keyed permutation shown in Figs. 4 and 6. We
will also give two concrete examples of the forward differential and backward
determination of a 3-round toy SPN block cipher with 32-bit (4-byte) block
size. The round function shown in Fig. 3 of the toy cipher consists of an S-box
(a parallel application of four 8 × 8 Sboxes), and a linear layer L with
layer
yi = j∈{0,1,2,3}−{i} xj for i ∈ {0, 1, 2, 3}.
S x3 y3
S x2 y2
L
AK
S x1 y1
S x0 y0
Fig. 3. The round function of the toy cipher
4.1 Forward Differential and Backward Differential

As shown in Fig. 4, given a set Qδ(A) of N values {Q0 , · · · , QN −1 } for state4 which
forms a δ(A) set for the input state of round 2. For every word statei [j] (4 ≤
i ≤ 10, 0 ≤ j < nc ), we introduce a 0-1 variable Xi [j]. We say that the set of
0-1 variables {Xi [j] : 4 ≤ i ≤ 10, 0 ≤ j < nc } models the forward differential of
Qδ(A) in rounds (2 → 3 → 4) if the following conditions are satisfied.
– Conditions for state4 (the starting point of the forward differential, which is
also the input of round 2) : ∀j ∈ A, X4 [j] = 1 and ∀j ∈
/ A, X4 [j] = 0
– Conditions for rounds (2 → 3 → 4): Xi [j] = 0 (5 ≤ i ≤ 10, 0 ≤ j < nc ) if and
only if ∀Qk ∈ Qδ(A) , Q0 ⊕ Qk (statei [j]) = 0
Similarly, as depicted in Fig. 4, we say that the set of variables {Xi [j] : 0 ≤
i ≤ 4, 0 ≤ j < nc } models the backward differential of Qδ(A) in rounds (1 → 0)
if the following conditions are satisfied.
– Conditions for state4 (the starting point of the backward differential, which
is also the output of round 1): ∀j ∈ A, X4 [j] = 1 and ∀j ∈
/ A, X4 [j] = 0
– Conditions for rounds (1 → 0): Xi [j] = 0 (0 ≤ i < 4, 0 ≤ j < nc ) if and only
if ∀Qk ∈ Qδ(A) , Q0 ⊕ Qk (statei [j]) = 0
state0
NL
state1 Round 0
state2
NL
state3 Round 1
L
A
state4
NL
state5 Round 2
state6
NL
state7 Round 3
state8
NL
state9 Round 4
state10
Fig. 4. Forward/backward differential illustrated on a 5-round keyed permutation
Let us give a concrete example. Let A = [3] and Qδ(A) = {(0, 0, 0, x) ∈ (F82 )4 :
x ∈ F82 }. Then the set of variables Xi [j] with 0 ≤ i ≤ 6 and 0 ≤ j < 4 shown in
Fig. 5 models forward differential of Qδ(A) in rounds (0 → 1 → 2) if we impose
the following constraints on Xi [j]. Since the values in Qδ(A) are active at the
third byte, we have X0 [0] = X0 [1] = X0 [2] = 0, X0 [3] = 1. For the S-layers in the
toy cipher, we have X2i [j] = X2i+1 [j], 0 ≤ i ≤ 2, 0 ≤ j < 4. For the linear layers,
we enforce 3X2(i+1) [j] − X2i+1 [j + 1] − X2i+1 [j + 2] − X2i+1 [j + 3] ≥ 0 to ensure
that X2(i+1) [j] will be equal to 1 when any one of X2i+1 [j + 1], X2i+1 [j + 2],
X2i+1 [j + 3] is 1. We also add the constraint
X2i+1 [j + 1] + X2i+1 [j + 2] + X2i+1 [j + 3] − X2(i+1) [j] ≥ 0
to dictate that X2(i+1) [j] must be 0 when all of X2i+1 [j + 1], X2i+1 [j + 2],
X2i+1 [j + 3] are 0, where 0 ≤ i ≤ 2, 0 ≤ j < 4 and the indexes are computed
modulo 4. With these constraints, the Xi [j] variables propagate in a pattern
depicted in Fig. 5.
Another random document with
no related content on Scribd:
donneront des secours immédiats aux blessés; enfin elles
prépareront à nos braves soldats la soupe et le café.
«Dans le corps de fonctionnaires militaires chargés de
l’administration et de la comptabilité de la guerre on pourrait, au
grand bénéfice de nos effectifs, substituer les femmes aux
hommes.
«Il faut que les sauvages Allemands qui veulent nous faire la
guerre sachent bien que derrière les hommes de France, ils
trouveront à la frontière les femmes prêtes à combattre, prêtes à
mourir pour garder à la patrie française sa gloire et son
intégralité.»
Son intuition lui avait tout révélé: la guerre d’extermination, notre

obligation de vaincre; les femmes employées par milliers au ministère de
la guerre pour remplacer des combattants; dans les usines, où elles firent
merveille; dans les bureaux; dans les transports, partout, elles donnèrent
satisfaction. De même les infirmières qui ont eu un rôle admirable dans
les ambulances, et les femmes des pays envahis qui ont supporté si
courageusement l’occupation de leur pays par les barbares modernes qui
ne leur ont épargné aucune privation, ni aucune injure.
Le 8 avril 1914 elle mourut. Les féministes l’accompagnèrent à sa
dernière demeure au Père-Lachaise. Les oratrices rappelèrent sur sa
tombe ses luttes pour arriver à implanter dans l’esprit de ses
contemporains l’idée que la femme avait les mêmes droits que l’homme à
faire les lois de son pays et à le gouverner.
Alfred Capus a évoqué son souvenir dans le Figaro du 13 avril 1914:
«La question du suffrage des Femmes fut posée pour la

première fois avec un certain tapage, par Mme Hubertine Auclert-
Lévrier dont la mort vient d’évoquer cette lointaine époque. Une
jeune personne avec de grands yeux noirs, le teint chaud, de
beaux traits un peu durs et, en toute sa physionomie, une sorte
d’énergie timide. Tel est le souvenir que je retrouve de celle qui
s’appelait alors Hubertine Auclert. Elle avait tout ce qu’il faut pour
voter, mais elle ne manquait point cependant de finesse dans son
exubérance ni de tact; et quoique atteinte de bonne heure de
féminisme intégral, elle ne cherchait pas le scandale et passait
pour avoir des mœurs pures».
I
La réforme électorale
«Les droits politiques sont l’axe de la

question féministe.»
Hubertine Auclert.
A la veille de la révolution du 24 février 1848 qui donna le suffrage à

tous les hommes, M. Thiers disait au roi Louis-Philippe: «Il faut de toute
nécessité la réforme électorale, le cercle est réellement trop étroit, il
permet à un petit nombre d’exploiter tous les avantages administratifs.»
Aujourd’hui, les femmes peuvent tenir aux actuels détenteurs du
pouvoir le langage que M. Thiers tenait au roi en 1848. La situation n’est
pas changée. Le système d’exclusion qui retranche net du suffrage la
moitié et plus de la nation, donne à un petit nombre, aux hommes
électeurs, non seulement tous les avantages administratifs, tous les
bénéfices sociaux: la considération, les honneurs, les hautes fonctions,
les grosses sinécures, mais encore le droit de disposer du budget et de
régir dans leur intérêt la société.
Les législateurs tenant leur pouvoir des hommes règlent tout en faveur
des hommes contre les femmes non représentées au parlement.
Sont électeurs tous les Français âgés de 21 ans, et n’étant dans aucun
cas d’incapacité prévu par la loi.
Les femmes comprises dans le terme français pour être contribuables,
ne peuvent point ne pas être comprises dans le terme français pour être
électeurs.
On interprète différemment, pour les femmes, le terme générique de
français employé par la loi et l’on donne à cette loi une traduction
contradictoire. La loi ne stipule pas que les femmes ne sont pas électeurs,
elle est simplement muette à leur égard. Le mutisme de la loi permet de
lui donner une interprétation contradictoire. Les hommes font dire à la loi
que les femmes ne doivent pas nommer de représentants, et ils font
calculer d’après le nombre des habitants femmes et hommes, le nombre
des sièges législatifs.
Ce qu’il y a de plus pressé à réformer dans la loi électorale: c’est le
mensonge sur lequel elle repose. Ou bien on doit rendre le suffrage
réellement universel en appelant les femmes à l’exercer; ou, si l’on
continue à exclure les Françaises du suffrage, on doit prendre pour base
de l’élection des députés, non plus les habitants, mais les électeurs.
Les habitants de la France sont 38 millions 961 mille et les électeurs
11 millions 787 mille. Or, tant que les électeurs sont représentés, il est
inutile de donner une représentation fictive aux Françaises, qui ne
peuvent avoir leurs intérêts défendus par des législateurs auxquels elles
n’ont pas conféré de mandats.
Avant le scrutin de liste, avant la représentation proportionnelle, la
représentation intégrale de la nation doit d’abord être assurée par le droit
octroyé aux françaises de se faire représenter dans les assemblées
administratives et législatives.
Les femmes ont dans toutes les sphères de l’activité humaine
d’importants intérêts engagés. Eh bien, tous ces intérêts sont laissés à
l’abandon, les femmes n’ayant au Parlement personne pour les défendre.
Tant que les femmes ne votent pas, le parlement n’est pas l’image du
pays. Il ne représente pas le complet élément national et ne fournit à la
France qu’une représentation défigurée.
Pour que la représentation de la France soit la synthèse organique de
toutes les forces vives de la Patrie habitée par des hommes et des
femmes, il faut qu’elle soit composée de femmes et d’hommes.
Ni l’âme française, ni l’esprit français, ni tous les intérêts français ne
sont complètement représentés au parlement tant que les femmes n’ont
pas de mandataires à la Chambre et au Sénat.
Toute la volonté, toute l’énergie, toutes les facultés intellectuelles
françaises ne fonctionnent pas, n’agissent pas, la représentation nationale
est faussée tant que les femmes sont laissées sans représentants.
Entre la représentation restreinte aux hommes et la représentation
intégrale des majeurs des deux sexes qui constituent la nation, il n’y a pas
à hésiter.
Exempte-t-on des charges et des pénalités les femmes que l’on exclut
des droits? Non.
Défalquera-t-on les femmes des hommes lorsqu’il s’agira d’appliquer
l’impôt sur le revenu? Non.
Pourquoi, alors, défalque-t-on les femmes des hommes quand il s’agit
de conférer des mandats administratifs et législatifs.
Pour procéder ainsi, on ne peut alléguer l’indignité du sexe féminin, car
même les hommes incapables de se conduire, qui sont pourvus d’un
conseil judiciaire, restent électeurs et éligibles, représentés et
représentants. Il y a à la Chambre des interdits, auxquels on a ôté la libre
disposition de leurs biens propres, pour leur donner la libre disposition de
la fortune publique.
Quand les interdits eux-mêmes peuvent faire la loi en les salles de
vote et au Palais-Bourbon, est-il admissible que les femmes de haute
valeur morale et intellectuelle, qui se distinguent dans les sciences, les
lettres, les arts, le commerce, l’industrie soient tenues hors du droit
commun politique?
La loi électorale doit se dégager de l’imposture du mensonge, elle doit
universaliser aux femmes le suffrage et ainsi assurer la représentation
intégrale de la nation formée d’hommes et de femmes.
Rien n’est moins universel que le suffrage baptisé ainsi puisqu’il exclut
avec toutes les femmes, les hommes militaires, les hommes condamnés,
les hommes absents de leur domicile ou non résidents depuis six mois.
Pour rendre le suffrage réellement universel il faut faire voter les
françaises comme les français.
Les femmes soumises à l’impôt doivent en contrôler l’emploi afin de
n’être point lésées. Les femmes soumises aux lois doivent contribuer à les
faire afin de ne point en être victimes.
Les hommes qui ne parviennent point à hisser au pouvoir leurs
candidats souffrent peu dans leurs intérêts, car par le fait de la solidarité
de sexe, les non représentés bénéficient de la loi faite pour tout le sexe
masculin; tandis que les femmes sont sacrifiées tant que le sexe féminin
n’est pas représenté à la chambre parce que les lois faites par les
hommes pour les hommes sont faites contre les femmes.
De même que des ministres ont longtemps empêché de voter la loi sur
le divorce en disant que le divorce intéressait peu les hommes puisqu’ils
peuvent librement pratiquer l’adultère, des ministres empêchent de voter
les droits politiques des femmes en rappelant aux hommes qu’ils sont eux
pourvus des droits politiques, que dès lors la réforme n’offre nul intérêt.
Cependant, on ne changera l’orientation du pays, qu’en faisant
intervenir les femmes dans les affaires publiques, car quand les femmes
voteront, les révolutionnaires ne formeront pas comme maintenant la
presque totalité des électeurs, et les riches candidats ne seront pas dans
l’obligation d’adopter leur programme pour se faire agréer par eux.
(Pour se faire élire députés, de riches bourgeois se déclarent
anarchistes et pour préparer leur candidature, des lycéens distribuent des
placards antimilitaristes.)
Si des députés millionnaires disent aux travailleurs qu’ils doivent
réserver leurs forces et leurs armes pour la guerre intérieure qui mettra à
bas le régime capitaliste, et recourir à l’insurrection, à la grève générale
plutôt que de défendre le territoire, c’est parce qu’ils savent que les
électeurs sont en majorité révolutionnaires. Que l’on fasse voter les
femmes qui ramèneront aux urnes leurs frères, leurs maris et ce fort
contingent révolutionnaire avec lequel les députés candidats auront à
compter les fera immédiatement changer de langage. Le gouvernement
de la France est devenu une affaire commerciale dont chacun des
participants veut tirer profit.
Les députés sont seulement préoccupés de se maintenir au pouvoir.
Aussi pour eux, les femmes, sont des électeurs indésirables puisque
comptés pour créer les sièges législatifs. Spoliées du bulletin de vote,
elles n’ont pas de fiefs électoraux à concéder.
Au lieu d’isoler les femmes du corps social dont elles font partie, on
grandirait notre pays en utilisant leur énergie et leur force cérébrale.
Dans toutes les entreprises, la coopération des femmes est escomptée
comme une condition de succès. Pourquoi se prive-t-on du concours
féminin quand il s’agit de résoudre les grands problèmes sociaux qui
réaliseront les aspirations de l’humanité?
Pendant que les législateurs se disputent à propos d’un mode de vote,
personne ne dit aux arrondissementiers et aux proportionnalistes, qu’il ne
s’agit pas de savoir comment ils s’y prendront pour recueillir, à leur profit,
les voix des électeurs, mais qu’il s’agit de faire représenter la France dont
la majorité des habitants est formée des femmes.
A l’heure où les gouvernants devraient pousser ce cri du capitaine qui
commande un navire en danger d’être coulé: Tout le monde à la
manœuvre, ce ne sera pas trop des français hommes et femmes pour
accomplir le remaniement social indispensable. On propose d’annihiler les
femmes en les faisant compter comme des pierres pour servir de
marchepied aux députés.
Le scrutin de liste réduit aux seuls hommes, comme le scrutin
d’arrondissement réduit aux seuls hommes, ne donnera que des résultats
stériles et sera désillusionnant pour la population.
Il faut avant tout supprimer la restriction apportée au suffrage comme
on a fait disparaître devant l’urne le privilège des riches. Il faut faire
disparaître devant l’urne le privilège des hommes en appelant les femmes
à exercer, au même titre qu’eux, leurs droits politiques.
Un suffrage restreint ne peut être même un simulacre de suffrage
universel.
La majorité de la nation formée des femmes subit le joug de la minorité
masculine. C’est cette dérogation à la loi du nombre sur lequel repose
l’ordre social, qui cause l’anarchie actuelle.
Les assemblées délibérantes ne peuvent s’occuper sérieusement des
réformes sociales tant qu’il sera interdit aux femmes qui sont la majorité
des intéressés français de formuler leur desideratum.
On a dit que si la France pouvait entrer dans l’enceinte de la Chambre,
les minorités y seraient. Les femmes y seraient encore bien plus visibles
que les minorités, puisque le nombre des femmes est supérieur à celui
des hommes représentés ou non.
Quand des individus s’associent pour exploiter une industrie, quelque
soit le sexe des individus, ils recueillent de l’association les mêmes
bénéfices.
Pourquoi dans la société constituée par l’agglomération humaine, les
femmes et les hommes qui apportent les mêmes enjeux et qui encourent
les mêmes responsabilités n’auraient-ils pas les mêmes avantages et les
mêmes droits?
Les femmes intervenant dans les affaires publiques, ce serait, dans
l’organisme social, une transfusion du sang neuf qui donnerait à notre
nation vieillie la vigueur des peuples jeunes, et lui inculquerait le désir
violent de rester libre.
Puisque les hommes seuls n’ont pu instaurer une vraie république, il
faut que les femmes secondent, renforcent les hommes, et que le renfort
d’une élite femme régénère les pouvoirs publics.
Ce meilleur facteur du bonheur humain, la femme, ne peut être
empêchée d’actionner les rouages de la machine gouvernementale.
La prospérité ne régnera en France que quand l’homme dans la salle
de vote et dans les assemblées délibérantes sera secondé par la femme
dont est si grande la puissance d’intuition et d’utilisation.
Les hommes sont sans les femmes, misérables dans l’état, comme ils
sont sans les femmes misérables dans la maison.
II
Le vote et l’éligibilité pour les femmes
«Le suffrage universel ne peut pas signifier

perpétuellement l’exclusion du suffrage de la
moitié de la nation.»
H. Auclert.
La Constitution de 1791 a distingué la qualité politique du citoyen de la

qualité civile du Français. Nous voulons pour la femme et la qualité civile
du Français et la qualité politique du citoyen, avec la souveraineté qui
découle du vote et de l’éligibilité. Et même—cela paraîtra peut-être
audacieux à quelques-uns—l’examen des événements passés et
l’observation des événements présents nous font subordonner
l’affranchissement civil de la femme à son affranchissement politique. Ceci
exige un mot d’explication.
Qu’entend-on par affranchissement civil de la femme?
Par affranchissement civil de la femme, on entend l’abrogation d’une
foule de lois vexatoires qui mettent la femme hors la justice et hors le droit
commun.
C’est la loi sur le mariage qui fait de la femme mariée et de ses biens
la chose du mari.
C’est la loi sur la tutelle[9] qui pour exclure les femmes—hormis les
mères et les ascendantes—de la tutelle et des conseils de famille, n’hésite
pas à les classer avec les repris de justice et les fous.
C’est la loi humiliante qui, pour attestation civile verbale ou écrite,
assimile les femmes aux hommes imbéciles et aux hommes déchus de
leurs droits. Les femmes ne seront reçues à témoigner, ni dans un acte de
naissance, ni dans un acte de mariage, ni dans un acte de vente. Que dis-
je? Une femme n’est pas même admise à certifier l’identité d’une autre
femme pour la légalisation d’une signature[10].
Si les femmes avaient été présentes dans les assemblées législatives,
elles ne se seraient pas vu attribuer, en même temps que la qualification
de mineures, le plus de charges, le moins de droits.
Par affranchissement civil de la femme, en un mot, on entend
l’abrogation de toutes les lois d’exception qui dégagent les hommes des
responsabilités et chargent les femmes des plus lourds fardeaux.
Quels sont ceux qui peuvent abroger les lois iniques qui oppriment les
femmes dans la vie civile?
Ce sont les électeurs et les législateurs, c’est-à-dire, ceux-là seuls qui
font ou qui commandent de faire les lois. Voilà un point bien établi.
Maintenant, qu’est-ce que l’affranchissement politique de la femme?
C’est l’avènement de la femme au droit qui confère le pouvoir de faire
les lois, par soi-même si l’on est élu député, par délégation si l’on est
électeur.
Donc il est de toute évidence que le droit politique est pour la femme la
clef de voûte qui lui donnera tous les autres droits.
Quand les femmes pourront intervenir dans les affaires publiques, leur
premier soin sera de réprimer l’injuste législation. Leur premier acte sera
d’user du droit qu’elles auront de changer leur sort.
Mais tant que la femme n’a pas le pouvoir d’infirmer les lois qui
l’oppriment, sur qui compterait-elle pour le faire?
Sur l’homme?
Eh! c’est l’homme qui a établi les lois actuelles et ces lois ne le gênent
pas, bien au contraire. Elles lui donnent toutes facilités pour nous gêner.
Aussi, au lieu de supprimer ces lois qui rendent la femme esclave,
l’homme s’occupe d’en créer qui élargissent encore son horizon. Dans ce
pays où l’on compte dix-neuf millions de souverains—les hommes—et dix-
neuf millions et plus d’esclaves—les femmes—les réformes que les
hommes regardent comme essentielles sont des réformes qui leur
octroient de nouveaux privilèges.
Ceci fait, qu’il est hors de doute pour nous, que tant que la femme ne
possédera pas cette arme—le vote—elle subira le régime du droit
masculin. Tous ses efforts seront vains pour conquérir ses libertés civiles
et économiques.
Ce qu’il faut aux femmes pour s’affranchir de la tyrannie masculine—
faite loi—c’est la possession de leur part de souveraineté; c’est la qualité
de citoyenne française; c’est le bulletin de vote.
La femme citoyenne, c’est-à-dire la femme investie des plus hauts
droits sociaux, aura par la liberté, sa dignité rehaussée, par le sentiment
de sa responsabilité, son caractère augmenté.
La femme citoyenne se relèvera promptement de sa fâcheuse situation
économique. L’Etat et la législation ne l’inférioriseront plus. L’instruction de
la femme étant comme celle de l’homme essentiellement utilitaire, toutes
les carrières, toutes les professions lui seront accessibles, et, quelque soit
son travail, la femme ne le verra plus déprécié sous le prétexte ridicule
qu’il émane d’une femme.
La femme investie des plus hauts droits sociaux, la femme citoyenne
quintuplera l’efficacité de son influence maternelle; elle aura le pouvoir de
doter les générations d’une si grande hauteur de vues morales, que dans
les rapports humains, la fraternité se substituera à l’égoïsme, et dans la
société—l’harmonie—aux tiraillements actuels.
Tant que la femme n’aura pas le pouvoir d’intervenir partout où ses
intérêts sont en jeu pour les défendre, un changement dans la condition
politique ou économique de la société ne remédierait pas à son sort. Nous
pouvons appuyer cette allégation par des faits. Depuis un siècle, plusieurs
révolutions politiques ont eu lieu. Les femmes s’y sont plus ou moins
mêlées. Elles ont partagé les dangers de la bataille, mais elles n’ont eu de
la victoire ou de la défaite des opinions qui divisent les hommes, aucun
avantage.
Un changement de l’ordre social économique n’affranchirait pas la
femme, car bien que tous les jours la question économique soit résolue
pour un petit nombre de personnes, la condition de la femme est chez les
favorisés de la fortune, le lendemain, le même que la veille. Il y a en
France des femmes pauvres et des femmes millionnaires. Eh bien! les
femmes millionnaires sont soumises aux mêmes lois tyranniques que les
femmes pauvres. Toutes les femmes souffrent ou peuvent souffrir de la
législation actuelle.
Donc toutes les femmes de quelque opinion et de quelque condition
qu’elles soient, toutes les femmes sont intéressées à posséder le pouvoir
d’abroger les lois qui les infériorisent et les asservissent.
La puissance du vote
Avant de réfuter les objections qu’on oppose à l’électorat et à

l’éligibilité de la femme, il est important de montrer la valeur des droits
civiques afin qu’éclairées sur le pouvoir que leur donnerait la possession
de ces droits pour s’affranchir, les femmes emploient toute leur énergie à
la conquérir.
Démontrons tout d’abord que le petit carré de papier qu’on appelle un
bulletin de vote, est bien réellement pour chacun de ceux qui le
possèdent, une part de puissance nationale, une part de domination, une
part d’autorité qui fait loi.
Les législateurs sont pleins de condescendance pour le moindre de
leurs électeurs, parce qu’ils savent le nombre de voix qu’il leur faut pour
être député et que mécontenter un seul électeur, perdre une seule voix, ce
serait diminuer leur chance d’être réélus.
La puissance électorale s’affirme donc dans le désir qu’ont les députés
de donner en toutes choses satisfaction à leurs mandants. Même pour
leurs affaires privées, les hommes peuvent obtenir des avantages par la
simple autorité de leur vote.
La puissance du vote s’affirme dans le pacte contracté entre les
mandataires et les mandants influents. Tout le monde a remarqué le
nombre énorme de déplacements de fonctionnaires mâles aux
lendemains d’élections: c’est l’accomplissement des promesses faites qui
se réalisent. Les Députés s’empressent d’obtenir de l’avancement pour
les instituteurs qui les ont servis, qui peuvent encore les servir dans les
futures élections.
Mais ils ne s’occupent pas de donner de l’avancement aux femmes,
aux institutrices, parce que les institutrices ne sont pas électeurs et ne
peuvent, par conséquent, jouir d’influences électorales.
Enfin la puissance du vote s’affirme dans la faveur qui est attachée à la
carte d’électeur. Un homme peut se présenter n’importe où sur le visa de
ce certificat d’honorabilité—la carte d’électeur—il est partout bien accueilli.
Tandis que les femmes n’étant pas électeurs sont convaincues
d’indignité et exclues comme des aventurières de toutes les assemblées
politiques sérieuses. Quand, pour des réunions, des conférences, des
tenues blanches, des banquets, les hommes veulent bien se départir,
envers les femmes, de leur système d’exclusion et les honorer du: «Les
Dames sont admises», soyez tranquille. Ce n’est pas par intérêt pour elles
qu’on les invite; c’est par intérêt pour les recettes.
L’électorat est pour celui qui le possède un véritable droit de
souveraineté. Certes, les hommes sont loin d’avoir su utiliser ce droit de
souveraineté. Mais, parce que ce levier, ce talisman,—le vote—est resté
infructueux dans leurs mains, ils ne sont pas reçus à dire aux femmes que
le droit électoral est une non-valeur, une duperie qu’elles ne doivent ni
envier ni réclamer parce qu’il ne saurait rien leur procurer.
Les femmes savent d’ordinaire bien mieux que les hommes tirer parti
de ce qui leur appartient.
On a tous les jours dans l’ordre social économique cet exemple sous
les yeux: Deux individus, un homme et une femme, ont pour le même laps
de temps, la même somme d’argent à dépenser. Avec cette somme,
invariablement, la femme trouvera le moyen d’être aisée, l’homme le
moyen d’être pauvre.
Ce qui existe dans l’ordre économique existera dans l’ordre politique.
Le pouvoir souverain, qui a peu de valeur dans la main de l’homme, sera
un moteur puissant dans la main de la femme.
Si avec sa souveraineté électorale, l’homme n’a pas su faire une
organisation sociale plus harmonique, qu’il ne s’en prenne donc pas au
vote. Qu’il s’en prenne à lui-même qui n’a pas su utiliser son vote. Qu’il se
dise que le suffrage restreint aux hommes ne pourra jamais produire les
résultats d’un suffrage véritablement universel!
Nous sommes fondé à croire que l’homme a conscience de son
incapacité utilisatrice du pouvoir qu’il possède. Sans cela, lui qui dénie
tant au vote sa valeur, réclamerait-il si haut, quand pour un motif
quelconque, il est exclu du corps électoral.
Si le droit électoral était une non-valeur, dans les pays où ce droit
n’existe pas, ou existe avec des restrictions, les hommes de toutes les
opinions le revendiqueraient-ils?
Si le suffrage était un leurre, les socialistes feraient-ils dans tous les
pays où il n’existe pas, l’agitation en faveur du suffrage universel, si le
suffrage universel n’était pas l’espoir sur lequel ils fondent toutes les
espérances de réformes.
Si le droit de suffrage ne conférait pas un vrai pouvoir, y aurait-il eu un
mouvement si considérable chez tant de peuples en faveur du suffrage
universel?
Non, non, les hommes de tous ces pays ne se trompent pas; le
suffrage est bien réellement pour tous ceux qui le possèdent le droit
d’avoir la main au gouvernail.
Pourquoi donc conseille-t-on aux femmes—les femmes ont plus
besoin que n’importe quel homme d’avoir la main au gouvernail pour
infirmer les lois qui les oppriment—pourquoi donc conseille-on aux
femmes de se désintéresser du droit de suffrage?
Ce qui est bon pour un sexe serait-il mauvais pour l’autre? Que les
femmes se méfient de ces faux conseils.
Les hommes qui sont occupés du seul intérêt des hommes, voudraient
que les femmes se préoccupent aussi du seul intérêt masculin—oh! ils
couvrent leur égoïsme de fleurs, ils appellent l’intérêt de l’homme, l’intérêt
de l’humanité—et les femmes, ces généreuses, se laissent prendre à ce
stratagème. Elles se détournent de leur objectif—leurs droits—elles aident
aux hommes à s’arroger d’autres privilèges et se font ainsi
insoucieusement les instruments de leur propre esclavage. Car il est à
remarquer que plus l’homme s’élève, plus il écrase la femme du poids de
son despotisme.
Dans cette société tout entière organisée contre elles, les femmes
n’ont pas d’autres moyens d’avoir justice que d’obtenir le pouvoir de se
faire justice à elles-mêmes en participant à la confection des lois.
Les femmes n’ont pas d’autres moyens que le suffrage pour obtenir
leur place au soleil, l’autonomie de leur personne et la libre disposition de
ce qui leur appartient.
Cri d’alarme
L’analogie qu’il y a en France, entre la situation économique et

politique d’aujourd’hui et celle d’il y a un siècle, frappe les moins
clairvoyants.
Les pouvoirs publics n’ont plus ni prestige, ni autorité. Bien qu’on ait
fortement escompté la fortune des futures générations, la caisse nationale
est dilapidée par l’imprévoyance et le gaspillage masculin, et la France est
comme il y a un siècle, acculée à la banqueroute.
Comme en 1789 le peuple qui veut la fin du favoritisme et du désordre,
demande à grands cris des réformes; mais pas plus que le roi Louis XVI,
les 800 dictateurs qui siègent à la Chambre et au Sénat ne peuvent, ni ne
veulent, faire ces réformes. De là, aujourd’hui comme il y a cent ans,
l’universel mécontentement de la nation.
Le gouvernement a bien changé d’étiquette. Mais notre République, au
lieu d’aider les petits à acquérir leur plus-value, n’est, comme la
monarchie d’alors, qu’ouverte aux favorisés de la fortune. Et en leurrant
tous et toutes de promesses, elle ne donne rien en définitive qu’à ceux qui
n’ont besoin de rien.
Les hommes au pouvoir se querellent, non pas comme ils essaient de
le faire croire pour leurs opinions. Ils se querellent pour leurs intérêts. Ce
qui le démontre bien, c’est que quand il s’agit de la moindre réforme, la
plupart des républicains emboîtent le pas aux réactionnaires.
De même qu’en 1789, il y a aujourd’hui en France, lutte à mort entre le
passé et l’avenir, entre les égoïstes qui entendent faire stationner
l’humanité devant leurs appétits satisfaits, et l’avant-garde généreuse qui
veut arracher au progrès et à la science le moyen d’alléger les maux de la
tourbe des déshérités.
La France civilisatrice ne peut sortir triomphante de cette période
d’enfantement, que si elle utilise toutes les initiatives. De même que dans
la mémorable crise de 1789, c’est l’intervention d’un agent nouveau qui a
sauvé la situation. Dans la crise identique d’aujourd’hui, l’intervention d’un
agent laissé de côté jusque là—la femme—qui a pour ainsi dire exprimé
en elle la quintessence du mal être social, forcera la main aux hommes
égoïstes et ouvrira l’ère d’une société appropriée aux besoins actuels de
l’humanité. Il y a cent ans, les nobles étaient moins opposés aux droits de
leurs serfs, que ces serfs émancipés sont aujourd’hui opposés au droit
des femmes.
Mais pour que la femme puisse faire succéder au mal-être social
causé par l’incurie et la dilapidation masculine, le bien être résultant de
son économie et de sa bonne gestion. Pour que la femme puisse mettre
en jeu, dans l’état, comme dans la maison, ses inappréciables qualités, il
faut qu’elle en ait le pouvoir. Et ce pouvoir, elle ne peut le tenir que du
droit pour elle de s’immiscer dans la chose publique.
Pour que la civilisation remplace le déchaînement d’appétits des
fauves, il faut que la femme apporte sa suprême pitié, pour faire
contrepoids à l’égoïsme de l’homme dans la balance du monde.
Les hommes n’ayant pas su réfréner leurs vices pour établir la
République véritable, qui ne peut reposer que sur une sorte de
puritanisme, qu’on fasse donner les femmes! Les femmes qui ont
conservé intacte, à travers les générations, la vertu qui enfante
l’héroïsme, régénéreront l’humanité, sauveront le pays.
Quant au plus fort d’une bataille, le général d’une armée voit une aile
de ses troupes fléchir sous le feu de l’ennemi, il dépêche un estafette à
l’officier qui garde à distance un régiment d’élite avec cet ordre: Faites
donner la réserve!
Les troupes fraîches et reposées, tombent comme une avalanche sur
le corps des assaillants, elles le surprennent, le tournent, brisent ses
lignes, enfin décident de la victoire.
La France se trouve à l’heure actuelle dans le cas périlleux d’une
armée qui fléchit. La République saignée aux quatre veines n’est plus
qu’un tremplin où les partis joutent de fourberies et d’ambition.
L’idéal, la lutte des idées sont remplacés par la basse cupidité et
l’assoiffement des brutales jouissances.
Ces signes manifestes de dégénérescence et d’impuissance des
hommes démontre que l’heure psychologique est venue d’appeler au
gouvernement, comme on appelle sur les champs de bataille, les armées
de renfort: la réserve. Ici la réserve, l’armée de renfort ce sont les
femmes.
Mais, pour accomplir ce sauvetage et cette rédemption, il faut aux
femmes le pouvoir qu’ont les hommes: le droit de vote.
Si Jeanne d’Arc n’avait pas été armée, harnachée et hissée sur un
cheval, elle n’aurait jamais pu vaincre les Anglais. Si les femmes n’étaient
pas élevées à la dignité de citoyennes et armées du bulletin de vote, elles
ne pourraient vaincre les injustices criantes et les haines féroces qui
menacent de faire disparaître l’espèce humaine dans un formidable choc.
Quelques hommes savent bien qu’ils sont impuissants à changer la
situation actuelle, mais il veulent, quand même, garder leur position.
Périsse, s’écrient-ils, périsse la France plutôt que la domination
masculine! Hâtons-nous de dire que cet égoïsme est le fait du petit
nombre. Avant peu la majorité des électeurs aura le patriotisme de
déclarer, tout haut, ce qu’elle pense tout bas, à savoir:
Que rien ne va dans le monde, si la femme n’y met la main, et que,
puisque les hommes ne savent plus comment faire, ils doivent cesser
d’exercer, seuls, la maîtrise; laisser agir les femmes, car les femmes sur
lesquelles ils se reposent, de tout, dans la maison trouveront certainement
le moyen de tirer l’Etat d’embarras.

Download textbook Advances In Cryptology Asiacrypt 2018 24Th International Conference On The Theory And Application Of Cryptology And Information Security Brisbane Qld Australia December 2 6 201 2 ebook all chapter pdf

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Download textbook Advances In Cryptology Asiacrypt 2018 24Th International Conference On The Theory And Application Of Cryptology And Information Security Brisbane Qld Australia December 2 6 201 2 ebook all chapter pdf

Uploaded by

Copyright:

Available Formats

Advances in Cryptology – ASIACRYPT

2018: 24th International Conference on

Advances in Cryptology – ASIACRYPT 2018: 24th

Advances in Cryptology – ASIACRYPT 2018: 24th

Advances in Cryptology – ASIACRYPT 2018: 24th

Advances in Cryptology ASIACRYPT 2019 25th

Advances in Cryptology ASIACRYPT 2019 25th

Advances in Cryptology ASIACRYPT 2019 25th

Advances in Cryptology ASIACRYPT 2020 26th

Advances in Cryptology ASIACRYPT 2020 26th

ISSN 0302-9743 ISSN 1611-3349 (electronic)

Library of Congress Control Number: 2018959424

LNCS Sublibrary: SL4 – Security and Cryptology

© International Association for Cryptologic Research 2018

December 2018 Thomas Peyrin

The 24th Annual International Conference on Theory

Sponsored by the International Association for Cryptologic Research (IACR)

December 2–6, 2018, Brisbane, Australia

Atul Luykx Visa Research, USA

Behzad Abdolmaleki Paulo Barreto

Olivier Blazy Rafael Dowsley

Thang Hoang Xiangyu Li

Wakaha Ogata André Schrottenloher

Antonia Wachter-Zeh Scott Yilek

Local Organizing Committee

Leonie Simpson QUT, Australia

Programming the Demirci-Selçuk Meet-in-the-Middle Attack

New MILP Modeling: Improved Conditional Cube Attacks

On the Concrete Security of Goldreich’s Pseudorandom Generator . . . . . . . . 96

Public Key and Identity-Based Encryption

A Framework for Achieving KDM-CCA Secure Public-Key Encryption . . . . 127

Understanding and Constructing AKE via Double-Key Key

Identity-Based Encryption Tightly Secure Under

Short Digital Signatures and ID-KEMs via Truncation

Asiacrypt 2018 Award Paper I

Tighter Security Proofs for GPV-IBE in the Quantum Random

New Instantiations of the CRYPTO 2017 Masking Schemes . . . . . . . . . . . . 285

Statistical Ineffective Fault Attacks on Masked AES

Tight Private Circuits: Achieving Probing Security with the Least

Attacks and Countermeasures for White-box Designs . . . . . . . . . . . . . . . . . 373

Signatures with Flexible Public Key: Introducing Equivalence Classes

Compact Multi-signatures for Smaller Blockchains . . . . . . . . . . . . . . . . . . . 435

Multi-key Homomorphic Signatures Unforgeable Under

Attribute-Based Signatures for Unbounded Languages

Asiacrypt 2018 Award Paper II

How to Securely Compute with Noisy Leakage

Leakage-Resilient Cryptography from Puncturable Primitives

Functional/Inner Product/Predicate Encryption

Unbounded Inner Product Functional Encryption from Bilinear Maps . . . . . . 609

Adaptively Simulation-Secure Attribute-Hiding Predicate Encryption . . . . . . . 640

Improved Inner-Product Encryption with Adaptive Security

Decentralized Multi-Client Functional Encryption for Inner Product. . . . . . . . 703

Practical Fully Secure Unrestricted Inner Product Functional Encryption

Author Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

Abstract. Cryptanalysis with SAT/SMT, MILP and CP has increased

c International Association for Cryptologic Research 2018

attack. The whole process is accomplished on a PC in less than 2 h. The

Keywords: Demirci-Selçuk meet-in-the-middle attack

In addition, all supplementary materials referred later on are provided in an

Target Rounds Time Data Memory Method Ref

Deﬁnition 1. A set {P 0 , · · · , P N −1 } ⊆ Fcn 2

An r-round iterative block cipher E with r = r0 + r1 + r2 , depicted in Fig. 1,

a sequence of n bits or a sequence of nc c-bit words. Moreover, we make the

Assumption 1. Let the nonlinear layer in Fig. 1 be a parallel application of