CS-Cipher

Cs-cipher ( fr . Chiffrement Symètrique , symmetrisk cipher) er en symmetrisk 64-bit [1] blokdatakrypteringsalgoritme [2] der bruger en nøglelængde på op til 128 bit [1] . Ifølge driftsprincippet er det et 8-rundt SP-netværk [3] .

Historie

Cs-cipher blev udviklet i 1998 af Jacques Stern og Serge Vaudenay [ 4 ] med støtte fra Compagnie des Signaux [5] . Den blev indsendt som kandidat i NESSIE-projektet under Europa-Kommissionens IST-program ( Information Societies Technology ) i konkurrencegruppen for 64-bit blokcifre [6] . På trods af at undersøgelsen ikke fandt nogen sårbarheder [7] , blev chifferen ikke valgt til 2. fase af projektet [8] , fordi den viste sig at være den langsomste i sin gruppe [7] .

Grundlæggende betegnelser

Anvendte funktioner

Lad os starte med følgende notation:

${\displaystyle P(x)=z_{l}\parallel z_{r))$ - uafhængig permutation af 8-bit strenge [9] . Defineret som et tre-rundt Feistel-netværk [10] :
- En 8-bit inputstreng er opdelt i to 4-bit ${\displaystyle x=x_{l}\parallel x_{r))$
- $y=x_{l}\oplus f(x_{r})$
- $z_{r}=x_{r}\oplus g(y)$
- $z_{l}=y\oplus f(z_{r})$
- Resultatet er strengen ${\displaystyle z=z_{l}\parallel z_{r))$
  - Funktionerne og er givet af tabellen: $f(x)$ $g(x)$

bord og

f(x)

g(x)

x	0	en	2	3	fire	5	6	7	otte	9	-en	b	c	d	e	f
$f(x)$	f	d	b	b	7	5	7	7	e	d	-en	b	e	d	e	f
$g(x)$	-en	6	0	2	b	e	en	otte	d	fire	5	3	f	c	7	9

Indstil i sidste ende ved hjælp af tabellen [11] :

P(x)

bord

P(x)

xy	.0	.en	.2	.3	.fire	.5	.6	.7	.otte	.9	.en	.b	.c	.d	.e	.f
0.	29	0d	61	40	9c	eb	9e	8f	1f	85	5f	58	5b	01	39	86
en.	97	2e	d7	d6	35	ae	17	16	21	b6	69	4e	a5	72	87	08
2.	3c	atten	e6	e7	fa	annonce	b8	89	b7	00	f7	6f	73	84	elleve	63
3.	3f	96	7f	6e	bf	fjorten	9d	ac	a4	0e	7e	f6	tyve	4a	62	tredive
fire.	03	c5	4b	5a	46	a3	44	65	7d	4d	3d	42	79	49	1b	5c
5.	f5	6c	b5	94	54	ff	56	57	0b	f4	43	0c	4f	70	6d	0a
6.	e4	02	3e	2f	a2	47	e0	c1	d5	1a	95	a7	51	5e	33	2b
7.	5d	d4	1d	2c	ee	75	ec	dd	7c	4c	a6	b4	78	48	3a	32
otte.	98	af	c0	e1	2d	09	0f	1e	b9	27	8a	e9	bd	e3	9f	07
9.	b1	ea	92	93	53	6a	31	ti	80	f2	d8	9b	04	36	06	8e
en.	være	a9	64	45	38	1c	7a	6b	f3	a1	f0	cd	37	25	femten	81
b.	fb	90	e8	d9	7b	52	19	28	26	88	fc	d1	e2	8c	a0	34
c.	82	67	da	cb	c7	41	e5	c4	c8	ef	db	c3	cc	ab	ce	udg
d.	d0	bb	d3	d2	71	68	13	12	9a	b3	c2	ca	de	77	dc	df
e.	66	83	f.Kr	8d	60	c6	22	23	b2	8b	91	05	76	jfr	74	c9
f.	aa	f1	99	a8	59	halvtreds	3b	2a	fe	f9	24	b0	ba	fd	f8	55

For eksempel 26 : $P($ $_{16})$
- $y=$ 2 6 2 7 5 $_{16}\oplus f($ $_{16})=$ $_{16}\oplus$ $_{16}=$ $_{16}$
- $z_{r}=$ 6 6e _ $_{16}\oplus g(y)=$ $_{16}\oplus$ $_{16}=8$
- $z_{l}=y\oplus f(z_{r})=$ 5 e b $_{16}\oplus$ $_{16}=$ $_{16}$
- I alt: 26 b8 $P($ $_{16})=$ $_{16}$

$P^{8}(x)=P(x_{63..56})\parallel P(x_{55..48})\parallel P(x_{47..40})\parallel P( x_{39..32})\parallel P(x_{31..24})\parallel P(x_{23..16})\parallel P(x_{15..8})\parallel P(x_{ 7..0})$ [9] - konvertering af en 64-bit streng, brugt til at generere nøgler og i den runde funktion
$T(z)=z_{63}\parallel z_{55}\parallel \dots \parallel z_{7}\parallel z_{62}\parallel z_{54}\parallel \dots \parallel z_{0}$ - bittransposition , i dette tilfælde bruges transpositionen af matrixen [9] , der er sammensat af 8 bit strenge, når der genereres nøgler. Funktionen accepterer en 64-bit streng som input.
$R_{l}(x)$ - venstre cyklisk bitskiftefunktion , i dette tilfælde tager det en 8-bit streng: $R(x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0 })=x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0}\parallel x_{7}$
$\varphi (x)=(R_{l}(x)\land 55_{16})\oplus x$ - transformation [12] , brugt i den runde funktion. Den accepterer en 8-bit streng som input, hvis vi forenkler får vi [12] :
- $\varphi (x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{ 0})=x_{7}\parallel (x_{6}\oplus x_{5})\parallel x_{5}\parallel (x_{4}\oplus x_{3})\parallel x_{3}\parallel (x_{2}\oplus x_{1})\parallel x_{1}\parallel (x_{0}\oplus x_{7})$
$\phi ^{'}(x)=(R_{l}(x)\land aa_{16})\oplus x$ - transformation [13] , brugt til dekryptering. Det tager en 8-bit streng som input.
$M(x)$ - transformation, brugt i den runde funktion [12] , tager 16-bit strenge som input , resultatet er en 16-bit streng , til gengæld: ${\displaystyle x=x_{l}\parallel x_{r))$ ${\displaystyle M(x)=y_{l}\parallel y_{r))$
- $y_{l}=P(\varphi (x_{l})\oplus x_{r})$
- $y_{r}=P(R_{l}(x_{l})\oplus x_{r})$
$M^{-1}(y_{l}\parallel y_{r})$ - konvertering, brugt ved dekryptering af [13] , tager 16-bit strenge som input , resultatet er en 16-bit streng , til gengæld: ${\displaystyle y=y_{l}\parallel y_{r))$ ${\displaystyle M^{-1}(y)=x_{l}\parallel x_{r))$
- $x_{l}=\phi ^{'}(P(y_{l})\oplus P(y_{r}))$
- $x_{r}=R_{l}(x_{l})\oplus P(y_{r})$
$F_{c_{i}}(x)=T(P^{8}(x\oplus c^{i}))$ - bruges til at generere nøgler [9]

Algoritmekonstanter

Nedenfor er en liste over konstanter defineret af skaberne af algoritmen:

$c=$ b7e151628aed2a6a [14] , påkrævet til rund funktion $_{16}$
$c^{'}=$ bf7158809cf4f3c7 [14] , påkrævet til rund funktion $_{16}$
$c^{0}=$ 290d61409ceb9e8f [9] , påkrævet til nøglegenerering $_{16}$
$c^{1}=$ 1f855f585b013986 [9] , påkrævet til nøglegenerering $_{16}$
$c^{2}=$ 972ed7d635ae1716 [9] , påkrævet til nøglegenerering $_{16}$
$c^{3}=$ 21b6694ea5728708 [9] , påkrævet til nøglegenerering $_{16}$
$c^{4}=$ 3c18e6e7faadb889 [9] , påkrævet til nøglegenerering $_{16}$
$c^{5}=$ b700f76f73841163 [9] , påkrævet til nøglegenerering $_{16}$
$c^{6}=$ 3f967f6ebf149dac [9] , påkrævet til nøglegenerering $_{16}$
$c^{7}=$ a40e7ef6204a6230 [9] , påkrævet til nøglegenerering $_{16}$
$c^{8}=$ 03c54b5a46a34465 [9] , påkrævet til nøglegenerering $_{16}$

Nøglegenerering

Hvis den hemmelige nøgle brugt i chifferen er mindre end 128 bit, så er de første bit fyldt med nuller [1] , så i fremtiden vil vi betragte den hemmelige nøgle for at være 128 bit.

Nøglegenereringsalgoritme

Ifølge følgende algoritme genereres 9 undernøgler med en størrelse på 64 bit i chifferen fra en 128-bit nøgle: ${\displaystyle k^{0},k^{1},...,k^{8))$

indledningsvis er nøglen opdelt i to 64-bit halvdele [2] , så vi får de indledende parametre:

{\displaystyle k=k^{-1}\parallel k^{-2))

For at generere efterfølgende nøgler bruges den tilbagevendende formel [2] :

k^{i}=k^{i-2}\oplus F_{c^{i}}(k^{i-1})

Eksempel på nøglegenerering

Overvej et eksempel på nøglegenerering beskrevet af skaberne af CS-cipher [13] . Den bruger en hemmelig nøgle

k=

0123456789abcdeffedcba9876543210 .

_{16}

Ifølge ovenstående får vi de indledende parametre til generering af rundnøgler:

k^{-1}=

0123456789abcdef

_{16}

k^{-2}=

fedcba9876543210

_{16}

Overvej nøglegenerering i detaljer : ${\displaystyle k^{0))$

k^{0}=k^{-2}\oplus F_{c_{0}}(k^{-1})=k^{-2}\oplus T(P^{8}(k ^{-1}\oplus c^{0}))=

=k^{-2}\oplus T(P^{8}(

0123456789abcdef 290d61409ceb9e8f

_{16}\oplus

_{16}))=

=k^{-2}\oplus T(

b711fa89ae0394e4 fedcba9876543210 bb21a9e2388bacd4

_{16})=

_{16}\oplus

_{16}

Slutresultatet af generationsalgoritmen:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Kryptering

Kort beskrivelse af krypteringen

Hver runde af kryptering begynder med en XOR -operation på den indkommende 64-bit streng og undernøgle. Derefter opdeles 64-bit strengen i 4 16-bit strenge, over hvilke en ikke-lineær transformation ( ) finder sted. Strengene deles derefter igen, denne gang resulterer i 8 8-bit strenge, som derefter byttes. Disse handlinger gentages to gange mere i hver runde, den eneste forskel er, at XOR- operationen sker med de givne konstanter, og ikke med den genererede nøgle. Den sidste runde efterfølges af en ekstra XOR- operation med den resterende genererede nøgle [3] . $M(x)$

Formel beskrivelse af algoritmen

Lad os først definere:

${\displaystyle m^{i))$ - 64-bit streng, kommer til input af den runde funktion i iteration $R(x)$ $jeg$
$t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{ 39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}$ - midlertidig 64-bit værdi beregnet på trinnet af rundfunktionen $jeg$
$S$ - 64-bit streng, endelig chiffertekst

Runde funktioner

R(x)

Rundefunktionen består af følgende handlinger [15] :

$t^{1}=x$
$t^{2}=M(t_{63..48}^{1})\parallel M(t_{47..32}^{1})\parallel M(t_{31..16} ^{1})\parallel M(t_{15..0}^{1})$
$t^{3}=t_{63..56}^{2}\parallel t_{47..40}^{2}\parallel t_{31..24}^{2}\parallel t_{ 15..8}^{2}\parallel t_{55..48}^{2}\parallel t_{39..32}^{2}\parallel t_{23..16}^{2}\parallel t_{7..0}^{2}$
$t^{4}=t^{3}\oplus c$
$t^{5}=M(t_{63..48}^{4})\parallel M(t_{47..32}^{4})\parallel M(t_{31..16} ^{4})\parallel M(t_{15..0}^{4})$
$t^{6}=t_{63..56}^{5}\parallel t_{47..40}^{5}\parallel t_{31..24}^{5}\parallel t_{ 15..8}^{5}\parallel t_{55..48}^{5}\parallel t_{39..32}^{5}\parallel t_{23..16}^{5}\parallel t_{7..0}^{5}$
$t^{7}=t^{6}\oplus c^{'}$
$t^{8}=M(t_{63..48}^{7})\parallel M(t_{47..32}^{7})\parallel M(t_{31..16} ^{7})\parallel M(t_{15..0}^{7})$
$m^{i+1}=t^{9}=t_{63..56}^{8}\parallel t_{47..40}^{8}\parallel t_{31..24} ^{8}\parallel t_{15..8}^{8}\parallel t_{55..48}^{8}\parallel t_{39..32}^{8}\parallel t_{23.. 16}^{8}\parallel t_{7..0}^{8}$

Kryptering

Kryptering består af 8 runder, den endelige 64-bit chiffertekst kan beregnes ud fra almindeligtekstfragmentet ved hjælp af formlen [9] : $S$ $m$

S=k^{8}\oplus R(k^{7}\oplus \dots R(k^{1}\oplus R(k^{0}\oplus m)\dots )

Hvor er den runde funktion [10] beskrevet ovenfor. $R(x)$

Eksempel på almindelig tekstkryptering

Overvej et eksempel på klartekstkryptering beskrevet af skaberne af CS-cipher [13] . Den bruger følgende hemmelige nøgle og klartekst:

m^{0}=

0123456789abcdef

_{16}

k=

0123456789abcdeffedcba9876543210

_{16}

Den hemmelige nøgle svarer til ovenstående rundnøglegenereringseksempel, dvs. rundnøglerne er blevet beregnet ovenfor:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Mellemresultater til beregning : $m^{1}$

t^{3}=

d85c19785690b0e3

_{16}

t^{6}=

0f4bfb9e2f8ac7e2

_{16}

Vi får følgende værdier på runderne:

m^{1}=

c3feb96c0cf4b649

_{16}

m^{2}=

3f54e0c8e61a84d1

_{16}

m^{3}=

b15cb4af3786976e

_{16}

m^{4}=

76c122b7a562ac45

_{16}

m^{5}=

21300b6ccfaa08d8

_{16}

m^{6}=

99b8d8ab9034ec9a

_{16}

m^{7}=

a2245ba3697445d2

_{16}

Som et resultat modtog vi følgende chiffertekst:

S=

88fddfbe954479d7

_{16}

Dechifrering

Dekryptering består af 8 runder, det omvendte af kryptering [16] . Det er vigtigt, at dekrypteringsalgoritmen bruger de genererede nøgler i omvendt rækkefølge, dvs. [2] . Inden start foregår operationen . $k^{8},k^{7},k^{6},k^{5},k^{4},k^{3},k^{2},k^{1} ,k^{0}$ ${\displaystyle m^{0}=S\oplus k^{8))$

For nemheds skyld og konsistens af notation angiver vi endnu en gang:

$jeg$ - iterationsnummer: fra 0 til 7 inklusive - 8 runder i alt
${\displaystyle m^{i))$ - 64-bit streng, kommer til input af den omvendte til den runde funktion i iteration, - almindelig tekst $R^{-1}(x)$ $jeg$ $m^{8}$
${\displaystyle k^{7-i))$ - 64-bit genereret nøgle, kommer til input af den inverse til den runde funktion i iteration $R^{-1}(x)$ $jeg$
$t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{ 39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}$ - midlertidig 64-bit værdi beregnet i det omvendte trin af rundfunktionen. $jeg$

For hver runde kaldes følgende rækkefølge af handlinger [13] :

$t^{1}=m_{63..56}^{i}\parallel m_{31..24}^{i}\parallel m_{55..48}^{i}\parallel m_{ 23..16}^{i}\parallel m_{47..40}^{i}\parallel m_{15..8}^{i}\parallel m_{39..32}^{i}\parallel m_{7..0}^{i}$

$t^{2}=M^{-1}(t_{63..48}^{1})\parallel M^{-1}(t_{47..32}^{1})\ parallel M^{-1}(t_{31..16}^{1})\parallel M^{-1}(t_{15..0}^{1})$

$t^{3}=t^{2}\oplus c^{'}$

$t^{4}=t_{63..56}^{3}\parallel t_{31..24}^{3}\parallel t_{55..48}^{3}\parallel t_{ 23..16}^{3}\parallel t_{47..40}^{3}\parallel t_{15..8}^{3}\parallel t_{39..32}^{3}\parallel t_{7..0}^{3}$

$t^{5}=M^{-1}(t_{63..48}^{4})\parallel M^{-1}(t_{47..32}^{4})\ parallel M^{-1}(t_{31..16}^{4})\parallel M^{-1}(t_{15..0}^{4})$

$t^{6}=t^{5}\oplus c$

$t^{7}=t_{63..56}^{6}\parallel t_{31..24}^{6}\parallel t_{55..48}^{6}\parallel t_{ 23..16}^{6}\parallel t_{47..40}^{6}\parallel t_{15..8}^{6}\parallel t_{39..32}^{6}\parallel t_{7..0}^{6}$

$t^{8}=M^{-1}(t_{63..48}^{7})\parallel M^{-1}(t_{47..32}^{7})\ parallel M^{-1}(t_{31..16}^{7})\parallel M^{-1}(t_{15..0}^{7})$

${\displaystyle m^{i+1}=t^{9}=t^{8}\oplus k^{7-i))$

Statistisk evaluering af krypterede data

I løbet af deltagelsen i NESSIE-projektet blev der udført mange statistiske test på krypterede data [17] , herunder:

Maurers universelle statistiske test [18]
Korrelationstest [19]
Lineær kompleksitetstest [20]
Kuponindsamlertest [21]
Overlappende mønstertilpasningstest [22]
Efterfølgende test [21]

Som et resultat af test af chifferen blev der ikke fundet nogen afvigelser fra tilfældig fordeling [23] .

Krypteringsanalyse

Markov chiffer

Antag at vi har en rund chiffer, kan chifferteksten fås ved formlen: , hvor hver runde bruger sin egen nøgle . $r$ $S=Enc(x)=(\rho _{r}\circ ...\circ \rho _{1})(x)$ $\rho _{i}$ $k_i$

Så er en Markov-cifre en chiffer, for hvilken vi for enhver runde og enhver , og , har [24] : $jeg$ $x$ $-en$ $b$

$Pr_{k_{i}}[\rho _{i}(x\oplus a)\oplus \rho _{i}(x)=b]=Pr_{k_{i},X}[\rho _{i}(X\oplus a)\oplus \rho _{i}(X)=b]$

Definition af den analyserede chiffer

Analysen anvender en modificeret CS-cifre, i det følgende kaldet CSC.

Det opnås fra CS-krypteringen ved følgende substitution:

til kryptering bruger CS-cipher følgende sekvens af nøgler og konstanter:

k^{0},c,c^{'},k^{1},c,c^{'},...,k^{7},c,c^{'},k ^{8}

. Lad os for nemheds skyld omdøbe dem til .

{\displaystyle k_{0},k_{1},...,k_{24))

Per definition [25] opnås CSC fra CS-chiffer ved at erstatte sekvensen opnået ved at generere nøgler og konstanter med en 1600-bit ensartet fordelt tilfældig nøgle. ${\displaystyle k_{0},k_{1},...,k_{24))$ $k=(k_{0},k_{1},...,k_{24})$

Den resulterende CSC-cifre er en Markov-cifre med 24 runde bloker [26] .

Angrebsmodstand

For CSC-chifferet er følgende blevet bevist:

modstand mod differentiel kryptoanalyse [27]
modstand mod lineær kryptoanalyse [28]
Umulig differentiel krypteringsresistens [ 29 ] _
modstand mod den trunkerede differentielle kryptoanalysemetode [ 30]

Derfor antages det, at CS-ciffer:

resistent over for differentiel kryptoanalyse efter 4 runder med kryptering [27]
resistent over for den trunkerede differentielle kryptoanalysemetode [ 30]
resistent over for lineær kryptoanalyse [30]
resistent over for metoden med umulige differentialer ( engelsk Impossible differential cryptanalysis ) efter 6 runder med kryptering [29]

Implementering

Der er en implementering af denne krypteringsalgoritme i C [31] (leveret af forfatterne):

# definer CSC_C10 0xbf # define CSC_C11 0x71 # define CSC_C12 0x58 # define CSC_C13 0x80 # definer CSC_C14 0x9c # definer CSC_C15 0xf4 # definer CSC_C16 0xf3 # define CSC_C17 0xc7 uint8 tbp[256]={ 0x29,0x0d,0x61,0x40,0x9c,0xeb,0x9e,0x8f, 0x1f,0x85,0x5f,0x58,0x5b,0x01,0x39,0x86, 0x97,0x2e,0xd7,0xd6,0x35,0xae,0x17,0x16, 0x21,0xb6,0x69,0x4e,0xa5,0x72,0x87,0x08, 0x3c,0x18,0xe6,0xe7,0xfa,0xad,0xb8,0x89, 0xb7,0x00,0xf7,0x6f,0x73,0x84,0x11,0x63, 0x3f,0x96,0x7f,0x6e,0xbf,0x14,0x9d,0xac, 0xa4,0x0e,0x7e,0xf6,0x20,0x4a,0x62,0x30, 0x03,0xc5,0x4b,0x5a,0x46,0xa3,0x44,0x65, 0x7d,0x4d,0x3d,0x42,0x79,0x49,0x1b,0x5c, 0xf5,0x6c,0xb5,0x94,0x54,0xff,0x56,0x57, 0x0b,0xf4,0x43,0x0c,0x4f,0x70,0x6d,0x0a, 0xe4,0x02,0x3e,0x2f,0xa2,0x47,0xe0,0xc1, 0xd5,0x1a,0x95,0xa7,0x51,0x5e,0x33,0x2b, 0x5d,0xd4,0x1d,0x2c,0xee,0x75,0xec,0xdd, 0x7c,0x4c,0xa6,0xb4,0x78,0x48,0x3a,0x32, 0x98,0xaf,0xc0,0xe1,0x2d,0x09,0x0f,0x1e, 0xb9,0x27,0x8a,0xe9,0xbd,0xe3,0x9f,0x07, 0xb1,0xea,0x92,0x93,0x53,0x6a,0x31,0x10, 0x80,0xf2,0xd8,0x9b,0x04,0x36,0x06,0x8e, 0xbe,0xa9,0x64,0x45,0x38,0x1c,0x7a,0x6b, 0xf3,0xa1,0xf0,0xcd,0x37,0x25,0x15,0x81, 0xfb,0x90,0xe8,0xd9,0x7b,0x52,0x19,0x28, 0x26,0x88,0xfc,0xd1,0xe2,0x8c,0xa0,0x34, 0x82,0x67,0xda,0xcb,0xc7,0x41,0xe5,0xc4, 0xc8,0xef,0xdb,0xc3,0xcc,0xab,0xce,0xed, 0xd0,0xbb,0xd3,0xd2,0x71,0x68,0x13,0x12, 0x9a,0xb3,0xc2,0xca,0xde,0x77,0xdc,0xdf, 0x66,0x83,0xbc,0x8d,0x60,0xc6,0x22,0x23, 0xb2,0x8b,0x91,0x05,0x76,0xcf,0x74,0xc9, 0xaa,0xf1,0x99,0xa8,0x59,0x50,0x3b,0x2a, 0xfe,0xf9,0x24,0xb0,0xba,0xfd,0xf8,0x55, }; void enc_csc(uint8 m[8],uint8* k) { uint8 tmpx,tmprx,tmpy; int i; #define APPLY_M(cl,cr,adl,adr) \ kode=tmpx=m[adl]^cl; \ kode=tmpx=(tmpx<<1)^(tmpx>>7); \ kode=tmpy=m[adr]^cr; \ code=m[adl]=tbp[(tmprx&0x55)^tmpx^tmpy]; \ code=m[adr]=tbp[tmprx^tmpy]; for(kode=i=0;i<8;i++,k+=8) { ANVEND_M(k[0],k[1],0,1) ANVEND_M(k[2],k[3],2,3) ANVEND_M(k[4],k[5],4,5) ANVEND_M(k[6],k[7],6,7) APPLY_M(CSC_C00;CSC_C01;0,2) APPLY_M(CSC_C02;CSC_C03;4,6) APPLY_M(CSC_C04,CSC_C05,1,3) APPLY_M(CSC_C06;CSC_C07;5,7) APPLY_M(CSC_C10;CSC_C11;0,4) APPLY_M(CSC_C12,CSC_C13,1,5) APPLY_M(CSC_C14;CSC_C15;2,6) APPLY_M(CSC_C16,CSC_C17,3,7) } for(kode=i=0;i<8;i++) kode=m[i]^=k[i]; }

krypteringsalgoritmekode i C

Forfatterne indsamlede også datakrypteringshastighedsstatistikker, som viste sig at være hurtigere end DES [5] :

Datakrypteringshastighed CS-chiffer

platform	ur frekvens	krypteringshastighed
VLSI 1216nand 1mm	230 MHz	73 Mbps
VLSI 30000nand 15mm	230 MHz	2 Gbps
standard C 32bit	133 MHz	2 Mbps
bit skive (Pentium)	133 MHz	11 Mbps
bit skive (alfa)	300 MHz	196 Mbps
Pentium samlingskode	133 MHz	8 Mbps
6805 samlingskode	4 MHz	20 Kbps

Videreudvikling

Baseret på CS-cipher i 2004 af Tom St. Denis udviklede en 128-bit cipher-cipher [ 32] . $CS^{2}$

Den resulterende chiffer blev testet og fundet at være resistent over for:

lineær og differentiel kryptoanalyse [33]
forskydningsangreb og boomerangangreb [34]
forbundet nøgleangreb [34]

Noter

↑ 1 2 3 En første rapport om CS-Cipher, 2001 , s. en.
↑ 1 2 3 4 Cs-Cipher, 1998 , s. 190.
↑ 1 2 NESSIE Public Report D14, 2001 , s. 6.
↑ Cs-Cipher, 1998 , s. 189.
↑ 1 2 Cs-Cipher, 1998 , s. 201.
↑ NESSIE D20-NESSIE sikkerhedsrapport, 2003 , s. fire.
↑ 1 2 NESSIE Public Report D18, 2002 , s. en.
↑ NESSIE D20-NESSIE sikkerhedsrapport, 2003 , s. 77.
↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Cs-Cipher, 1998 , s. 192.
↑ 1 2 Cs-Cipher, 1998 , s. 195.
↑ Cs-Cipher, 1998 , s. 196.
↑ 1 2 3 Cs-Cipher, 1998 , s. 194.
↑ 1 2 3 4 5 Cs-Cipher, 1998 , s. 197.
↑ 1 2 Cs-Cipher, 1998 , s. 193.
↑ Cs-Cipher, 1998 , s. 193-195.
↑ Cs-Cipher, 1998 , s. 196-197.
↑ The Statistical Evaluation, 2002 , s. 1, 4, 7-16, 18, 21, 22-29.
↑ The Statistical Evaluation, 2002 , s. 10, 24.
↑ The Statistical Evaluation, 2002 , s. 12, 25.
↑ The Statistical Evaluation, 2002 , s. 13, 26.
↑ 1 2 Den statistiske evaluering, 2002 , s. 9, 23.
↑ The Statistical Evaluation, 2002 , s. 8, 21.
↑ Den statistiske evaluering, 2002 , s. tredive.
↑ On the security of CS-cipher, 1999 , s. 262.
↑ On the security of CS-cipher, 1999 , s. 266.
↑ On the security of CS-cipher, 1999 , s. 267.
↑ 1 2 On the security of CS-cipher, 1999 , s. 269.
↑ On the security of CS-cipher, 1999 , s. 270.
↑ 1 2 Sikkerhed mod umulig differentiel kryptoanalyse, 2008 , s. ti.
↑ 1 2 3 On the security of CS-cipher, 1999 , s. 272.
↑ Cs-Cipher, 1998 , s. 203-204.
↑ The CS2 Block Cipher, 2004 , s. en.
↑ The CS2 Block Cipher, 2004 , s. otte.
↑ 1 2 The CS2 Block Cipher, 2004 , s. 9.

Litteratur

Bart Van Rompay, Vincent Rijmen, Jorge Nakahara Jr. En første rapport om CS-Cipher, Hierocrypt, Grand Cru, SAFER++ og SHACAL*† NES/DOC/KUL/WP3/006/ 1 . - Katholieke Universiteit Leuven, ESAT-COSIC, 2001. - Marts.
Hurtig softwarekryptering: 5. internationale værksted (engelsk) / Vaudenay S. - Paris, Frankrig, 1998. - S. 189-204. — 342 s.
Preneel, B. et al. NESSIE D20-NESSIE sikkerhedsrapport (engelsk) . - 2003. - 342 s.
Raddum H. Den statistiske evaluering af NESSIE-indsendelsens CS-chiffer NES/DOC/UIB/WP3/010 (engelsk) . - 2002.

Hurtig softwarekryptering: 6. internationale værksted (engelsk) / Knudsen L.. - Rom, Italien, 1999. - S. 260-274. — 317 s.

St Denis, T. CS2 Block Cipher . – 2004.
Le Thi Hoai An, Bouvry P., Dinh TP Modelling. Modellering, beregning og optimering i informationssystemer og ledelsesvidenskab . - 2008. - S. 597-606. — 618 s.
Preneel B. et al. NESSIE Offentlig rapport D18: Opdatering om udvælgelsen af algoritmer til yderligere undersøgelse i anden runde . - 2002. - S. 1. - 15 s.
NESSIE Offentlig rapport D14: Rapport om præstationsevaluering af NESSIE-kandidater I / Mathieu Ciet og Francesco Sica. - 2001. - S. 6 .

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher