NUSH

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 10. června 2016; kontroly vyžadují 12 úprav .

NUSH
Tvůrce	Anatolij Lebeděv , Alexej Volčkov
Vytvořeno	1999 _
zveřejněno	2000 _
Velikost klíče	128, 192, 256 bitů
Velikost bloku	64, 128, 256 bitů
Počet kol	36, 68, 132

NUSH ("Náš") je blokově symetrický šifrovací algoritmus vyvinutý Anatolijem Lebeděvem a Alexejem Volčkovem pro ruskou společnost LAN Crypto.

NUSH má několik různých variant, které mají různé velikosti bloků (64, 128, 256 bitů), různý počet kol (36, 128 nebo 132 kol v závislosti na velikosti bloku) a používají délku klíče 128, 192 nebo 256 bitů. Algoritmus nepoužívá S-boxy, ale pouze operace jako AND, OR, XOR, modulo sčítání a cyklické posuny. Před prvním a po posledním kole se provede „vybělení“ klíče.

Tento algoritmus byl navržen v projektu NESSIE , ale nebyl vybrán, protože se ukázalo, že lineární kryptoanalýza může být účinnější než útok hrubou silou.

Na základě šifrovacího algoritmu lze sestavit další algoritmy. Několik z nich je uvedeno v tomto článku.

Popis algoritmu

Šifrování

Zavedeme notaci. Dovolit je délka zašifrovaného bloku otevřeného textu . (spouštěcí klíč) - vybráno podle nějakého plánu založeného na klíči K. Bitově přidáno do zdrojového textu: Poté dojde k r-1 kol, daných následujícími rovnicemi, ve kterých (Round subKey) - round subkeys, # - bitová konjunkce nebo disjunkce , je vybrána podle plánu, , jsou známé konstanty, >>>j je cyklický posun doprava o j bitů: $N=4n$ ${\displaystyle P=P_{3}P_{2}P_{1}P_{0))$ ${\displaystyle KS_{i))$ $a_{0}b_{0}c_{0}d_{0}=P_{3}P_{2}P_{1}P_{0}\oplus KS_{0}KS_{1}KS_{2} KS_{3}$ ${\displaystyle KR_{i))$ $C_{i}$ $S_{i}$

pro i=1…(r-1)

$a_{i}=b_{i-1}$

${\displaystyle b_{i}=((c_{i}\oplus (KR_{i-1}+C_{i-1}))+b_{il})>>>S_{i-1))$

$c_{i}=d_{i-1}$

$d_{i}=a_{i-1}+(b_{i}\#d_{il})$

Poslední iterace se od hlavních liší pouze absencí permutace po vyhodnocení výrazů na pravé straně rovnosti:

$a_{r}=a_{r-1}+(c_{r}\#d_{r-1})$

$b_{r}=b_{r-1}$

$c_{r}=((c_{r-1}\oplus (KR_{r-1}+C_{r-1}))+b_{r-1})>>>S_{r-1 }$

$d_{r}=d_{r-1}$

Výstup: zašifrovaný blok $M_{0}M_{1}M_{2}M_{3}=a_{r}b_{r}c_{r}d_{r}\oplus KF_{0}KF_{1}KF_{2} KF_{3}$

Dešifrování

Podle obecného vzorce pro invertování součinu operátorů je také konstruována dešifrovací procedura. ${\displaystyle (AB)^{-1}=B^{-1}A^{-1))$

$a_{r}b_{r}c_{r}d_{r}=M_{0}M_{1}M_{2}M_{3}\oplus KF_{0}KF_{1}KF_{2} KF_{3}$

Provede se jedna iterace dešifrování:

${\displaystyle d_{r-1}=d_{r))$

${\displaystyle b_{r-1}=b_{r))$

$a_{r-1}=a_{r}-(c_{r}\#d_{r-1})$

$c_{r-1}=c_{r}>>>(n-S_{r-1})$ ( - délka , můžete provést cyklický posun doleva o ) $n=N/4$ $c_{r}$ ${\displaystyle S_{r-1))$

$c_{r-1}=c_{r-1}-KR_{r-1}-b_{r-1}$

Poté se hlavní dešifrovací cyklus, sestávající z iterací, také výrazně neliší od předchozího:

pro i=r-1…1

${\displaystyle d_{i-1}=c_{i))$

${\displaystyle b_{i-1}=a_{i))$

$a_{i-1}=d_{i}-(b_{i}\#c_{i-1})$

$c_{i-1}=(b_{i}>>>(n-S_{i-1}))-KR_{i-1}-a_{i-1}$

Komentáře

Některé zdroje se domnívají, že postup šifrování sestává ze 4krát méně kol, sestávajících ze 4 iterací výše uvedeného typu (bez počátečního a konečného přidání modulo 2). Sami autoři šifry tedy napsali svůj algoritmus takto:

Definovali jsme funkci R - "iterace":

${\displaystyle R(a,b,c,d,k,s)=a_{1}b_{1}c_{1}d_{1))$

$c_{1}=(c+k+b)>>>s$

$a_{1}=a+c_{1}\#d$

$b_{1}=b$

$d_{1}=d$

Popsána počáteční transformace (sčítání ("+") s KS)
Kolo se mělo skládat ze 4 iterací:

$R(a,b,c,d,k_{1},s_{1})$

$R(b,c,d,a,k_{2},s_{2})$

$R(c,d,a,b,k_{3},s_{3})$

$R(d,a,b,c,k_{4},s_{4})$

kde - odpovídající konstanta je přidána do iteračního klíče ${\displaystyle k_{i}=k_{i}+C_{i))$ $k_i$ $C_{i}$

Popsali konečnou transformaci (sčítání („+“) pomocí KF).

Algoritmy jsou podobné, protože operace „+“ je definována autory odděleně od hlavního popisu metody šifrování. Je třeba poznamenat, že plán operací „+“ lze změnit výběrem vratných binárních operací s vektory délky . Nelineární operace běžného sčítání s ignorováním přetečení má zkomplikovat lineární kryptoanalýzu. A operace XOR pomáhá vyhnout se diferenciální kryptoanalýze . V následujícím se budeme zabývat prvním popisem algoritmu uvedeným v článku čínských matematiků, kteří provedli lineární kryptoanalýzu algoritmu. $n$

Volba operací "+" byla provedena na základě výsledků výzkumu paralelizace výpočtů na procesorech typu Pentium. Volba změny pořadí registrů a, b, c, d z kola na kolo urychluje výskyt difúze a zmatku. Základní operace (XOR, modulo add , OR, AND) a jejich pořadí urychlují provádění algoritmu implementovaného v C na většině platforem a implementace algoritmu v assembleru je poměrně krátká. $2^{n}$

Snadná implementace

Z výše uvedeného popisu je zřejmé, že pro implementaci algoritmu je nutné:

Definujte konstanty $C_{i}$
Znát plán operací #, klíče.
Nářadí:
- bitový posun vpravo,
- sčítání a odčítání celých čísel,
- bitový XOR,
- bitová disjunkce a konjunkce.

Současně neexistují žádné substituční tabulky, které jsou přítomny například v GOST, a kolo se skládá ze 6 operací. Skutečnost, že posun je prováděn o předem známou hodnotu, která nezávisí ani na otevřeném textu, ani na klíči, značně zjednodušuje implementaci algoritmu na mikroobvody. Jednoduchost algoritmu umožňuje snadno zkontrolovat, že v konkrétní implementaci neexistují žádná takzvaná "zadní vrátka".

Možnosti

Konstanty a $C_{i}$ $S_{i}$

Délka N bloku je 64 bitů

Hraje se 36 kol

i	$C_{i}$	i	$C_{i}$	i	$C_{i}$	i	$C_{i}$
0	ac25	9	6a29	osmnáct	96 da	27	d25e
jeden	8a93	deset	6d84	19	905f	28	a926
2	243d	jedenáct	34bd	dvacet	d631	29	1c7b
3	262e	12	a267	21	aa62	třicet	5f12
čtyři	f887	13	cc15	22	4d15	31	4 ecc
5	c4f2	čtrnáct	04fe	23	70 cb	32	3c86
6	8e36	patnáct	b94a	24	7533	33	28 dB
7	9fa1	16	df24	25	45fc	34	fc01
osm	7dc0	17	40ef	26	5337	35	7cb1

i	$S_{i}$	i	$S_{i}$	i	$S_{i}$	i	$S_{i}$
0	čtyři	9	2	osmnáct	5	27	13
jeden	7	deset	9	19	jeden	28	12
2	jedenáct	jedenáct	čtyři	dvacet	2	29	3
3	osm	12	13	21	čtyři	třicet	6
čtyři	7	13	jeden	22	12	31	jedenáct
5	čtrnáct	čtrnáct	čtrnáct	23	3	32	7
6	5	patnáct	6	24	9	33	patnáct
7	čtyři	16	7	25	2	34	čtyři
osm	osm	17	12	26	jedenáct	35	čtrnáct

Bloky jsou dlouhé 128 bitů

Při délce bloku 128 bitů se hraje 68 kol. Proto 68 32bitových konstant a 68 . $C_{i}$ $0<=S_{i}<=31$

Délka bloku 256 bitů

Při délce bloku 256 bitů se hraje 132 kol. Proto 132 64bitové konstanty a 132 . $C_{i}$ $0<=S_{i}<=63$

Klíčový plán

Klíč je reprezentován jako zřetězení N/4bitových slov. KS a KF jsou nastaveny libovolně a všechny $K=K_{0}K_{1}...$ $K_{i}$

128bitový klíč Blok v 64 bitech

Klíč K je rozdělen do 8 slov $KS_{0}=K_{4},\ KF_{0}=K_{3},\ KS_{1}=K_{5},\ KF_{1}=K_{2},$ $KS_{2}=K_{6},\ KF_{2}=K_{1},\ KS_{3}=K_{7},\ KF_{3}=K_{0},\ KR_{i }=K_{i\ mod\ 8},\ i=0...35$

Bloky ve 128 bitech a 256 bitech

Klávesa K je rozdělena na 4 a 2 slova, takže kulaté klávesy se opakují s tečkou 4 nebo 2. V druhém případě jsou mezi KS a KF stejné.

192bitový klíč

V závislosti na délce bloku je klávesa rozdělena na 12, 6 a 3 n-bitové části, což určuje periodu opakování kulatých kláves.

256bitový klíč

Zde je klíčem sjednocení 16, 8 nebo 4 binárních slov.

Operační plán #

já	#	i	#	i	#	i	#
0	A	16	NEBO	32	NEBO	48	A
jeden	NEBO	17	NEBO	33	NEBO	49	A
2	A	osmnáct	A	34	A	padesáti	A
3	NEBO	19	A	35	NEBO	51	A
čtyři	NEBO	dvacet	A	36	NEBO	52	A
5	NEBO	21	A	37	A	53	A
6	NEBO	22	A	38	NEBO	54	NEBO
7	NEBO	23	NEBO	39	A	55	A
osm	A	24	A	40	NEBO	56	NEBO
9	NEBO	25	NEBO	41	A	57	NEBO
deset	NEBO	26	NEBO	42	A	58	NEBO
jedenáct	A	27	NEBO	43	NEBO	59	A
12	NEBO	28	A	44	NEBO	60	A
13	A	29	NEBO	45	A	61	A
čtrnáct	NEBO	třicet	A	46	A	62	NEBO
patnáct	NEBO	31	A	47	A	63	NEBO

Pro další iterace se vše opakuje: ${\displaystyle \#_{i}=\#_{i\ mod\ 64))$

Výkon

Algoritmus neobsahuje operace s bitovou složitostí vyšší než , kde je bitová délka modulu nebo operandů (například součin modulo, nalezení inverzního (násobením) prvku nebo největšího společného dělitele má bitovou složitost a umocňování má bit složitost ). Proto je přirozené očekávat vysokou rychlost algoritmu. Autoři poskytují následující údaje: $OK)$ $k$ $O(k^{2})$ $O(k^3)$

Velikost bloku, bit	C program		Montážní program
Velikost bloku, bit	Hodiny na blok	Hodiny na byte	Hodiny na blok	Hodiny na byte
64	180	23	130	17
128	340	22	250	16

Zabezpečení

Hlavním důvodem eliminace algoritmu NUSH v soutěži NESSIE byla zranitelnost algoritmu vůči lineární kryptoanalýze, kterou zjistili Wu Wenling a Feng Dengo.

Ve svém článku „Lineární kryptoanalýza blokové šifry NUSH“ používají koncept složitosti útoku , kde charakterizuje potřebu paměti a - množství výpočtů. $\delta =(\varepsilon ,\ \eta )$ $\varepsilon$ $\eta$

Pro N=64 a N=128 bitů jsou navrženy 3 typy útoků a pro N=256 - dva. Složitost odpovídajících útoků:

Délka bloku, bit	Délka klíče, bit	$\delta$
64	128	$(2^{58},\ 2^{124}),\ (2^{60},\ 2^{78}),\ (2^{62},\ 2^{55})$
	192	$(2^{58},\ 2^{157}),\ (2^{60},\ 2^{96}),\ (2^{62},\ 2^{58})$
	256	$(2^{58},\ 2^{125}),\ (2^{60},\ 2^{78}),\ (2^{62},\ 2^{53})$
128	128	$(2^{122},\ 2^{95}),\ (2^{124},\ 2^{57}),\ (2^{126},\ 2^{52})$
	192	$(2^{122},\ 2^{142}),\ (2^{124},\ 2^{75}),\ (2^{126},\ 2^{58})$
	256	$(2^{122},\ 2^{168}),\ (2^{124},\ 2^{81}),\ (2^{126},\ 2^{63})$
256	128	$(2^{252},\ 2^{122}),\ (2^{254},\ 2^{119})$
	192	$(2^{252},\ 2^{181}),\ (2^{254},\ 2^{177})$
	256	$(2^{252},\ 2^{240}),\ (2^{254},\ 2^{219})$

V některých případech je verze se 192bitovým klíčem výrazně bezpečnější než verze s delším klíčem. Můžete si také všimnout, že existují případy, kdy je složitost útoků šifry s nejmenší délkou klíče a největšího klíče téměř stejná. Navíc zvětšení délky klíče neovlivňuje složitost útoku tak, jak bychom si přáli.

Existují tedy útoky na šifru NUSH, které jsou účinnější než hrubá síla. Existuje tedy možnost, že se tyto útoky zlepší nebo že počítačová technika dosáhne úrovně dostatečné k prolomení šifry v rozumném čase.

Algoritmus kryptoanalýzy

Jako příklad uvažujme druhý útok na šifru s délkou bloku N=64 bitů. Kryptoanalýza je založena na konstrukci závislostí mezi bity klíče, originálu a šifrového textu, platných s pravděpodobností odlišnou od 1/2. Tyto vztahy jsou postaveny na základě rovnice, která platí s pravděpodobností 3/4

$a_{i}[0]\oplus b_{i}[0]\oplus d_{i}[0]=a_{i-1}[0]\oplus b_{i-1}[0]\ oplus d_{i-1}[0]\oplus \theta$ , $\theta ={\begin{cases}1,&{\mbox{if }}\#=NEBO\\0,&{\mbox{if }}\#=AND\end{cases}}$

Tuto rovnici lze zkontrolovat pomocí popisu algoritmu as přihlédnutím k tomu, že pro poslední (nejnižší) bit se operace „+“ a shodují. Opravdu, máme vztah . Přičtením obou částí rovnice poměr dostaneme požadovaný. $\oplus$ $d_{i}[0]=a_{i-1}[0]\oplus b_{i}[0]\oplus d_{i-1}\oplus \theta \ \Leftrightarrow \ b_{i}[ 0]\oplus d_{i}[0]=a_{i-1}[0]\oplus d_{i-1}\oplus \theta$ $a_{i}[0]=b_{i-1}[0]$

Vzhledem ke konkrétním hodnotám lze dále ukázat, že nezávisí na všech bitech klíče a otevřeného textu, konkrétně: $S_{i}$ $a_{2}[0]\oplus b_{2}[0]\oplus d_{2}[0]$

$a_{2}[0]\oplus b_{2}[0]\oplus d_{2}[0]\ =\ f_{1}(P_{0}[0-7],P_{1} [0-11],P_{2}[0-11],P_{3}[0],KS_{0}[0],KS_{1}[0-11],KS_{2}[0-11 ],KS_{3}[0-7],KR_{0}[0-11],KR_{1}[0-7])$

S ohledem na první 4 kola dešifrování lze konstatovat, že . $a_{31}[0]\oplus b_{31}[0]\oplus d_{31}[0]\ =\ f_{2}(M_{0}[0-9],M_{1} [0-11],M_{2}[0-9,12],M_{3}[0,1],KF_{0}[0,1],KF_{1}[0-9,12], KF_{2}[0-11],KF_{3}[0-9],KR_{32}[0],KR_{33}[0],KR_{34}[0],KR_{35}[0 -9])$

Použití lemmatu Piling-up s pravděpodobností . Získali jsme spojení mezi klíčovými bity a prostými a šifrovými texty. $a_{2}[0]\oplus b_{2}[0]\oplus d_{2}[0]=a_{31}[0]\oplus b_{31}[0]\oplus d_{31 [0]$ $0,5+2^{-30}$ $m_{0}$

Z plánu klíčů lze získat, že pokud je délka klíče 128 nebo 256 bitů, pak , pokud se klíč skládá ze 192 bitů, pak . Z těchto dat odhadneme časovou složitost útoku danou následujícím algoritmem: $m_{0}=78$ $m_{0}=96$

pro každý „klíč“ spočítáme počet otevřených textů, které vyhovují nalezenému poměru; $K'^{i}\in [1...2^{m_{0}}]$
najít maximum z nich;
najdeme zbývající bity klíče: buď podobným způsobem, nalezením poměrů, nebo výčtem.

Složitost z hlediska množství uložených informací se odhaduje jako . Tolik párů otevřeného šifrovaného textu by měl mít kryptoanalytik. Texty přitom nejsou v žádném případě libovolné. Z výše uvedených vztahů je vidět, že nejsou závislé na všech bitech vstupních a výstupních bloků. Podle toho mezi vzorky bloků otevřeného textu a šifrovaného textu musí být bloky s různými odpovídajícími bity. Operace algoritmu s menším počtem známých textů je možná, ale pak je méně pravděpodobné, že „maximální“ počet nalezený ve druhé fázi bude skutečně odpovídat skutečnému klíči s ohledem na nepřekročení kořene rozptylu. počtu událostí „rovnice je splněna“ na podložce. očekávání rozdílu v číslech této události a jejího opaku (můžete uvažovat Bernoulliho schéma, kde pravděpodobnost „úspěchu“ se rovná pravděpodobnosti naplnění poměru). $2^{60}$ $f_{1},\ f_{2}$

Jiné útoky navrhované ve stejném článku se liší v analýze v poslední fázi vztahů pro další kola a nejsou nezávislé.

Další algoritmy založené na NUSH

Na základě NUSH lze sestavit další algoritmy. Zejména:

Hashovací funkce

Před zahájením hašování se text prodlouží:

Přidejte 1 bit k textu
Přidejte tolik nul, abyste vytvořili text s délkou, která je násobkem N (tyto dva kroky lze vynechat, pokud je původní délka textu již násobkem N)
Přiřaďte N-bitovou reprezentaci počáteční délky LEN (v bitech) textu
Přiřaďte výsledek bitového XOR mezi všechny N-bitové bloky textu získaného v předchozím kroku

Funkce používá následující proměnné:

$TEXT=[TEXT_{0}...TEXT_{l-1}]$ — rozšířený text prezentovaný jako bloky délky N. $l$
$H=[H_{0}...H_{3}]$ , -registry délky N, skládající se ze 4 n-bitových slov $V=[V_{0}...V_{3}]$
$T=[T_{0}...T_{15}]$ b - registry délky 4N, skládající se z 15 n-bitových slov / $M=[M_{0}...M_{15}]$

Počáteční hodnoty: , , kde jsou konstanty, které se přidávají ke klíči KR během šifrování, KS=KF=KR=0 $T=[C_{0}...C_{15}]$ $M=[C_{16}...C_{31}]$ $C_{i}$

Pro i = 0 až l-1

{

Pro j=0 až L/2-1 //L je počet kol pro odpovídající typ NUSH {

C_{2j}=T_{jmod16}

{\displaystyle C_{2*j+1}=M_{jmod16))

}

{\displaystyle V=TEXT_{i))

H = NUSH(V) //Operace šifrování

[H_{0}...H_{3}]+=[V_{0}...V_{3}]

Pro j=15 až 4

T_{j}=T_{j-4}

[T_{0}...T_{3}]=[H_{0}...H_{3}]

Pro j=15 až 4

{\displaystyle M_{j}=M_{j-4))

[M_{0}...M_{3}]=[V_{0}...V_{3}]

}

Pro i= 0 až 3

{

Pro j=0 až L/2-1

C_{2*j}=T_{jmod16}

H = NUSH( )

M_{i}

Pro j=15 až 4

T_{j}=T_{j-4}

[T_{0}...T_{3}]=[H_{0}...H_{3}]

}

Hodnota hash délky t*n (t<16) bitů — prvních t n-bitových slov registru T

Ověřovací kód zprávy

Na základě hashovací funkce lze sestavit proceduru ověřování zpráv. Od předchozího algoritmu se liší pouze použitím nenulového klíče.

Synchronní proudová šifra "NUSH Stream"

Nechť SYNC je známý binární vektor délky LENGTH. Existují dvě verze této šifry.

Možnost 1

Nechť N = LENGTH je délka bloku použitého v šifrování NUSH (DÉLKA = 64, 128, 256) Nechť je vektor COUNT N-bitových slov, která budou přidána k otevřenému textu a šifrovanému textu pro šifrování a dešifrování. $GAMMA=[GAMMA_{0}...GAMMA_{COUNT}]$

$SYNC=SYNC\plus NUSH(SYNC)$

Pro i =0 až COUNT −1

{

GAMMA_{i}=NUSH(SYNC)

SYNC=(SYNC+65257)mod

2^N

}

Možnost 2

Zde N=DÉLKA / 2, kde DÉLKA = 128, 256, 512. Nechť je vektor délky N, SYNC=[SYNC_0SYNC_1] je vektor délky 2N T je dočasný registr délky N=4n, , , , jsou odpovídající konstanty algoritmu NUSH. $T=[T_{0}T_{1}T_{2}T_{3}]$ $C_{{n}}$ $C_{{n+1}}$ $C_{n+2}$ $C_{n+3}$

Provedené výpočty:

SYNC[0] = SYNC[0] ^ NUSH(SYNC[0])

SYNC[1] = SYNC[1] ^ NUSH(SYNC[1]) T=SYNC[1]

Pro i =0 až COUNT −1

{

[C_{n}C_{n+1}C_{n+2}C_{n+3}]=T

GAMMA_{i}=NUSH(SYNC_{0})

{\displaystyle SYNC_{0}=(SYNC_{0}+65257)mod\ 2^{N))

T = (T + 127)mod

2^N

}

Asymetrické šifrování

Výběr možností

Je představena specifická skupina G s operací definovanou autory algoritmu založeného na Montgomeryho násobení.

Násobení Montgomery . Zvolíme prvočíslo P o délce n bitů, číslo Pro dvě celá čísla A a B bude Montgomeryho součin číslo: , kde . Dělení pomocí znamená ignorování nižších N bitů čísla. Skupinový provoz: $N\geq n$ ${\displaystyle A\otimes B={\frac {AB+P(ABM\ mod\ 2^{N})}{2^{N))))$ $M=-P^{-1}\ mod\ 2^{N}$ $2^N$ $A\diamondsuit B={\begin{cases}A\otimes B&A\otimes B<P\\A\otimes BP&else\end{cases))$

$\otimes$ vypočteno s N=n. A a B jsou považovány za stejné, pokud se liší buď o P nebo o 0. Získá se Abelova multiplikativní grupa G. Mezi G a redukovaným systémem zbytků modulo P lze sestavit izomorfismus: $\phi :G\ni m\rightarrow m\times 2^{N}\ mod\ P\in F_{P}^{*}$

Skupina je konstruována pomocí prvočísla P, které je také prvočíslo. ${P-1} \over 2$

Kryptografická síla algoritmu je zajištěna složitostí problému diskrétního logaritmu. Složitost hackování se odhaduje jako . V této skupině je vybrán generátor a. Soukromý klíč: náhodné celé číslo x rovnoměrně rozložené na segmentu [0, P-2]. Veřejný klíč: prvek skupiny G . $O(e^{{\frac {1}{3}}\times logP\times log^{2}P)})$ ${\displaystyle b=a^{x))$

Šifrování

Náhodný $r\in [1,P-1]$
Vypočteno $c=a^{x}\in G$
$d=|b^{r}|$ , kde |x|=x, pokud x<P a |x|=xP jinak
$e=NUSH_{d}(M)$ , M je původní zpráva

Výstup: c||e

Dešifrování

$d=|b^{r}|$
$M=NUSH_{d}^{-1}(e)$

Elektronický digitální podpis

Tento algoritmus je založen na dříve popsané hashovací funkci. Nechť Q je prvočíslo o délce 2m bitů, které je dělitelem čísla P-1. Operací budeme rozumět již dříve představenou operaci , kde je Q použito jako prvočíslo. $A\circ B$ $Někdy B$

Veřejný klíč

čísla P a Q
g je generátor podskupiny řádu Q $H\subset G$
$b=g^{x\circ 1}$ , kde x je soukromý klíč.

Soukromý klíč

Jakékoli číslo . V ideálním případě se volí s rovnoměrným rozložením. $x\in [1,Q-1]$

Podepisování

Pro náhodný výpočet $r\in [1,Q-1]$ $c=|g^{r}|$
$d=Hash_{m}(ZPRÁVA||c)$ - řetězec o délce m bitů (v případě potřeby zahodíme spodní bity hash hodnoty) (připomeňme, že m je polovina délky čísla Q). Náhodou se může stát, že d=0. V tomto případě musíte znovu vybrat náhodné r a provést všechny výpočty.
$e=r-(x\circ d)\ mod\ Q$
podpis obsahuje pár m bitů dae.

Ověření podpisu

Podpis je považován za správný, pokud předložím důkaz o správnosti schématu. Je zřejmé, že správnost algoritmu je ekvivalentní správnosti rovnosti . $d=Hash_{m}(Zpráva||\ |g^{e}\diamondsuit b^{d}|)$ $c=|g^{e}\diamondsuit b^{d}|$

Výslednou rovnost lze přepsat jako mocniny generátoru g podgrupy H takto: . z definice. kde . Operace je lineární ve druhém argumentu až do převzetí rovnosti modulo Q. Opravdu, . Proto, . Z toho plyne dokazovaná rovnost, protože řád prvku g je roven Q. $|g^{rx\circ d}\diamondsuit (g^{x\circ 1})^{d}|=|g^{r}|$ $A=|A|\ mod\ P$ $g^{r-(x\circ d)+d(x\circ 1)}=g^{r}\ mod\ P$ $\circ$ $A\otimes (b_{1}+...+b_{k})={\frac {A(b_{1}+...+b_{k})+Q((A(b_{ 1}+...+b_{n})M\ mod\ 2^{N})}{2^{N))}={\frac {Ab_{1}+Q((Ab_{1}M\ mod\ 2^{N})}{2^{N))}+...+{\frac {Ab_{k}+Q((Ab_{n}M\ mod\ 2^{N})}{ 2^{N}}}=A\circ b_{1}+...+A\circ b_{k}\ mod\ Q$ $d(x\circ 1)=x\circ d\ mod\ Q$

Autentizační schémata

Proces ověřování je podobný schématu digitálního podpisu. Veřejný a soukromý klíč se volí úplně stejným způsobem. Soukromý klíč si ponechá ten, kdo chce prokázat svou "totožnost" (ať je to strana A). Proces ověřování má čtyři fáze:

A vygeneruje náhodné číslo a odešle ho straně B $r\in [1...Q-1]$ $c=Hash_{m}(|g^{r}|)$
B odešle náhodné číslo . Čím vyšší t, tím vyšší spolehlivost systému. $k\in [1...2^{t}-1],\ t<2m$
A to vypočítá a odešle straně B $d=rx\circ Hash_{m}(c||k)\ mod\ Q$
Ověření se považuje za úspěšné, pokud $Hash_{m}(|g^{d}\diamondsuit b^{Hash_{m}(c||k)}|)=c$

Poznámky

Odkazy

NUSH na projektu NESSIE Archivováno 26. září 2007 na Wayback Machine
Webové stránky Lan Crypto Archivováno 13. května 2010 na Wayback Machine
Kryptoanalýza (nepřístupný odkaz)
Autorův popis algoritmu Archivováno 12. srpna 2011 na Wayback Machine

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) blowfish Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsobem ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher