CS-Cipher

Cs-cipher ( fr. Chiffrement Symètrique , symetrická šifra) je symetrický 64bitový [1] blokový šifrovací algoritmus dat [2] využívající délku klíče až 128 bitů [1] . Podle principu fungování se jedná o 8kolovou SP-síť [3] .

Historie

Cs-šifru vyvinuli v roce 1998 Jacques Stern a Serge Vaudenay [ 4 ] s podporou Compagnie des Signaux [ 5] . Byl předložen jako kandidát v projektu NESSIE programu Evropské komise IST ( Information Societies Technology ) v soutěžní skupině pro 64bitové blokové šifry [6] . Navzdory tomu, že studie nenašla žádné zranitelnosti [7] , nebyla šifra vybrána pro 2. fázi projektu [8] , protože se ukázala jako nejpomalejší ve své skupině [7] .

Základní označení

Použité funkce

Začněme s následujícím zápisem:

${\displaystyle P(x)=z_{l}\paralelní z_{r))$ - nezávislá permutace 8bitových řetězců [9] . Definováno jako tříkolová síť Feistel [10] :
- 8bitový vstupní řetězec je rozdělen na dva 4bitové ${\displaystyle x=x_{l}\paralelní x_{r))$
- $y=x_{l}\oplus f(x_{r})$
- $z_{r}=x_{r}\oplus g(y)$
- $z_{l}=y\oplus f(z_{r})$
- Výsledkem je řetězec ${\displaystyle z=z_{l}\paralelní z_{r))$
  - Funkce a jsou dány tabulkou: $f(x)$ $g(x)$

stůl a

f(x)

g(x)

X	0	jeden	2	3	čtyři	5	6	7	osm	9	A	b	C	d	E	F
$f(x)$	F	d	b	b	7	5	7	7	E	d	A	b	E	d	E	F
$g(x)$	A	6	0	2	b	E	jeden	osm	d	čtyři	5	3	F	C	7	9

Nakonec nastavte pomocí tabulky [11] :

P(x)

stůl

P(x)

xy	.0	.jeden	.2	.3	.čtyři	.5	.6	.7	.osm	.9	.A	.b	.C	.d	.E	.F
0.	29	0d	61	40	9c	eb	9e	8f	lf	85	5f	58	5b	01	39	86
jeden.	97	2e	d7	d6	35	ae	17	16	21	b6	69	4e	a5	72	87	08
2.	3c	osmnáct	e6	e7	fa	inzerát	b8	89	b7	00	f7	6f	73	84	jedenáct	63
3.	3f	96	7f	6e	bf	čtrnáct	9d	ac	a4	0e	7e	f6	dvacet	4a	62	třicet
čtyři.	03	c5	4b	5a	46	a3	44	65	7d	4d	3d	42	79	49	1b	5c
5.	f5	6c	b5	94	54	ff	56	57	0b	f4	43	0c	4f	70	6d	0a
6.	e4	02	3e	2f	a2	47	e0	c1	d5	1a	95	a7	51	5e	33	2b
7.	5 d	d4	1d	2c	ee	75	ec	dd	7c	4c	a6	b4	78	48	3a	32
osm.	98	af	c0	e1	2d	09	0f	1e	b9	27	8a	e9	bd	e3	9f	07
9.	b1	ea	92	93	53	6a	31	deset	80	f2	d8	9b	04	36	06	8e
A.	být	a9	64	45	38	1c	7a	6b	f3	a1	f0	CD	37	25	patnáct	81
b.	fb	90	e8	d9	7b	52	19	28	26	88	fc	d1	e2	8c	a0	34
C.	82	67	da	cb	c7	41	e5	c4	c8	ef	db	c3	cc	ab	ce	vyd
d.	d0	bb	d3	d2	71	68	13	12	9a	b3	c2	ca	de	77	DC	df
E.	66	83	před naším letopočtem	8d	60	c6	22	23	b2	8b	91	05	76	srov	74	c9
F.	aa	f1	99	a8	59	padesáti	3b	2a	např	f9	24	b0	ba	fd	f8	55

Například 26 : $P($ $_{16})$
- $y=$ 2 6 2 7 5 $_{16}\oplus f($ $_{16})=$ $_{16}\oplus$ $_{16}=$ $_{16}$
- $z_{r}=$ 6 6e _ $_{16}\oplus g(y)=$ $_{16}\oplus$ $_{16}=8$
- $z_{l}=y\oplus f(z_{r})=$ 5 e b $_{16}\oplus$ $_{16}=$ $_{16}$
- Celkem: 26 b8 $P($ $_{16})=$ $_{16}$

$P^{8}(x)=P(x_{63..56})\paralelní P(x_{55..48})\paralelní P(x_{47..40})\paralelní P( x_{39..32})\paralelní P(x_{31..24})\paralelní P(x_{23..16})\paralelní P(x_{15..8})\paralelní P(x_{ 7..0})$ [9] - převod 64bitového řetězce, používaného pro generování klíčů a ve funkci round
$T(z)=z_{63}\paralelní z_{55}\paralelní \tečky \paralelní z_{7}\paralelní z_{62}\paralelní z_{54}\paralelní \tečky \paralelní z_{0}$ - bitová transpozice , v tomto případě se při generování klíčů používá transpozice matice [9] , složená z 8bitových řetězců. Funkce přijímá 64bitový řetězec jako vstup.
$R_{l}(x)$ - funkce cyklického bitového posunu doleva , v tomto případě vyžaduje 8bitový řetězec: $R(x_{7}\paralelní x_{6}\paralelní x_{5}\paralelní x_{4}\paralelní x_{3}\paralelní x_{2}\paralelní x_{1}\paralelní x_{0 })=x_{6}\paralelní x_{5}\paralelní x_{4}\paralelní x_{3}\paralelní x_{2}\paralelní x_{1}\paralelní x_{0}\paralelní x_{7}$
$\varphi (x)=(R_{l}(x)\land 55_{16})\oplus x$ - transformace [12] , používaná ve funkci round. Jako vstup přijímá 8bitový řetězec, pokud zjednodušíme, dostaneme [12] :
- $\varphi (x_{7}\paralelní x_{6}\paralelní x_{5}\paralelní x_{4}\paralelní x_{3}\paralelní x_{2}\paralelní x_{1}\paralelní x_{ 0})=x_{7}\paralelní (x_{6}\oplus x_{5})\paralelní x_{5}\paralelní (x_{4}\oplus x_{3})\paralelní x_{3}\paralelní (x_{2}\oplus x_{1})\paralelní x_{1}\paralelní (x_{0}\oplus x_{7})$
$\phi ^{'}(x)=(R_{l}(x)\land aa_{16})\oplus x$ - transformace [13] , sloužící k dešifrování. Jako vstup bere 8bitový řetězec.
$M(x)$ - transformace, použitá ve funkci round [12] , bere jako vstup 16bitové řetězce , výsledkem je 16bitový řetězec , v pořadí: ${\displaystyle x=x_{l}\paralelní x_{r))$ ${\displaystyle M(x)=y_{l}\paralelní y_{r))$
- $y_{l}=P(\varphi (x_{l})\oplus x_{r})$
- $y_{r}=P(R_{l}(x_{l})\oplus x_{r})$
$M^{-1}(y_{l}\paralelní y_{r})$ - konverze, používaná při dešifrování [13] , bere jako vstup 16bitové řetězce , výsledkem je 16bitový řetězec , v pořadí: ${\displaystyle y=y_{l}\paralelní y_{r))$ ${\displaystyle M^{-1}(y)=x_{l}\paralelní x_{r))$
- $x_{l}=\phi ^{'}(P(y_{l})\oplus P(y_{r}))$
- $x_{r}=R_{l}(x_{l})\oplus P(y_{r})$
$F_{c_{i}}(x)=T(P^{8}(x\oplus c^{i}))$ - používá se ke generování klíčů [9]

Algoritmové konstanty

Níže je uveden seznam konstant definovaných tvůrci algoritmu:

$c=$ b7e151628aed2a6a [14] , potřebné pro funkci round $_{16}$
$c^{'}=$ bf7158809cf4f3c7 [14] , vyžadováno pro kruhovou funkci $_{16}$
$c^{0}=$ 290d61409ceb9e8f [9] , potřebný pro generování klíče $_{16}$
$c^{1}=$ 1f855f585b013986 [9] , nutné pro generování klíče $_{16}$
$c^{2}=$ 972ed7d635ae1716 [9] , nutné pro generování klíče $_{16}$
$c^{3}=$ 21b6694ea5728708 [9] , požadovaný pro generování klíče $_{16}$
$c^{4}=$ 3c18e6e7faadb889 [9] , požadovaný pro generování klíče $_{16}$
$c^{5}=$ b700f76f73841163 [9] , potřebné pro generování klíče $_{16}$
$c^{6}=$ 3f967f6ebf149dac [9] , potřebný pro generování klíče $_{16}$
$c^{7}=$ a40e7ef6204a6230 [9] , potřebné pro generování klíče $_{16}$
$c^{8}=$ 03c54b5a46a34465 [9] , nutné pro generování klíče $_{16}$

Generování klíčů

Pokud je tajný klíč použitý v šifře menší než 128 bitů, pak jsou první bity vyplněny nulami [1] , takže v budoucnu budeme za tajný klíč považovat 128 bitů.

Algoritmus generování klíčů

Podle následujícího algoritmu se v šifře ze 128bitového klíče vygeneruje 9 podklíčů o velikosti 64 bitů: ${\displaystyle k^{0},k^{1},...,k^{8))$

zpočátku je klíč rozdělen na dvě 64bitové poloviny [2] , takže dostáváme počáteční parametry:

{\displaystyle k=k^{-1}\paralelní k^{-2))

Pro generování následných klíčů se používá opakující se vzorec [2] :

k^{i}=k^{i-2}\oplus F_{c^{i}}(k^{i-1})

Příklad generování klíče

Vezměme si příklad generování klíče, který popsali tvůrci CS-cipher [13] . Používá tajný klíč

k=

0123456789abcdeffedcba9876543210 .

_{16}

Podle výše uvedeného získáme počáteční parametry pro generování kulatých klíčů:

k^{-1}=

0123456789abcdef

_{16}

k^{-2}=

fedcba9876543210

_{16}

Zvažte generování klíčů podrobně : ${\displaystyle k^{0))$

k^{0}=k^{-2}\oplus F_{c_{0}}(k^{-1})=k^{-2}\oplus T(P^{8}(k ^{-1}\oplus c^{0}))=

=k^{-2}\oplus T(P^{8}(

0123456789abcdef 290d61409ceb9e8f

_{16}\oplus

_{16}))=

=k^{-2}\oplus T(

b711fa89ae0394e4 fedcba9876543210 bb21a9e2388bacd4

_{16})=

_{16}\oplus

_{16}

Konečný výsledek generovacího algoritmu:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Šifrování

Stručný popis šifrování

Každé kolo šifrování začíná operací XOR na příchozím 64bitovém řetězci a podklíči. Poté se 64bitový řetězec rozdělí na 4 16bitové řetězce, nad kterými proběhne nelineární transformace ( ). Řetězce jsou poté znovu rozděleny, tentokrát výsledkem je 8 8bitových řetězců, které jsou poté prohozeny. Tyto akce se v každém kole opakují ještě dvakrát, rozdíl je pouze v tom, že operace XOR nastává s danými konstantami, nikoli s vygenerovaným klíčem. Po posledním kole následuje dodatečná operace XOR se zbývajícím vygenerovaným klíčem [3] . $M(x)$

Formální popis algoritmu

Nejprve definujme:

${\displaystyle m^{i))$ - 64bitový řetězec, přichází na vstup funkce round v iteraci $R(x)$ $i$
$t^{i}=t_{63..56}^{i}\paralelní t_{55..48}^{i}\paralelní t_{47..40}^{i}\paralelní t_{ 39..32}^{i}\paralelní t_{31..24}^{i}\paralelní t_{23..16}^{i}\paralelní t_{15..8}^{i}\paralelní t_{7..0}^{i}$ - dočasná 64bitová hodnota vypočtená v kroku funkce round $i$
$S$ - 64bitový řetězec, finální šifrový text

Kulaté funkce

R(x)

Funkce round se skládá z následujících akcí [15] :

$t^{1}=x$
$t^{2}=M(t_{63..48}^{1})\paralelní M(t_{47..32}^{1})\paralelní M(t_{31..16} ^{1})\paralelní M(t_{15..0}^{1})$
$t^{3}=t_{63..56}^{2}\paralelní t_{47..40}^{2}\paralelní t_{31..24}^{2}\paralelní t_{ 15..8}^{2}\paralelní t_{55..48}^{2}\paralelní t_{39..32}^{2}\paralelní t_{23..16}^{2}\paralelní t_{7..0}^{2}$
$t^{4}=t^{3}\oplus c$
$t^{5}=M(t_{63..48}^{4})\paralelní M(t_{47..32}^{4})\paralelní M(t_{31..16} ^{4})\paralelní M(t_{15..0}^{4})$
$t^{6}=t_{63..56}^{5}\paralelní t_{47..40}^{5}\paralelní t_{31..24}^{5}\paralelní t_{ 15..8}^{5}\paralelní t_{55..48}^{5}\paralelní t_{39..32}^{5}\paralelní t_{23..16}^{5}\paralelní t_{7..0}^{5}$
$t^{7}=t^{6}\oplus c^{'}$
$t^{8}=M(t_{63..48}^{7})\paralelní M(t_{47..32}^{7})\paralelní M(t_{31..16} ^{7})\paralelní M(t_{15..0}^{7})$
$m^{i+1}=t^{9}=t_{63..56}^{8}\paralelní t_{47..40}^{8}\paralelní t_{31..24} ^{8}\paralelní t_{15..8}^{8}\paralelní t_{55..48}^{8}\paralelní t_{39..32}^{8}\paralelní t_{23.. 16}^{8}\paralelní t_{7..0}^{8}$

Šifrování

Šifrování se skládá z 8 kol, konečný 64bitový šifrovaný text lze vypočítat z fragmentu otevřeného textu pomocí vzorce [9] : $S$ $m$

S=k^{8}\oplus R(k^{7}\oplus \dots R(k^{1}\oplus R(k^{0}\oplus m)\tečky )

Kde je výše popsaná funkce round [10] . $R(x)$

Příklad šifrování prostého textu

Vezměme si příklad šifrování prostého textu popsaného tvůrci CS-šifry [13] . Používá následující tajný klíč a prostý text:

m^{0}=

0123456789abcdef

_{16}

k=

0123456789abcdeffedcba9876543210

_{16}

Tajný klíč odpovídá výše uvedenému příkladu generování kulatého klíče, tj. kulaté klíče byly vypočteny výše:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Průběžné výsledky pro výpočet : $m^{1}$

t^{3}=

d85c19785690b0e3

_{16}

t^{6}=

0f4bfb9e2f8ac7e2

_{16}

V kolech dostáváme následující hodnoty:

m^{1}=

c3feb96c0cf4b649

_{16}

m^{2}=

3f54e0c8e61a84d1

_{16}

m^{3}=

b15cb4af3786976e

_{16}

m^{4}=

76c122b7a562ac45

_{16}

m^{5}=

21300b6ccfaa08d8

_{16}

m^{6}=

99b8d8ab9034ec9a

_{16}

m^{7}=

a2245ba3697445d2

_{16}

V důsledku toho jsme obdrželi následující šifrovaný text:

S=

88fddfbe954479d7

_{16}

Dešifrování

Dešifrování se skládá z 8 kol, opak šifrování [16] . Je důležité, aby dešifrovací algoritmus používal vygenerované klíče v opačném pořadí, tj. [2] . Před zahájením probíhá operace . $k^{8},k^{7},k^{6},k^{5},k^{4},k^{3},k^{2},k^{1} ,k^{0}$ ${\displaystyle m^{0}=S\oplus k^{8))$

Pro pohodlí a konzistenci zápisu ještě jednou uvádíme:

$i$ - iterační číslo: od 0 do 7 včetně - celkem 8 kol
${\displaystyle m^{i))$ - 64bitový řetězec, přichází na vstup inverzní funkce round v iteraci, - prostý text $R^{-1}(x)$ $i$ $m^{8}$
${\displaystyle k^{7-i))$ - 64bitový generovaný klíč, přichází na vstup inverzní funkce round v iteraci $R^{-1}(x)$ $i$
$t^{i}=t_{63..56}^{i}\paralelní t_{55..48}^{i}\paralelní t_{47..40}^{i}\paralelní t_{ 39..32}^{i}\paralelní t_{31..24}^{i}\paralelní t_{23..16}^{i}\paralelní t_{15..8}^{i}\paralelní t_{7..0}^{i}$ - dočasná 64bitová hodnota vypočtená v inverzním kroku funkce round. $i$

Pro každé kolo se nazývá následující sekvence akcí [13] :

$t^{1}=m_{63..56}^{i}\paralelní m_{31..24}^{i}\paralelní m_{55..48}^{i}\paralelní m_{ 23..16}^{i}\paralelní m_{47..40}^{i}\paralelní m_{15..8}^{i}\paralelní m_{39..32}^{i}\paralelní m_{7..0}^{i}$

$t^{2}=M^{-1}(t_{63..48}^{1})\paralelní M^{-1}(t_{47..32}^{1})\ paralelní M^{-1}(t_{31..16}^{1})\paralelní M^{-1}(t_{15..0}^{1})$

$t^{3}=t^{2}\oplus c^{'}$

$t^{4}=t_{63..56}^{3}\paralelní t_{31..24}^{3}\paralelní t_{55..48}^{3}\paralelní t_{ 23..16}^{3}\paralelní t_{47..40}^{3}\paralelní t_{15..8}^{3}\paralelní t_{39..32}^{3}\paralelní t_{7..0}^{3}$

$t^{5}=M^{-1}(t_{63..48}^{4})\paralelní M^{-1}(t_{47..32}^{4})\ paralelní M^{-1}(t_{31..16}^{4})\paralelní M^{-1}(t_{15..0}^{4})$

$t^{6}=t^{5}\oplus c$

$t^{7}=t_{63..56}^{6}\paralelní t_{31..24}^{6}\paralelní t_{55..48}^{6}\paralelní t_{ 23..16}^{6}\paralelní t_{47..40}^{6}\paralelní t_{15..8}^{6}\paralelní t_{39..32}^{6}\paralelní t_{7..0}^{6}$

$t^{8}=M^{-1}(t_{63..48}^{7})\paralelní M^{-1}(t_{47..32}^{7})\ paralelní M^{-1}(t_{31..16}^{7})\paralelní M^{-1}(t_{15..0}^{7})$

${\displaystyle m^{i+1}=t^{9}=t^{8}\oplus k^{7-i))$

Statistické vyhodnocení šifrovaných dat

V průběhu účasti v projektu NESSIE bylo provedeno mnoho statistických testů na zašifrovaných datech [17] , včetně:

Maurerův univerzální statistický test [18]
Korelační test [19]
Test lineární složitosti [20]
Test sběratele kupónů [21]
Test shody překrývajících se vzorů [22]
Následný test [21]

V důsledku testování šifry nebyly zjištěny žádné odchylky od náhodného rozdělení [23] .

Kryptoanalýza

Markovova šifra

Předpokládejme, že máme kulatou šifru, šifrový text lze získat vzorcem: , ve kterém každé kolo používá svůj vlastní klíč . $r$ $S=Enc(x)=(\rho _{r}\circ ...\circ \rho _{1})(x)$ $\rho _{i}$ $k_i$

Pak Markovova šifra je šifra, pro kterou pro libovolné kolo a libovolné , a , máme [24] : $i$ $X$ $A$ $b$

$Pr_{k_{i}}[\rho _{i}(x\oplus a)\oplus \rho _{i}(x)=b]=Pr_{k_{i},X}[\rho _{i}(X\oplus a)\oplus \rho _{i}(X)=b]$

Definice analyzované šifry

Analýza využívá modifikovanou CS-šifru, dále jen CSC.

Získává se z CS-šifry následující substitucí:

pro šifrování používá CS-cipher následující sekvenci klíčů a konstant:

k^{0},c,c^{'},k^{1},c,c^{'},...,k^{7},c,c^{'},k ^{8}

. Pro usnadnění je přejmenujme na .

{\displaystyle k_{0},k_{1},...,k_{24))

Podle definice [25] se CSC získává z CS-šifry nahrazením sekvence získané generováním klíčů a konstant 1600bitovým rovnoměrně distribuovaným náhodným klíčem. ${\displaystyle k_{0},k_{1},...,k_{24))$ $k=(k_{0},k_{1},...,k_{24})$

Výsledná CSC šifra je 24 kruhová bloková Markovova šifra [26] .

Odolnost proti útokům

Pro šifru CSC bylo prokázáno následující:

odolnost vůči diferenciální kryptoanalýze [27]
odolnost vůči lineární kryptoanalýze [28]
Nemožná diferenciální odolnost proti kryptoanalýze [ 29 ]
odolnost vůči metodě zkrácené diferenciální kryptoanalýzy [ 30 ]

Proto se předpokládá, že CS-šifra:

odolný vůči diferenciální kryptoanalýze po 4 kolech šifrování [27]
odolný vůči metodě zkrácené diferenciální kryptoanalýzy [ 30 ]
odolný vůči lineární kryptoanalýze [30]
odolný vůči metodě nemožných diferenciálů ( anglicky Impossible Differential cryptanalysis ) po 6 kolech šifrování [29]

Implementace

Existuje implementace tohoto šifrovacího algoritmu v C [31] (poskytli autoři):

# definovat CSC_C10 0xbf # definovat CSC_C11 0x71 # definovat CSC_C12 0x58 # definovat CSC_C13 0x80 # definovat CSC_C14 0x9c # definovat CSC_C15 0xf4 # definovat CSC_C16 0xf3 # definovat CSC_C17 0xc7 uint8 tbp[256]={ 0x29,0x0d,0x61,0x40,0x9c,0xeb,0x9e,0x8f, 0x1f,0x85,0x5f,0x58,0x5b,0x01,0x39,0x86, 0x97,0x2e,0xd7,0xd6,0x35,0xae,0x17,0x16, 0x21,0xb6,0x69,0x4e,0xa5,0x72,0x87,0x08, 0x3c,0x18,0xe6,0xe7,0xfa,0xad,0xb8,0x89, 0xb7,0x00,0xf7,0x6f,0x73,0x84,0x11,0x63, 0x3f,0x96,0x7f,0x6e,0xbf,0x14,0x9d,0xac, 0xa4,0x0e,0x7e,0xf6,0x20,0x4a,0x62,0x30, 0x03,0xc5,0x4b,0x5a,0x46,0xa3,0x44,0x65, 0x7d,0x4d,0x3d,0x42,0x79,0x49,0x1b,0x5c, 0xf5,0x6c,0xb5,0x94,0x54,0xff,0x56,0x57, 0x0b,0xf4,0x43,0x0c,0x4f,0x70,0x6d,0x0a, 0xe4,0x02,0x3e,0x2f,0xa2,0x47,0xe0,0xc1, 0xd5,0x1a,0x95,0xa7,0x51,0x5e,0x33,0x2b, 0x5d,0xd4,0x1d,0x2c,0xee,0x75,0xec,0xdd, 0x7c,0x4c,0xa6,0xb4,0x78,0x48,0x3a,0x32, 0x98,0xaf,0xc0,0xe1,0x2d,0x09,0x0f,0x1e, 0xb9,0x27,0x8a,0xe9,0xbd,0xe3,0x9f,0x07, 0xb1,0xea,0x92,0x93,0x53,0x6a,0x31,0x10, 0x80,0xf2,0xd8,0x9b,0x04,0x36,0x06,0x8e, 0xbe,0xa9,0x64,0x45,0x38,0x1c,0x7a,0x6b, 0xf3,0xa1,0xf0,0xcd,0x37,0x25,0x15,0x81, 0xfb,0x90,0xe8,0xd9,0x7b,0x52,0x19,0x28, 0x26,0x88,0xfc,0xd1,0xe2,0x8c,0xa0,0x34, 0x82,0x67,0xda,0xcb,0xc7,0x41,0xe5,0xc4, 0xc8,0xef,0xdb,0xc3,0xcc,0xab,0xce,0xed, 0xd0,0xbb,0xd3,0xd2,0x71,0x68,0x13,0x12, 0x9a,0xb3,0xc2,0xca,0xde,0x77,0xdc,0xdf, 0x66,0x83,0xbc,0x8d,0x60,0xc6,0x22,0x23, 0xb2,0x8b,0x91,0x05,0x76,0xcf,0x74,0xc9, 0xaa,0xf1,0x99,0xa8,0x59,0x50,0x3b,0x2a, 0xfe,0xf9,0x24,0xb0,0xba,0xfd,0xf8,0x55, }; void enc_csc(uint8 m[8],uint8* k) { uint8 tmpx,tmprx,tmpy; int i; #define APPLY_M(cl,cr,adl,adr) \ code=tmpx=m[adl]^cl; \ kód=tmpx=(tmpx<<1)^(tmpx>>7); \ code=tmpy=m[adr]^cr; \ code=m[adl]=tbp[(tmprx&0x55)^tmpx^tmpy]; \ code=m[adr]=tbp[tmprx^tmpy]; for(code=i=0;i<8;i++,k+=8) { APPLY_M(k[0];k[1];0;1) APPLY_M(k[2];k[3];2;3) APPLY_M(k[4];k[5];4;5) APPLY_M(k[6];k[7];6;7) POUŽÍT_M(CSC_C00;CSC_C01;0;2) POUŽÍT_M(CSC_C02;CSC_C03;4;6) POUŽÍT_M(CSC_C04;CSC_C05;1;3) POUŽÍT_M(CSC_C06;CSC_C07;5;7) POUŽÍT_M(CSC_C10;CSC_C11;0;4) POUŽÍT_M(CSC_C12;CSC_C13;1;5) POUŽÍT_M(CSC_C14;CSC_C15;2;6) POUŽÍT_M(CSC_C16;CSC_C17;3;7) } for(code=i=0;i<8;i++) kód=m[i]^=k[i]; }

kód šifrovacího algoritmu v C

Autoři také shromáždili statistiku rychlosti šifrování dat, která se ukázala být rychlejší než DES [5] :

Rychlost šifrování dat CS-cipher

plošina	hodinová frekvence	rychlost šifrování
VLSI 1216n a 1mm	230 MHz	73 Mbps
VLSI 30000n a 15mm	230 MHz	2 Gbps
standardní C 32bit	133 MHz	2 Mbps
bit slice (Pentium)	133 MHz	11 Mbps
bitový řez (Alpha)	300 MHz	196 Mbps
Kód sestavy Pentium	133 MHz	8 Mbps
6805 montážní kód	4 MHz	20 kbps

Další vývoj

Na základě CS-šifry v roce 2004 od Toma St. Denis vyvinul 128bitovou šifru -cipher [32] . $CS^{2}$

Výsledná šifra byla testována a bylo zjištěno, že je odolná vůči:

lineární a diferenciální kryptoanalýza [33]
střihový útok a bumerangový útok [34]
spojený klíčový útok [34]

Poznámky

↑ 1 2 3 První zpráva o CS-Cipher, 2001 , str. jeden.
↑ 1 2 3 4 Cs-Cipher, 1998 , str. 190.
↑ 1 2 Veřejná zpráva NESSIE D14, 2001 , str. 6.
↑ Cs-Cipher, 1998 , str. 189.
↑ 1 2 Cs-Cipher, 1998 , str. 201.
↑ Bezpečnostní zpráva NESSIE D20-NESSIE, 2003 , pp. čtyři.
↑ 1 2 Veřejná zpráva NESSIE D18, 2002 , str. jeden.
↑ Bezpečnostní zpráva NESSIE D20-NESSIE, 2003 , str. 77.
↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Cs-Cipher, 1998 , str. 192.
↑ 1 2 Cs-Cipher, 1998 , str. 195.
↑ Cs-Cipher, 1998 , str. 196.
↑ 1 2 3 Cs-Cipher, 1998 , str. 194.
↑ 1 2 3 4 5 Cs-Cipher, 1998 , str. 197.
↑ 1 2 Cs-Cipher, 1998 , str. 193.
↑ Cs-Cipher, 1998 , pp. 193-195.
↑ Cs-Cipher, 1998 , pp. 196-197.
↑ The Statistical Evaluation, 2002 , pp. 1, 4, 7-16, 18, 21, 22-29.
↑ The Statistical Evaluation, 2002 , pp. 10, 24.
↑ The Statistical Evaluation, 2002 , pp. 12, 25.
↑ The Statistical Evaluation, 2002 , pp. 13, 26.
↑ 1 2 The Statistical Evaluation, 2002 , pp. 9, 23.
↑ The Statistical Evaluation, 2002 , pp. 8, 21.
↑ The Statistical Evaluation, 2002 , str. třicet.
↑ O bezpečnosti CS-šifry, 1999 , str. 262.
↑ O bezpečnosti CS-šifry, 1999 , str. 266.
↑ O bezpečnosti CS-šifry, 1999 , str. 267.
↑ 1 2 O bezpečnosti CS-šifry, 1999 , s. 269.
↑ O bezpečnosti CS-šifry, 1999 , str. 270.
↑ 1 2 Zabezpečení proti nemožné diferenciální kryptoanalýze, 2008 , str. deset.
↑ 1 2 3 O bezpečnosti CS-šifry, 1999 , str. 272.
↑ Cs-Cipher, 1998 , pp. 203-204.
↑ Bloková šifra CS2, 2004 , str. jeden.
↑ Bloková šifra CS2, 2004 , str. osm.
↑ 1 2 The CS2 Block Cipher, 2004 , str. 9.

Literatura

Bart Van Rompay, Vincent Rijmen, Jorge Nakahara Jr. První zpráva o CS-Cipher, Hierocrypt, Grand Cru, SAFER++ a SHACAL*† NES/DOC/KUL/WP3/006/ 1 . - Katholieke Universiteit Leuven, ESAT-COSIC, 2001. - březen.
Rychlé softwarové šifrování: 5. mezinárodní workshop (anglicky) / Vaudenay S. - Paříž, Francie, 1998. - S. 189-204. — 342 s.
Preneel, B. a kol. Bezpečnostní zpráva NESSIE D20-NESSIE (anglicky) . - 2003. - 342 s.
Raddum H. Statistické vyhodnocení CS-šifry předložení NESSIE NES/DOC/UIB/WP3/010 (anglicky) . — 2002.

Rychlé softwarové šifrování: 6. mezinárodní workshop (anglicky) / Knudsen L.. - Řím, Itálie, 1999. - S. 260-274. — 317 s.

St Denis , T. Bloková šifra CS2 . — 2004.
Le Thi Hoai An, Bouvry P., Dinh TP Modelling. Modelování, výpočty a optimalizace v informačních systémech a manažerských vědách . - 2008. - S. 597-606. — 618 s.
Preneel B. a kol. Veřejná zpráva NESSIE D18: Aktualizace výběru algoritmů pro další zkoumání během druhého kola . - 2002. - 1. - 15. str.
Veřejná zpráva NESSIE D14: Zpráva o hodnocení výkonu kandidátů NESSIE I / Mathieu Ciet a Francesco Sica. - 2001. - S. 6 .

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) nafukovací ryba Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsobem ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher