CS-Cipher

Cs-cipher (фр. Chiffrement Symètrique, симметричный шифр) — симметричный 64 битный ^[1] блочный алгоритм шифрования данных ^[2], использующий длину ключа до 128 бит^[1]. По принципу работы является 8 раундовой SP-сетью^[3].

История

Cs-cipher разработали в 1998 году Жак Штерн (англ. Jacques Stern) и Серж Водене (англ. Serge Vaudenay) ^[4] при поддержке Compagnie des Signaux^[5] . Он был представлен в качестве кандидата в проекте NESSIE в рамках программы Европейской комиссии IST (англ. Information Societies Technology, информационные общественные технологии) в конкурсной группе 64-битных блочных шифров^[6]. Несмотря на то, что при исследовании не было обнаружено уязвимостей^[7], шифр не был выбран для 2 фазы проекта^[8], потому что оказался самым медленным в своей группе^[7].

Основные обозначения

Используемые функции

Для начала обозначим следующие обозначения:

$P(x)=z_{l}\parallel z_{r}$ $P(x)=z_{l}\parallel z_{r}$ - независимая перестановка 8-битных строк ^[9]. Определяется как трех-раундовая сеть Фейстеля^[10]:
- 8-битная входная строка делится на две 4-битных $x=x_{l}\parallel x_{r}$
- $y=x_{l}\oplus f(x_{r})$
- $z_{r}=x_{r}\oplus g(y)$
- $z_{l}=y\oplus f(z_{r})$
- Результатом является строка $z=z_{l}\parallel z_{r}$ $z=z_{l}\parallel z_{r}$
  - Функции $f(x)$ и $g(x)$ задаются таблицей:

таблица $f(x)$ и $g(x)$
x	0	1	2	3	4	5	6	7	8	9	a	b	c	d	e	f
$f(x)$	f	d	b	b	7	5	7	7	e	d	a	b	e	d	e	f
$g(x)$	a	6	0	2	b	e	1	8	d	4	5	3	f	c	7	9

В конечном итоге

P(x)

задается с помощью таблицы^[11]:

таблица $P(x)$
xy	.0	.1	.2	.3	.4	.5	.6	.7	.8	.9	.a	.b	.c	.d	.e	.f
0.	29	0d	61	40	9c	eb	9e	8f	1f	85	5f	58	5b	01	39	86
1.	97	2e	d7	d6	35	ae	17	16	21	b6	69	4e	a5	72	87	08
2.	3c	18	e6	e7	fa	ad	b8	89	b7	00	f7	6f	73	84	11	63
3.	3f	96	7f	6e	bf	14	9d	ac	a4	0e	7e	f6	20	4a	62	30
4.	03	c5	4b	5a	46	a3	44	65	7d	4d	3d	42	79	49	1b	5c
5.	f5	6c	b5	94	54	ff	56	57	0b	f4	43	0c	4f	70	6d	0a
6.	e4	02	3e	2f	a2	47	e0	c1	d5	1a	95	a7	51	5e	33	2b
7.	5d	d4	1d	2c	ee	75	ec	dd	7c	4c	a6	b4	78	48	3a	32
8.	98	af	c0	e1	2d	09	0f	1e	b9	27	8a	e9	bd	e3	9f	07
9.	b1	ea	92	93	53	6a	31	10	80	f2	d8	9b	04	36	06	8e
a.	be	a9	64	45	38	1c	7a	6b	f3	a1	f0	cd	37	25	15	81
b.	fb	90	e8	d9	7b	52	19	28	26	88	fc	d1	e2	8c	a0	34
c.	82	67	da	cb	c7	41	e5	c4	c8	ef	db	c3	cc	ab	ce	ed
d.	d0	bb	d3	d2	71	68	13	12	9a	b3	c2	ca	de	77	dc	df
e.	66	83	bc	8d	60	c6	22	23	b2	8b	91	05	76	cf	74	c9
f.	aa	f1	99	a8	59	50	3b	2a	fe	f9	24	b0	ba	fd	f8	55

Например $P($ $P($ 26 $_{16})$ $_{16})$ :
- $y=$ 2 $_{16}\oplus f($ 6 $_{16})=$ 2 $_{16}\oplus$ 7 $_{16}=$ 5 $_{16}$
- $z_{r}=$ 6 $_{16}\oplus g(y)=$ 6 $_{16}\oplus$ e $_{16}=8$
- $z_{l}=y\oplus f(z_{r})=$ 5 $_{16}\oplus$ e $_{16}=$ b $_{16}$
- Итого: $P($ 26 $_{16})=$ b8 $_{16}$

$P^{8}(x)=P(x_{63..56})\parallel P(x_{55..48})\parallel P(x_{47..40})\parallel P(x_{39..32})\parallel P(x_{31..24})\parallel P(x_{23..16})\parallel P(x_{15..8})\parallel P(x_{7..0})$ ^[9] - преобразование 64-битной строки, используется для генерации ключей и в раундовой функции
$T(z)=z_{63}\parallel z_{55}\parallel \dots \parallel z_{7}\parallel z_{62}\parallel z_{54}\parallel \dots \parallel z_{0}$ - битовая транспозиция, в данном случае транспонирование матрицы ^[9], составленной из 8 битных строк, используется при генерации ключей. На вход функция принимает 64-битную строку
$R_{l}(x)$ - функция циклического битового сдвига влево, в данном случае принимает 8-битную строку: $R(x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0})=x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0}\parallel x_{7}$
$\varphi (x)=(R_{l}(x)\land 55_{16})\oplus x$ $\varphi (x)=(R_{l}(x)\land 55_{16})\oplus x$ - преобразование^[12], используется в раундовой функции. На вход принимает 8-битную строку, если упростить получим^[12]:
- $\varphi (x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0})=x_{7}\parallel (x_{6}\oplus x_{5})\parallel x_{5}\parallel (x_{4}\oplus x_{3})\parallel x_{3}\parallel (x_{2}\oplus x_{1})\parallel x_{1}\parallel (x_{0}\oplus x_{7})$
$\phi ^{'}(x)=(R_{l}(x)\land aa_{16})\oplus x$ - преобразование^[13], используется при расшифровке. На вход принимает 8-битную строку
$M(x)$ $M(x)$ - преобразование, используется в раундовой функции^[12], берет на вход 16-битные строки $x=x_{l}\parallel x_{r}$ $x=x_{l}\parallel x_{r}$ , результатом является 16-битная строка $M(x)=y_{l}\parallel y_{r}$ $M(x)=y_{l}\parallel y_{r}$ , в свою очередь:
- $y_{l}=P(\varphi (x_{l})\oplus x_{r})$
- $y_{r}=P(R_{l}(x_{l})\oplus x_{r})$
$M^{-1}(y_{l}\parallel y_{r})$ $M^{-1}(y_{l}\parallel y_{r})$ - преобразование, используется при расшифровке^[13], берет на вход 16-битные строки $y=y_{l}\parallel y_{r}$ $y=y_{l}\parallel y_{r}$ , результатом является 16-битная строка $M^{-1}(y)=x_{l}\parallel x_{r}$ $M^{-1}(y)=x_{l}\parallel x_{r}$ , в свою очередь:
- $x_{l}=\phi ^{'}(P(y_{l})\oplus P(y_{r}))$
- $x_{r}=R_{l}(x_{l})\oplus P(y_{r})$
$F_{c_{i}}(x)=T(P^{8}(x\oplus c^{i}))$ - используется для генерации ключей^[9]

Константы алгоритма

Ниже представлен список констант, заданных создателями алгоритма:

$c=$ b7e151628aed2a6a $_{16}$ ^[14], требуется для раундовой функции
$c^{'}=$ bf7158809cf4f3c7 $_{16}$ ^[14], требуется для раундовой функции
$c^{0}=$ 290d61409ceb9e8f $_{16}$ ^[9], требуется для генерации ключей
$c^{1}=$ 1f855f585b013986 $_{16}$ ^[9], требуется для генерации ключей
$c^{2}=$ 972ed7d635ae1716 $_{16}$ ^[9], требуется для генерации ключей
$c^{3}=$ 21b6694ea5728708 $_{16}$ ^[9], требуется для генерации ключей
$c^{4}=$ 3c18e6e7faadb889 $_{16}$ ^[9], требуется для генерации ключей
$c^{5}=$ b700f76f73841163 $_{16}$ ^[9], требуется для генерации ключей
$c^{6}=$ 3f967f6ebf149dac $_{16}$ ^[9], требуется для генерации ключей
$c^{7}=$ a40e7ef6204a6230 $_{16}$ ^[9], требуется для генерации ключей
$c^{8}=$ 03c54b5a46a34465 $_{16}$ ^[9], требуется для генерации ключей

Генерация ключей

Если секретный ключ, используемый в шифре меньше 128 бит, то первые биты заполняются нулями ^[1], поэтому в дальнейшем будем считать секретный ключ 128 битным.

Алгоритм генерации ключей

Согласно следующему алгоритму в шифре из 128-битного ключа генерируется 9 подключей $k^{0},k^{1},...,k^{8}$ размером 64 бита:

первоначально ключ делится на две 64 битные половины^[2], таким образом мы получаем начальные параметры:

k=k^{-1}\parallel k^{-2}

Для генерации последующих ключей используется рекуррентная формула^[2]:

k^{i}=k^{i-2}\oplus F_{c^{i}}(k^{i-1})

Пример генерации ключей

Рассмотрим пример генерации ключей, описанный создателями CS-cipher^[13]. В нем используется секретный ключ

k=

0123456789abcdeffedcba9876543210

_{16}

.

Согласно рассмотренному выше, получаем начальные параметры для генерирования раундовых ключей:

k^{-1}=

0123456789abcdef

_{16}

k^{-2}=

fedcba9876543210

_{16}

Рассмотрим подробно генерацию ключа $k^{0}$ :

k^{0}=k^{-2}\oplus F_{c_{0}}(k^{-1})=k^{-2}\oplus T(P^{8}(k^{-1}\oplus c^{0}))=

=k^{-2}\oplus T(P^{8}(

0123456789abcdef

_{16}\oplus

290d61409ceb9e8f

_{16}))=

=k^{-2}\oplus T(

b711fa89ae0394e4

_{16})=

fedcba9876543210

_{16}\oplus

bb21a9e2388bacd4

_{16}

Конечный результат работы алготитма генерации:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Шифрование

Краткое описание зашифровки

Каждый раунд шифровки начинается с операции XOR над входящей 64-битной строкой и подключа. Затем 64-битная строка разделяется на 4 16-битных строки, над которыми происходит нелинейное преобразование( $M(x)$ ). После этого строки снова делятся, на этот раз в результате получается 8 8-битных строк, которые затем переставляются. Данные действия повторяются еще дважды в каждом раунде, разница лишь в том, что операция XOR происходит с заданными константами, а не со сгенерированным ключом. После последнего раунда следует дополнительная операция XOR с оставшимся сгенерированным ключом^[3].

Формальное описание алгоритма

Первоначально определим:

$m^{i}$ - 64-битная строка, приходит на вход раундовой функции $R(x)$ в $i$ итерации
$t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}$ - временное 64-битное значение, вычисленное на $i$ шаге раундовой функции
$S$ - 64-битная строка, конечный зашифрованный текст

Раундовая функции $R(x)$

Раундовая функция состоит из следующих действий^[15]:

$t^{1}=x$
$t^{2}=M(t_{63..48}^{1})\parallel M(t_{47..32}^{1})\parallel M(t_{31..16}^{1})\parallel M(t_{15..0}^{1})$
$t^{3}=t_{63..56}^{2}\parallel t_{47..40}^{2}\parallel t_{31..24}^{2}\parallel t_{15..8}^{2}\parallel t_{55..48}^{2}\parallel t_{39..32}^{2}\parallel t_{23..16}^{2}\parallel t_{7..0}^{2}$
$t^{4}=t^{3}\oplus c$
$t^{5}=M(t_{63..48}^{4})\parallel M(t_{47..32}^{4})\parallel M(t_{31..16}^{4})\parallel M(t_{15..0}^{4})$
$t^{6}=t_{63..56}^{5}\parallel t_{47..40}^{5}\parallel t_{31..24}^{5}\parallel t_{15..8}^{5}\parallel t_{55..48}^{5}\parallel t_{39..32}^{5}\parallel t_{23..16}^{5}\parallel t_{7..0}^{5}$
$t^{7}=t^{6}\oplus c^{'}$
$t^{8}=M(t_{63..48}^{7})\parallel M(t_{47..32}^{7})\parallel M(t_{31..16}^{7})\parallel M(t_{15..0}^{7})$
$m^{i+1}=t^{9}=t_{63..56}^{8}\parallel t_{47..40}^{8}\parallel t_{31..24}^{8}\parallel t_{15..8}^{8}\parallel t_{55..48}^{8}\parallel t_{39..32}^{8}\parallel t_{23..16}^{8}\parallel t_{7..0}^{8}$

Зашифровывание

Зашифрование состоит из 8 раундов, конечный 64-битный зашифрованный текст $S$ можно вычислить из фрагмента открытого текста $m$ по формуле^[9]:

S=k^{8}\oplus R(k^{7}\oplus \dots R(k^{1}\oplus R(k^{0}\oplus m)\dots )

Где $R(x)$ — раундовая функция^[10], описана выше.

Пример зашифровывания открытого текста

Рассмотрим пример зашифровывания открытого текста, описанный создателями CS-cipher^[13]. В нем используется следующие секретный ключ и открытый текст:

m^{0}=

0123456789abcdef

_{16}

k=

0123456789abcdeffedcba9876543210

_{16}

Секретный ключ соответствует вышележащему примеру генерации раундовых ключей, то есть раундовые ключи были подсчитаны выше:

k^{0}=

45fd137a4edf9ec4

_{16}

k^{1}=

1dd43f03e6f7564c

_{16}

k^{2}=

ebe26756de9937c7

_{16}

k^{3}=

961704e945bad4fb

_{16}

k^{4}=

0b60dfe9eff473d4

_{16}

k^{5}=

76d3e7cf52c466cf

_{16}

k^{6}=

75ec8cef767d3a0d

_{16}

k^{7}=

82da3337b598fd6d

_{16}

k^{8}=

fbd820da8dc8af8c

_{16}

Промежуточные результаты для вычисления $m^{1}$ :

t^{3}=

d85c19785690b0e3

_{16}

t^{6}=

0f4bfb9e2f8ac7e2

_{16}

Получим следующие значения на раундах:

m^{1}=

c3feb96c0cf4b649

_{16}

m^{2}=

3f54e0c8e61a84d1

_{16}

m^{3}=

b15cb4af3786976e

_{16}

m^{4}=

76c122b7a562ac45

_{16}

m^{5}=

21300b6ccfaa08d8

_{16}

m^{6}=

99b8d8ab9034ec9a

_{16}

m^{7}=

a2245ba3697445d2

_{16}

В итоге получили следующий зашифрованный текст:

S=

88fddfbe954479d7

_{16}

Расшифровывание

Расшифровывание состоит из 8 раундов, обратных зашифровыванию^[16]. Важно, что алгоритм расшифровки использует сгенерированные ключи в обратном порядке, т. е. $k^{8},k^{7},k^{6},k^{5},k^{4},k^{3},k^{2},k^{1},k^{0}$ ^[2]. Перед началом происходит операция $m^{0}=S\oplus k^{8}$ .

Для удобства и соответствия обозначений, еще раз укажем:

$i$ - номер итерации: от 0 до 7 включительно - всего 8 раундов
$m^{i}$ - 64-битная строка, приходит на вход обратной к раундовой функции $R^{-1}(x)$ в $i$ итерации, $m^{8}$ - открытый текст
$k^{7-i}$ - 64-битный сгенерированный ключ, приходит на вход обратной к раундовой функции $R^{-1}(x)$ в $i$ итерации
$t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}$ - временное 64-битное значение, вычисленное на $i$ шаге обратной к раундовой функции.

Для каждого раунда вызывается следующая последовательность действий^[13]:

$t^{1}=m_{63..56}^{i}\parallel m_{31..24}^{i}\parallel m_{55..48}^{i}\parallel m_{23..16}^{i}\parallel m_{47..40}^{i}\parallel m_{15..8}^{i}\parallel m_{39..32}^{i}\parallel m_{7..0}^{i}$

$t^{2}=M^{-1}(t_{63..48}^{1})\parallel M^{-1}(t_{47..32}^{1})\parallel M^{-1}(t_{31..16}^{1})\parallel M^{-1}(t_{15..0}^{1})$

$t^{3}=t^{2}\oplus c^{'}$

$t^{4}=t_{63..56}^{3}\parallel t_{31..24}^{3}\parallel t_{55..48}^{3}\parallel t_{23..16}^{3}\parallel t_{47..40}^{3}\parallel t_{15..8}^{3}\parallel t_{39..32}^{3}\parallel t_{7..0}^{3}$

$t^{5}=M^{-1}(t_{63..48}^{4})\parallel M^{-1}(t_{47..32}^{4})\parallel M^{-1}(t_{31..16}^{4})\parallel M^{-1}(t_{15..0}^{4})$

$t^{6}=t^{5}\oplus c$

$t^{7}=t_{63..56}^{6}\parallel t_{31..24}^{6}\parallel t_{55..48}^{6}\parallel t_{23..16}^{6}\parallel t_{47..40}^{6}\parallel t_{15..8}^{6}\parallel t_{39..32}^{6}\parallel t_{7..0}^{6}$

$t^{8}=M^{-1}(t_{63..48}^{7})\parallel M^{-1}(t_{47..32}^{7})\parallel M^{-1}(t_{31..16}^{7})\parallel M^{-1}(t_{15..0}^{7})$

$m^{i+1}=t^{9}=t^{8}\oplus k^{7-i}$

Статистическая оценка зашифрованных данных

В ходе участия в проекте NESSIE были проведены множество статистических тестов над зашифрованными данными^[17], в том числе:

Универсальный статистический тест Маурера^[18]
Тест на корреляцию^[19]
Тест на линейную сложность^[20]
Тест собирателя купонов^[21]
Тест на совпадение перекрывающихся шаблонов^[22]
Тест подпоследовательностей^[21]

В результате тестирования шифра не было обнаружено его отклонений от случайного распределения^[23].

Криптоанализ

Марковский шифр

Предположим, у нас есть $r$ раундовый шифр, зашифрованный текст можно получить по формуле: $S=Enc(x)=(\rho _{r}\circ ...\circ \rho _{1})(x)$ , в котором каждый раунд $\rho _{i}$ использует свой ключ $k_{i}$ .

Тогда Марковским шифром называется шифр, для которого для любого раунда $i$ и любых $x$ , $a$ и $b$ выполнено^[24]:

$Pr_{k_{i}}[\rho _{i}(x\oplus a)\oplus \rho _{i}(x)=b]=Pr_{k_{i},X}[\rho _{i}(X\oplus a)\oplus \rho _{i}(X)=b]$

Определение анализируемого шифра

В ходе анализа используется модифицированный шифр CS-cipher, называемый в дальнейшем CSC.

Он получается из шифра CS-cipher следующей заменой:

для шифровки CS-cipher использует следующую последовательность ключей и констант:

k^{0},c,c^{'},k^{1},c,c^{'},...,k^{7},c,c^{'},k^{8}

. Для удобства переобозначим их как

k_{0},k_{1},...,k_{24}

.

По определению^[25] CSC получается из CS-cipher заменой полученной с помощью генерации ключей и констант последовательности $k_{0},k_{1},...,k_{24}$ на 1600-битный случайный ключ $k=(k_{0},k_{1},...,k_{24})$ с равномерным распределением.

Полученный шифр CSC является 24 раундовым блочным Марковским шифром^[26].

Устойчивость к атакам

Для шифра CSC были доказаны:

устойчивость к дифференциальному криптоанализу ^[27]
устойчивость к линейному криптоанализу^[28]
устойчивость к методу невозможных дифференциалов (англ. Impossible differential cryptanalysis)^[29]
устойчивость к методу усеченных разностей (англ. Truncated differential cryptanalysis)^[30]

Поэтому предполагается, что CS-cipher:

устойчив к дифференциальному криптоанализу после 4 раундов шифровки^[27]
устойчив к методу усеченных разностей (англ. Truncated differential cryptanalysis)^[30]
устойчив к линейному криптоанализу^[30]
устойчив к методу невозможных дифференциалов (англ. Impossible differential cryptanalysis) после 6 раундов шифровки^[29]

Реализация

Существует реализации данного алгоритма шифрования на С^[31]( предоставлена авторами):


# define CSC_C10 0xbf
# define CSC_C11 0x71
# define CSC_C12 0x58
# define CSC_C13 0x80
# define CSC_C14 0x9c
# define CSC_C15 0xf4
# define CSC_C16 0xf3
# define CSC_C17 0xc7
uint8 tbp[256]={
0x29,0x0d,0x61,0x40,0x9c,0xeb,0x9e,0x8f,
0x1f,0x85,0x5f,0x58,0x5b,0x01,0x39,0x86,
0x97,0x2e,0xd7,0xd6,0x35,0xae,0x17,0x16,
0x21,0xb6,0x69,0x4e,0xa5,0x72,0x87,0x08,
0x3c,0x18,0xe6,0xe7,0xfa,0xad,0xb8,0x89,
0xb7,0x00,0xf7,0x6f,0x73,0x84,0x11,0x63,
0x3f,0x96,0x7f,0x6e,0xbf,0x14,0x9d,0xac,
0xa4,0x0e,0x7e,0xf6,0x20,0x4a,0x62,0x30,
0x03,0xc5,0x4b,0x5a,0x46,0xa3,0x44,0x65,
0x7d,0x4d,0x3d,0x42,0x79,0x49,0x1b,0x5c,
0xf5,0x6c,0xb5,0x94,0x54,0xff,0x56,0x57,
0x0b,0xf4,0x43,0x0c,0x4f,0x70,0x6d,0x0a,
0xe4,0x02,0x3e,0x2f,0xa2,0x47,0xe0,0xc1,
0xd5,0x1a,0x95,0xa7,0x51,0x5e,0x33,0x2b,
0x5d,0xd4,0x1d,0x2c,0xee,0x75,0xec,0xdd,
0x7c,0x4c,0xa6,0xb4,0x78,0x48,0x3a,0x32,
0x98,0xaf,0xc0,0xe1,0x2d,0x09,0x0f,0x1e,
0xb9,0x27,0x8a,0xe9,0xbd,0xe3,0x9f,0x07,
0xb1,0xea,0x92,0x93,0x53,0x6a,0x31,0x10,
0x80,0xf2,0xd8,0x9b,0x04,0x36,0x06,0x8e,
0xbe,0xa9,0x64,0x45,0x38,0x1c,0x7a,0x6b,
0xf3,0xa1,0xf0,0xcd,0x37,0x25,0x15,0x81,
0xfb,0x90,0xe8,0xd9,0x7b,0x52,0x19,0x28,
0x26,0x88,0xfc,0xd1,0xe2,0x8c,0xa0,0x34,
0x82,0x67,0xda,0xcb,0xc7,0x41,0xe5,0xc4,
0xc8,0xef,0xdb,0xc3,0xcc,0xab,0xce,0xed,
0xd0,0xbb,0xd3,0xd2,0x71,0x68,0x13,0x12,
0x9a,0xb3,0xc2,0xca,0xde,0x77,0xdc,0xdf,
0x66,0x83,0xbc,0x8d,0x60,0xc6,0x22,0x23,
0xb2,0x8b,0x91,0x05,0x76,0xcf,0x74,0xc9,
0xaa,0xf1,0x99,0xa8,0x59,0x50,0x3b,0x2a,
0xfe,0xf9,0x24,0xb0,0xba,0xfd,0xf8,0x55,
};
void enc_csc(uint8 m[8],uint8* k)
{
  uint8 tmpx,tmprx,tmpy;
  int i;
  #define APPLY_M(cl,cr,adl,adr) \
  code=tmpx=m[adl]^cl; \
  code=tmprx=(tmpx<<1)^(tmpx>>7); \
  code=tmpy=m[adr]^cr; \
  code=m[adl]=tbp[(tmprx&0x55)^tmpx^tmpy]; \
  code=m[adr]=tbp[tmprx^tmpy];
  for(code=i=0;i<8;i++,k+=8) 
  {
    APPLY_M(k[0],k[1],0,1)
    APPLY_M(k[2],k[3],2,3)
    APPLY_M(k[4],k[5],4,5)
    APPLY_M(k[6],k[7],6,7)
    APPLY_M(CSC_C00,CSC_C01,0,2)
    APPLY_M(CSC_C02,CSC_C03,4,6)
    APPLY_M(CSC_C04,CSC_C05,1,3)
    APPLY_M(CSC_C06,CSC_C07,5,7)
    APPLY_M(CSC_C10,CSC_C11,0,4)
    APPLY_M(CSC_C12,CSC_C13,1,5)
    APPLY_M(CSC_C14,CSC_C15,2,6)
    APPLY_M(CSC_C16,CSC_C17,3,7)
  }
  for(code=i=0;i<8;i++) 
    code=m[i]^=k[i];
}

код алгоритма шифровки на С

Также авторами собрана статистика скорости зашифровки данных, оказавшаяся быстрее DES^[5]:

Скорость зашифровки данных CS-cipher
платформа	тактовая частота	скорость шифровки
VLSI 1216nand 1mm	230 МГц	73 Мбит/с
VLSI 30000nand 15mm	230 МГц	2 Гбит/с
standard C 32bits	133 МГц	2 Мбит/с
bit slice (Pentium)	133 МГц	11 Мбит/с
bit slice (Alpha)	300 МГц	196 Мбит/с
Pentium assembly code	133 МГц	8 Мбит/с
6805 assembly code	4 МГц	20 Кбит/с

Дальнейшее развитие

На основе CS-cipher в 2004 году Томом Ст. Денис был разработан 128-битный шифр $CS^{2}$ -cipher ^[32].

Полученный шифр был проверен и оказался устойчивым к:

линейному и дифференциалному криптоанализу ^[33]
сдвиговой атаке и атаке методом бумеранга^[34]
атаке на связанных ключах^[34]

Примечания

↑ ¹ ² ³ A first report on CS-Cipher, 2001, p. 1.
↑ ¹ ² ³ ⁴ Cs-Cipher, 1998, p. 190.
↑ ¹ ² NESSIE Public Report D14, 2001, p. 6.
↑ Cs-Cipher, 1998, p. 189.
↑ ¹ ² Cs-Cipher, 1998, p. 201.
↑ NESSIE D20-NESSIE security report, 2003, pp. 4.
↑ ¹ ² NESSIE Public Report D18, 2002, p. 1.
↑ NESSIE D20-NESSIE security report, 2003, p. 77.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ ¹⁰ ¹¹ ¹² ¹³ ¹⁴ Cs-Cipher, 1998, p. 192.
↑ ¹ ² Cs-Cipher, 1998, p. 195.
↑ Cs-Cipher, 1998, p. 196.
↑ ¹ ² ³ Cs-Cipher, 1998, p. 194.
↑ ¹ ² ³ ⁴ ⁵ Cs-Cipher, 1998, p. 197.
↑ ¹ ² Cs-Cipher, 1998, p. 193.
↑ Cs-Cipher, 1998, pp. 193-195.
↑ Cs-Cipher, 1998, pp. 196-197.
↑ The Statistical Evaluation, 2002, pp. 1, 4, 7-16, 18, 21, 22-29.
↑ The Statistical Evaluation, 2002, pp. 10, 24.
↑ The Statistical Evaluation, 2002, pp. 12, 25.
↑ The Statistical Evaluation, 2002, pp. 13, 26.
↑ ¹ ² The Statistical Evaluation, 2002, pp. 9, 23.
↑ The Statistical Evaluation, 2002, pp. 8, 21.
↑ The Statistical Evaluation, 2002, p. 30.
↑ On the security of CS-cipher, 1999, p. 262.
↑ On the security of CS-cipher, 1999, p. 266.
↑ On the security of CS-cipher, 1999, p. 267.
↑ ¹ ² On the security of CS-cipher, 1999, p. 269.
↑ On the security of CS-cipher, 1999, p. 270.
↑ ¹ ² Security against impossible differential cryptanalysis, 2008, p. 10.
↑ ¹ ² ³ On the security of CS-cipher, 1999, p. 272.
↑ Cs-Cipher, 1998, pp. 203-204.
↑ The CS2 Block Cipher, 2004, p. 1.
↑ The CS2 Block Cipher, 2004, p. 8.
↑ ¹ ² The CS2 Block Cipher, 2004, p. 9.

Литература

Bart Van Rompay, Vincent Rijmen, Jorge Nakahara Jr. A first report on CS-Cipher, Hierocrypt, Grand Cru, SAFER++ and SHACAL*† NES/DOC/KUL/WP3/006/1 (англ.). — Katholieke Universiteit Leuven, ESAT-COSIC, 2001. — March.
Fast Software Encryption: 5th International Workshop (англ.) / Vaudenay S. — Paris, France, 1998. — P. 189-204. — 342 p.
Preneel, B. et al. NESSIE D20-NESSIE security report (англ.). — 2003. — 342 p.
Raddum H. The Statistical Evaluation of the NESSIE Submission CS-cipher NES/DOC/UIB/WP3/010 (англ.). — 2002.

Fast Software Encryption: 6th International Workshop (англ.) / Knudsen L.. — Rome, Italy, 1999. — P. 260-274. — 317 p.

St Denis, T. The CS2 Block Cipher (англ.). — 2004.
Le Thi Hoai An, Bouvry P., Dinh T. P. Modelling. Modelling, computation and optimization in information systems and management sciences (англ.). — 2008. — P. 597-606. — 618 p.
Preneel B. et al. NESSIE Public Report D18: Update on the selection of algorithms for further investigation during the second round (англ.). — 2002. — P. 1. — 15 p.
NESSIE Public Report D14: Report on the Performance Evaluation of NESSIE Candidates I (англ.) / Mathieu Ciet and Francesco Sica. — 2001. — P. 6.

[_25f69916f189adf5-1] ¹ ² ³ A first report on CS-Cipher, 2001, p. 1.

[_f99e5530ae33a9ee-2] ¹ ² ³ ⁴ Cs-Cipher, 1998, p. 190.

[_5a2cbdbc9fa1bbf7-3] ¹ ² NESSIE Public Report D14, 2001, p. 6.

[_f99e5630ae33aba8-4] Cs-Cipher, 1998, p. 189.

[_f9a1d430ae36b7b3-5] ¹ ² Cs-Cipher, 1998, p. 201.

[_814206efd19359c3-6] NESSIE D20-NESSIE security report, 2003, pp. 4.

[_d77a437026dc0e49-7] ¹ ² NESSIE Public Report D18, 2002, p. 1.

[_368b89811d618177-8] NESSIE D20-NESSIE security report, 2003, p. 77.

[_f99e5530ae33a9ec-9] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ ¹⁰ ¹¹ ¹² ¹³ ¹⁴ Cs-Cipher, 1998, p. 192.

[_f99e5530ae33a9eb-10] ¹ ² Cs-Cipher, 1998, p. 195.

[_f99e5530ae33a9e8-11] Cs-Cipher, 1998, p. 196.

[_f99e5530ae33a9ea-12] ¹ ² ³ Cs-Cipher, 1998, p. 194.

[_f99e5530ae33a9e9-13] ¹ ² ³ ⁴ ⁵ Cs-Cipher, 1998, p. 197.

[_f99e5530ae33a9ed-14] ¹ ² Cs-Cipher, 1998, p. 193.

[_f7abf5afd9aaf7c9-15] Cs-Cipher, 1998, pp. 193-195.

[_a3c6cd860d2857ee-16] Cs-Cipher, 1998, pp. 196-197.

[_828b1db3ca8c1b8d-17] The Statistical Evaluation, 2002, pp. 1, 4, 7-16, 18, 21, 22-29.

[_e0a97c2d6e78094e-18] The Statistical Evaluation, 2002, pp. 10, 24.

[_b01a983cb8eadb2d-19] The Statistical Evaluation, 2002, pp. 12, 25.

[_3601f04622998aeb-20] The Statistical Evaluation, 2002, pp. 13, 26.

[_514217ad981e5091-21] ¹ ² The Statistical Evaluation, 2002, pp. 9, 23.

[_c7b7bfb4b50d9296-22] The Statistical Evaluation, 2002, pp. 8, 21.

[_a7af4e6ae772ee66-23] The Statistical Evaluation, 2002, p. 30.

[_6bca53479b65e444-24] On the security of CS-cipher, 1999, p. 262.

[_6bca53479b65e440-25] On the security of CS-cipher, 1999, p. 266.

[_6bca53479b65e441-26] On the security of CS-cipher, 1999, p. 267.

[_6bca53479b65e44f-27] ¹ ² On the security of CS-cipher, 1999, p. 269.

[_6bca54479b65e619-28] On the security of CS-cipher, 1999, p. 270.

[_196036b30c77f275-29] ¹ ² Security against impossible differential cryptanalysis, 2008, p. 10.

[_6bca54479b65e61b-30] ¹ ² ³ On the security of CS-cipher, 1999, p. 272.

[_804cb9152c4d269c-31] Cs-Cipher, 1998, pp. 203-204.

[_cf9d272dae96e2eb-32] The CS2 Block Cipher, 2004, p. 1.

[_cf9d272dae96e2e2-33] The CS2 Block Cipher, 2004, p. 8.

[_cf9d272dae96e2e3-34] ¹ ² The CS2 Block Cipher, 2004, p. 9.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

CS-Cipher

Содержание

История

Основные обозначения

Используемые функции

Константы алгоритма

Генерация ключей

Алгоритм генерации ключей

Пример генерации ключей

Шифрование

Краткое описание зашифровки

Формальное описание алгоритма

Раундовая функции $R(x)$

Зашифровывание

Пример зашифровывания открытого текста

Расшифровывание

Статистическая оценка зашифрованных данных

Криптоанализ

Марковский шифр

Определение анализируемого шифра

Устойчивость к атакам

Реализация

Дальнейшее развитие

Примечания

Литература

Portal di Ensiklopedia Dunia

CS-Cipher

История

Основные обозначения

Используемые функции

Константы алгоритма

Генерация ключей

Алгоритм генерации ключей

Пример генерации ключей

Шифрование

Краткое описание зашифровки

Формальное описание алгоритма

Раундовая функции R ( x ) {\displaystyle R(x)}

Зашифровывание

Пример зашифровывания открытого текста

Расшифровывание

Статистическая оценка зашифрованных данных

Криптоанализ

Марковский шифр

Определение анализируемого шифра

Устойчивость к атакам

Реализация

Дальнейшее развитие

Примечания

Литература

Portal di Ensiklopedia Dunia

Раундовая функции $R(x)$