Cs-cipher ( фр. Chiffrement Symètrique , симметричный шифр) — симметричный 64 битный блочный алгоритм шифрования данных , использующий длину ключа до 128 бит . По принципу работы является 8 раундовой SP-сетью .

История

Cs-cipher разработали в 1998 году ( англ. ) и ( англ. ) при поддержке Compagnie des Signaux . Он был представлен в качестве кандидата в проекте NESSIE в рамках программы Европейской комиссии IST ( англ. Information Societies Technology , информационные общественные технологии) в конкурсной группе 64-битных блочных шифров . Несмотря на то, что при исследовании не было обнаружено уязвимостей , шифр не был выбран для 2 фазы проекта , потому что оказался самым медленным в своей группе .

Основные обозначения

Используемые функции

Для начала обозначим следующие обозначения:

• ${\displaystyle P(x)=z_{l}\parallel z_{r}}$ - независимая перестановка 8-битных строк . Определяется как трех-раундовая сеть Фейстеля :
  • 8-битная входная строка делится на две 4-битных ${\displaystyle x=x_{l}\parallel x_{r}}$
  • ${\displaystyle y=x_{l}\oplus f(x_{r})}$
  • ${\displaystyle z_{r}=x_{r}\oplus g(y)}$
  • ${\displaystyle z_{l}=y\oplus f(z_{r})}$
  • Результатом является строка ${\displaystyle z=z_{l}\parallel z_{r}}$
    • Функции ${\displaystyle f(x)}$ и ${\displaystyle g(x)}$ задаются таблицей:

таблица ${\displaystyle f(x)}$ и ${\displaystyle g(x)}$

x	0	1	2	3	4	5	6	7	8	9	a	b	c	d	e	f
${\displaystyle f(x)}$	f	d	b	b	7	5	7	7	e	d	a	b	e	d	e	f
${\displaystyle g(x)}$	a	6	0	2	b	e	1	8	d	4	5	3	f	c	7	9

В конечном итоге ${\displaystyle P(x)}$ задается с помощью таблицы :

таблица ${\displaystyle P(x)}$

xy	.0	.1	.2	.3	.4	.5	.6	.7	.8	.9	.a	.b	.c	.d	.e	.f
0.	29	0d	61	40	9c	eb	9e	8f	1f	85	5f	58	5b	01	39	86
1.	97	2e	d7	d6	35	ae	17	16	21	b6	69	4e	a5	72	87	08
2.	3c	18	e6	e7	fa	ad	b8	89	b7	00	f7	6f	73	84	11	63
3.	3f	96	7f	6e	bf	14	9d	ac	a4	0e	7e	f6	20	4a	62	30
4.	03	c5	4b	5a	46	a3	44	65	7d	4d	3d	42	79	49	1b	5c
5.	f5	6c	b5	94	54	ff	56	57	0b	f4	43	0c	4f	70	6d	0a
6.	e4	02	3e	2f	a2	47	e0	c1	d5	1a	95	a7	51	5e	33	2b
7.	5d	d4	1d	2c	ee	75	ec	dd	7c	4c	a6	b4	78	48	3a	32
8.	98	af	c0	e1	2d	09	0f	1e	b9	27	8a	e9	bd	e3	9f	07
9.	b1	ea	92	93	53	6a	31	10	80	f2	d8	9b	04	36	06	8e
a.	be	a9	64	45	38	1c	7a	6b	f3	a1	f0	cd	37	25	15	81
b.	fb	90	e8	d9	7b	52	19	28	26	88	fc	d1	e2	8c	a0	34
c.	82	67	da	cb	c7	41	e5	c4	c8	ef	db	c3	cc	ab	ce	ed
d.	d0	bb	d3	d2	71	68	13	12	9a	b3	c2	ca	de	77	dc	df
e.	66	83	bc	8d	60	c6	22	23	b2	8b	91	05	76	cf	74	c9
f.	aa	f1	99	a8	59	50	3b	2a	fe	f9	24	b0	ba	fd	f8	55

• Например ${\displaystyle P(}$ 26 ${\displaystyle _{16})}$ :
  • ${\displaystyle y=}$ 2 ${\displaystyle _{16}\oplus f(}$ 6 ${\displaystyle _{16})=}$ 2 ${\displaystyle _{16}\oplus }$ 7 ${\displaystyle _{16}=}$ 5 ${\displaystyle _{16}}$
  • ${\displaystyle z_{r}=}$ 6 ${\displaystyle _{16}\oplus g(y)=}$ 6 ${\displaystyle _{16}\oplus }$ e ${\displaystyle _{16}=8}$
  • ${\displaystyle z_{l}=y\oplus f(z_{r})=}$ 5 ${\displaystyle _{16}\oplus }$ e ${\displaystyle _{16}=}$ b ${\displaystyle _{16}}$
  • Итого: ${\displaystyle P(}$ 26 ${\displaystyle _{16})=}$ b8 ${\displaystyle _{16}}$

• ${\displaystyle P^{8}(x)=P(x_{63..56})\parallel P(x_{55..48})\parallel P(x_{47..40})\parallel P(x_{39..32})\parallel P(x_{31..24})\parallel P(x_{23..16})\parallel P(x_{15..8})\parallel P(x_{7..0})}$ - преобразование 64-битной строки, используется для генерации ключей и в раундовой функции
• ${\displaystyle T(z)=z_{63}\parallel z_{55}\parallel \dots \parallel z_{7}\parallel z_{62}\parallel z_{54}\parallel \dots \parallel z_{0}}$ - битовая транспозиция , в данном случае транспонирование матрицы , составленной из 8 битных строк, используется при генерации ключей. На вход функция принимает 64-битную строку
• ${\displaystyle R_{l}(x)}$ - функция циклического битового сдвига влево, в данном случае принимает 8-битную строку: ${\displaystyle R(x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0})=x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0}\parallel x_{7}}$
• ${\displaystyle \varphi (x)=(R_{l}(x)\land 55_{16})\oplus x}$ - преобразование , используется в раундовой функции. На вход принимает 8-битную строку, если упростить получим :
  • ${\displaystyle \varphi (x_{7}\parallel x_{6}\parallel x_{5}\parallel x_{4}\parallel x_{3}\parallel x_{2}\parallel x_{1}\parallel x_{0})=x_{7}\parallel (x_{6}\oplus x_{5})\parallel x_{5}\parallel (x_{4}\oplus x_{3})\parallel x_{3}\parallel (x_{2}\oplus x_{1})\parallel x_{1}\parallel (x_{0}\oplus x_{7})}$
• ${\displaystyle \phi ^{'}(x)=(R_{l}(x)\land aa_{16})\oplus x}$ - преобразование , используется при расшифровке. На вход принимает 8-битную строку
• ${\displaystyle M(x)}$ - преобразование, используется в раундовой функции , берет на вход 16-битные строки ${\displaystyle x=x_{l}\parallel x_{r}}$ , результатом является 16-битная строка ${\displaystyle M(x)=y_{l}\parallel y_{r}}$ , в свою очередь:
  • ${\displaystyle y_{l}=P(\varphi (x_{l})\oplus x_{r})}$
  • ${\displaystyle y_{r}=P(R_{l}(x_{l})\oplus x_{r})}$
• ${\displaystyle M^{-1}(y_{l}\parallel y_{r})}$ - преобразование, используется при расшифровке , берет на вход 16-битные строки ${\displaystyle y=y_{l}\parallel y_{r}}$ , результатом является 16-битная строка ${\displaystyle M^{-1}(y)=x_{l}\parallel x_{r}}$ , в свою очередь:
  • ${\displaystyle x_{l}=\phi ^{'}(P(y_{l})\oplus P(y_{r}))}$
  • ${\displaystyle x_{r}=R_{l}(x_{l})\oplus P(y_{r})}$
• ${\displaystyle F_{c_{i}}(x)=T(P^{8}(x\oplus c^{i}))}$ - используется для генерации ключей

Константы алгоритма

Ниже представлен список констант, заданных создателями алгоритма:

• ${\displaystyle c=}$ b7e151628aed2a6a ${\displaystyle _{16}}$ , требуется для раундовой функции
• ${\displaystyle c^{'}=}$ bf7158809cf4f3c7 ${\displaystyle _{16}}$ , требуется для раундовой функции
• ${\displaystyle c^{0}=}$ 290d61409ceb9e8f ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{1}=}$ 1f855f585b013986 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{2}=}$ 972ed7d635ae1716 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{3}=}$ 21b6694ea5728708 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{4}=}$ 3c18e6e7faadb889 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{5}=}$ b700f76f73841163 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{6}=}$ 3f967f6ebf149dac ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{7}=}$ a40e7ef6204a6230 ${\displaystyle _{16}}$ , требуется для генерации ключей
• ${\displaystyle c^{8}=}$ 03c54b5a46a34465 ${\displaystyle _{16}}$ , требуется для генерации ключей

Генерация ключей

Если секретный ключ, используемый в шифре меньше 128 бит, то первые биты заполняются нулями , поэтому в дальнейшем будем считать секретный ключ 128 битным.

Алгоритм генерации ключей

Согласно следующему алгоритму в шифре из 128-битного ключа генерируется 9 подключей ${\displaystyle k^{0},k^{1},...,k^{8}}$ размером 64 бита:

• первоначально ключ делится на две 64 битные половины , таким образом мы получаем начальные параметры:

${\displaystyle k=k^{-1}\parallel k^{-2}}$

• Для генерации последующих ключей используется рекуррентная формула :

${\displaystyle k^{i}=k^{i-2}\oplus F_{c^{i}}(k^{i-1})}$

Пример генерации ключей

Рассмотрим пример генерации ключей, описанный создателями CS-cipher . В нем используется секретный ключ

${\displaystyle k=}$ 0123456789abcdeffedcba9876543210 ${\displaystyle _{16}}$ .

Согласно рассмотренному выше, получаем начальные параметры для генерирования раундовых ключей:

${\displaystyle k^{-1}=}$ 0123456789abcdef ${\displaystyle _{16}}$

${\displaystyle k^{-2}=}$ fedcba9876543210 ${\displaystyle _{16}}$

Рассмотрим подробно генерацию ключа ${\displaystyle k^{0}}$ :

${\displaystyle k^{0}=k^{-2}\oplus F_{c_{0}}(k^{-1})=k^{-2}\oplus T(P^{8}(k^{-1}\oplus c^{0}))=}$

${\displaystyle =k^{-2}\oplus T(P^{8}(}$ 0123456789abcdef ${\displaystyle _{16}\oplus }$ 290d61409ceb9e8f ${\displaystyle _{16}))=}$

${\displaystyle =k^{-2}\oplus T(}$ b711fa89ae0394e4 ${\displaystyle _{16})=}$ fedcba9876543210 ${\displaystyle _{16}\oplus }$ bb21a9e2388bacd4 ${\displaystyle _{16}}$

Конечный результат работы алготитма генерации:

${\displaystyle k^{0}=}$ 45fd137a4edf9ec4 ${\displaystyle _{16}}$

${\displaystyle k^{1}=}$ 1dd43f03e6f7564c ${\displaystyle _{16}}$

${\displaystyle k^{2}=}$ ebe26756de9937c7 ${\displaystyle _{16}}$

${\displaystyle k^{3}=}$ 961704e945bad4fb ${\displaystyle _{16}}$

${\displaystyle k^{4}=}$ 0b60dfe9eff473d4 ${\displaystyle _{16}}$

${\displaystyle k^{5}=}$ 76d3e7cf52c466cf ${\displaystyle _{16}}$

${\displaystyle k^{6}=}$ 75ec8cef767d3a0d ${\displaystyle _{16}}$

${\displaystyle k^{7}=}$ 82da3337b598fd6d ${\displaystyle _{16}}$

${\displaystyle k^{8}=}$ fbd820da8dc8af8c ${\displaystyle _{16}}$

Шифрование

Краткое описание зашифровки

Каждый раунд шифровки начинается с операции XOR над входящей 64-битной строкой и подключа. Затем 64-битная строка разделяется на 4 16-битных строки, над которыми происходит нелинейное преобразование( ${\displaystyle M(x)}$ ). После этого строки снова делятся, на этот раз в результате получается 8 8-битных строк, которые затем переставляются. Данные действия повторяются еще дважды в каждом раунде, разница лишь в том, что операция XOR происходит с заданными константами, а не со сгенерированным ключом. После последнего раунда следует дополнительная операция XOR с оставшимся сгенерированным ключом .

Формальное описание алгоритма

Первоначально определим:

• ${\displaystyle m^{i}}$ - 64-битная строка, приходит на вход раундовой функции ${\displaystyle R(x)}$ в ${\displaystyle i}$ итерации
• ${\displaystyle t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}}$ - временное 64-битное значение, вычисленное на ${\displaystyle i}$ шаге раундовой функции
• ${\displaystyle S}$ - 64-битная строка, конечный зашифрованный текст

Раундовая функции ${\displaystyle R(x)}$

Раундовая функция состоит из следующих действий :

1. ${\displaystyle t^{1}=x}$
2. ${\displaystyle t^{2}=M(t_{63..48}^{1})\parallel M(t_{47..32}^{1})\parallel M(t_{31..16}^{1})\parallel M(t_{15..0}^{1})}$
3. ${\displaystyle t^{3}=t_{63..56}^{2}\parallel t_{47..40}^{2}\parallel t_{31..24}^{2}\parallel t_{15..8}^{2}\parallel t_{55..48}^{2}\parallel t_{39..32}^{2}\parallel t_{23..16}^{2}\parallel t_{7..0}^{2}}$
4. ${\displaystyle t^{4}=t^{3}\oplus c}$
5. ${\displaystyle t^{5}=M(t_{63..48}^{4})\parallel M(t_{47..32}^{4})\parallel M(t_{31..16}^{4})\parallel M(t_{15..0}^{4})}$
6. ${\displaystyle t^{6}=t_{63..56}^{5}\parallel t_{47..40}^{5}\parallel t_{31..24}^{5}\parallel t_{15..8}^{5}\parallel t_{55..48}^{5}\parallel t_{39..32}^{5}\parallel t_{23..16}^{5}\parallel t_{7..0}^{5}}$
7. ${\displaystyle t^{7}=t^{6}\oplus c^{'}}$
8. ${\displaystyle t^{8}=M(t_{63..48}^{7})\parallel M(t_{47..32}^{7})\parallel M(t_{31..16}^{7})\parallel M(t_{15..0}^{7})}$
9. ${\displaystyle m^{i+1}=t^{9}=t_{63..56}^{8}\parallel t_{47..40}^{8}\parallel t_{31..24}^{8}\parallel t_{15..8}^{8}\parallel t_{55..48}^{8}\parallel t_{39..32}^{8}\parallel t_{23..16}^{8}\parallel t_{7..0}^{8}}$

Зашифровывание

Зашифрование состоит из 8 раундов, конечный 64-битный зашифрованный текст ${\displaystyle S}$ можно вычислить из фрагмента открытого текста ${\displaystyle m}$ по формуле :

${\displaystyle S=k^{8}\oplus R(k^{7}\oplus \dots R(k^{1}\oplus R(k^{0}\oplus m)\dots )}$

Где ${\displaystyle R(x)}$ — раундовая функция , описана выше.

Пример зашифровывания открытого текста

Рассмотрим пример зашифровывания открытого текста, описанный создателями CS-cipher . В нем используется следующие секретный ключ и открытый текст:

${\displaystyle m^{0}=}$ 0123456789abcdef ${\displaystyle _{16}}$

${\displaystyle k=}$ 0123456789abcdeffedcba9876543210 ${\displaystyle _{16}}$

Секретный ключ соответствует вышележащему примеру генерации раундовых ключей, то есть раундовые ключи были подсчитаны выше:

${\displaystyle k^{0}=}$ 45fd137a4edf9ec4 ${\displaystyle _{16}}$

${\displaystyle k^{1}=}$ 1dd43f03e6f7564c ${\displaystyle _{16}}$

${\displaystyle k^{2}=}$ ebe26756de9937c7 ${\displaystyle _{16}}$

${\displaystyle k^{3}=}$ 961704e945bad4fb ${\displaystyle _{16}}$

${\displaystyle k^{4}=}$ 0b60dfe9eff473d4 ${\displaystyle _{16}}$

${\displaystyle k^{5}=}$ 76d3e7cf52c466cf ${\displaystyle _{16}}$

${\displaystyle k^{6}=}$ 75ec8cef767d3a0d ${\displaystyle _{16}}$

${\displaystyle k^{7}=}$ 82da3337b598fd6d ${\displaystyle _{16}}$

${\displaystyle k^{8}=}$ fbd820da8dc8af8c ${\displaystyle _{16}}$

Промежуточные результаты для вычисления ${\displaystyle m^{1}}$ :

${\displaystyle t^{3}=}$ d85c19785690b0e3 ${\displaystyle _{16}}$

${\displaystyle t^{6}=}$ 0f4bfb9e2f8ac7e2 ${\displaystyle _{16}}$

Получим следующие значения на раундах:

${\displaystyle m^{1}=}$ c3feb96c0cf4b649 ${\displaystyle _{16}}$

${\displaystyle m^{2}=}$ 3f54e0c8e61a84d1 ${\displaystyle _{16}}$

${\displaystyle m^{3}=}$ b15cb4af3786976e ${\displaystyle _{16}}$

${\displaystyle m^{4}=}$ 76c122b7a562ac45 ${\displaystyle _{16}}$

${\displaystyle m^{5}=}$ 21300b6ccfaa08d8 ${\displaystyle _{16}}$

${\displaystyle m^{6}=}$ 99b8d8ab9034ec9a ${\displaystyle _{16}}$

${\displaystyle m^{7}=}$ a2245ba3697445d2 ${\displaystyle _{16}}$

В итоге получили следующий зашифрованный текст:

${\displaystyle S=}$ 88fddfbe954479d7 ${\displaystyle _{16}}$

Расшифровывание

Расшифровывание состоит из 8 раундов, обратных зашифровыванию . Важно, что алгоритм расшифровки использует сгенерированные ключи в обратном порядке, т. е. ${\displaystyle k^{8},k^{7},k^{6},k^{5},k^{4},k^{3},k^{2},k^{1},k^{0}}$ . Перед началом происходит операция ${\displaystyle m^{0}=S\oplus k^{8}}$ .

Для удобства и соответствия обозначений, еще раз укажем:

• ${\displaystyle i}$ - номер итерации: от 0 до 7 включительно - всего 8 раундов
• ${\displaystyle m^{i}}$ - 64-битная строка, приходит на вход обратной к раундовой функции ${\displaystyle R^{-1}(x)}$ в ${\displaystyle i}$ итерации, ${\displaystyle m^{8}}$ - открытый текст
• ${\displaystyle k^{7-i}}$ - 64-битный сгенерированный ключ, приходит на вход обратной к раундовой функции ${\displaystyle R^{-1}(x)}$ в ${\displaystyle i}$ итерации
• ${\displaystyle t^{i}=t_{63..56}^{i}\parallel t_{55..48}^{i}\parallel t_{47..40}^{i}\parallel t_{39..32}^{i}\parallel t_{31..24}^{i}\parallel t_{23..16}^{i}\parallel t_{15..8}^{i}\parallel t_{7..0}^{i}}$ - временное 64-битное значение, вычисленное на ${\displaystyle i}$ шаге обратной к раундовой функции.

Для каждого раунда вызывается следующая последовательность действий :

${\displaystyle t^{1}=m_{63..56}^{i}\parallel m_{31..24}^{i}\parallel m_{55..48}^{i}\parallel m_{23..16}^{i}\parallel m_{47..40}^{i}\parallel m_{15..8}^{i}\parallel m_{39..32}^{i}\parallel m_{7..0}^{i}}$

${\displaystyle t^{2}=M^{-1}(t_{63..48}^{1})\parallel M^{-1}(t_{47..32}^{1})\parallel M^{-1}(t_{31..16}^{1})\parallel M^{-1}(t_{15..0}^{1})}$

${\displaystyle t^{3}=t^{2}\oplus c^{'}}$

${\displaystyle t^{4}=t_{63..56}^{3}\parallel t_{31..24}^{3}\parallel t_{55..48}^{3}\parallel t_{23..16}^{3}\parallel t_{47..40}^{3}\parallel t_{15..8}^{3}\parallel t_{39..32}^{3}\parallel t_{7..0}^{3}}$

${\displaystyle t^{5}=M^{-1}(t_{63..48}^{4})\parallel M^{-1}(t_{47..32}^{4})\parallel M^{-1}(t_{31..16}^{4})\parallel M^{-1}(t_{15..0}^{4})}$

${\displaystyle t^{6}=t^{5}\oplus c}$

${\displaystyle t^{7}=t_{63..56}^{6}\parallel t_{31..24}^{6}\parallel t_{55..48}^{6}\parallel t_{23..16}^{6}\parallel t_{47..40}^{6}\parallel t_{15..8}^{6}\parallel t_{39..32}^{6}\parallel t_{7..0}^{6}}$

${\displaystyle t^{8}=M^{-1}(t_{63..48}^{7})\parallel M^{-1}(t_{47..32}^{7})\parallel M^{-1}(t_{31..16}^{7})\parallel M^{-1}(t_{15..0}^{7})}$

${\displaystyle m^{i+1}=t^{9}=t^{8}\oplus k^{7-i}}$

Статистическая оценка зашифрованных данных

В ходе участия в проекте NESSIE были проведены множество статистических тестов над зашифрованными данными , в том числе:

• Универсальный статистический тест Маурера
• Тест на корреляцию
• Тест на линейную сложность
• Тест собирателя купонов
• Тест на совпадение перекрывающихся шаблонов
• Тест подпоследовательностей

В результате тестирования шифра не было обнаружено его отклонений от случайного распределения .

Криптоанализ

Марковский шифр

Предположим, у нас есть ${\displaystyle r}$ раундовый шифр, зашифрованный текст можно получить по формуле: ${\displaystyle S=Enc(x)=(\rho _{r}\circ ...\circ \rho _{1})(x)}$ , в котором каждый раунд ${\displaystyle \rho _{i}}$ использует свой ключ ${\displaystyle k_{i}}$ .

Тогда Марковским шифром называется шифр, для которого для любого раунда ${\displaystyle i}$ и любых ${\displaystyle x}$ , ${\displaystyle a}$ и ${\displaystyle b}$ выполнено :

${\displaystyle Pr_{k_{i}}[\rho _{i}(x\oplus a)\oplus \rho _{i}(x)=b]=Pr_{k_{i},X}[\rho _{i}(X\oplus a)\oplus \rho _{i}(X)=b]}$

Определение анализируемого шифра

В ходе анализа используется модифицированный шифр CS-cipher, называемый в дальнейшем CSC.

Он получается из шифра CS-cipher следующей заменой:

• для шифровки CS-cipher использует следующую последовательность ключей и констант:

${\displaystyle k^{0},c,c^{'},k^{1},c,c^{'},...,k^{7},c,c^{'},k^{8}}$ . Для удобства переобозначим их как ${\displaystyle k_{0},k_{1},...,k_{24}}$ .

• По определению CSC получается из CS-cipher заменой полученной с помощью генерации ключей и констант последовательности ${\displaystyle k_{0},k_{1},...,k_{24}}$ на 1600-битный случайный ключ ${\displaystyle k=(k_{0},k_{1},...,k_{24})}$ с равномерным распределением.

Полученный шифр CSC является 24 раундовым блочным Марковским шифром .

Устойчивость к атакам

Для шифра CSC были доказаны:

• устойчивость к дифференциальному криптоанализу
• устойчивость к линейному криптоанализу
• устойчивость к ( англ. )
• устойчивость к ( англ. )

Поэтому предполагается, что CS-cipher:

• устойчив к дифференциальному криптоанализу после 4 раундов шифровки
• устойчив к ( англ. )
• устойчив к линейному криптоанализу
• устойчив к ( англ. ) после 6 раундов шифровки

Реализация

Существует реализации данного алгоритма шифрования на С ( предоставлена авторами):

# define CSC_C10 0xbf
# define CSC_C11 0x71
# define CSC_C12 0x58
# define CSC_C13 0x80
# define CSC_C14 0x9c
# define CSC_C15 0xf4
# define CSC_C16 0xf3
# define CSC_C17 0xc7
uint8 tbp[256]={
0x29,0x0d,0x61,0x40,0x9c,0xeb,0x9e,0x8f,
0x1f,0x85,0x5f,0x58,0x5b,0x01,0x39,0x86,
0x97,0x2e,0xd7,0xd6,0x35,0xae,0x17,0x16,
0x21,0xb6,0x69,0x4e,0xa5,0x72,0x87,0x08,
0x3c,0x18,0xe6,0xe7,0xfa,0xad,0xb8,0x89,
0xb7,0x00,0xf7,0x6f,0x73,0x84,0x11,0x63,
0x3f,0x96,0x7f,0x6e,0xbf,0x14,0x9d,0xac,
0xa4,0x0e,0x7e,0xf6,0x20,0x4a,0x62,0x30,
0x03,0xc5,0x4b,0x5a,0x46,0xa3,0x44,0x65,
0x7d,0x4d,0x3d,0x42,0x79,0x49,0x1b,0x5c,
0xf5,0x6c,0xb5,0x94,0x54,0xff,0x56,0x57,
0x0b,0xf4,0x43,0x0c,0x4f,0x70,0x6d,0x0a,
0xe4,0x02,0x3e,0x2f,0xa2,0x47,0xe0,0xc1,
0xd5,0x1a,0x95,0xa7,0x51,0x5e,0x33,0x2b,
0x5d,0xd4,0x1d,0x2c,0xee,0x75,0xec,0xdd,
0x7c,0x4c,0xa6,0xb4,0x78,0x48,0x3a,0x32,
0x98,0xaf,0xc0,0xe1,0x2d,0x09,0x0f,0x1e,
0xb9,0x27,0x8a,0xe9,0xbd,0xe3,0x9f,0x07,
0xb1,0xea,0x92,0x93,0x53,0x6a,0x31,0x10,
0x80,0xf2,0xd8,0x9b,0x04,0x36,0x06,0x8e,
0xbe,0xa9,0x64,0x45,0x38,0x1c,0x7a,0x6b,
0xf3,0xa1,0xf0,0xcd,0x37,0x25,0x15,0x81,
0xfb,0x90,0xe8,0xd9,0x7b,0x52,0x19,0x28,
0x26,0x88,0xfc,0xd1,0xe2,0x8c,0xa0,0x34,
0x82,0x67,0xda,0xcb,0xc7,0x41,0xe5,0xc4,
0xc8,0xef,0xdb,0xc3,0xcc,0xab,0xce,0xed,
0xd0,0xbb,0xd3,0xd2,0x71,0x68,0x13,0x12,
0x9a,0xb3,0xc2,0xca,0xde,0x77,0xdc,0xdf,
0x66,0x83,0xbc,0x8d,0x60,0xc6,0x22,0x23,
0xb2,0x8b,0x91,0x05,0x76,0xcf,0x74,0xc9,
0xaa,0xf1,0x99,0xa8,0x59,0x50,0x3b,0x2a,
0xfe,0xf9,0x24,0xb0,0xba,0xfd,0xf8,0x55,
};
void enc_csc(uint8 m[8],uint8* k)
{
  uint8 tmpx,tmprx,tmpy;
  int i;
  #define APPLY_M(cl,cr,adl,adr) \
  code=tmpx=m[adl]^cl; \
  code=tmprx=(tmpx<<1)^(tmpx>>7); \
  code=tmpy=m[adr]^cr; \
  code=m[adl]=tbp[(tmprx&0x55)^tmpx^tmpy]; \
  code=m[adr]=tbp[tmprx^tmpy];
  for(code=i=0;i<8;i++,k+=8) 
  {
    APPLY_M(k[0],k[1],0,1)
    APPLY_M(k[2],k[3],2,3)
    APPLY_M(k[4],k[5],4,5)
    APPLY_M(k[6],k[7],6,7)
    APPLY_M(CSC_C00,CSC_C01,0,2)
    APPLY_M(CSC_C02,CSC_C03,4,6)
    APPLY_M(CSC_C04,CSC_C05,1,3)
    APPLY_M(CSC_C06,CSC_C07,5,7)
    APPLY_M(CSC_C10,CSC_C11,0,4)
    APPLY_M(CSC_C12,CSC_C13,1,5)
    APPLY_M(CSC_C14,CSC_C15,2,6)
    APPLY_M(CSC_C16,CSC_C17,3,7)
  }
  for(code=i=0;i<8;i++) 
    code=m[i]^=k[i];
}

код алгоритма шифровки на С

Также авторами собрана статистика скорости зашифровки данных, оказавшаяся быстрее DES :

Скорость зашифровки данных CS-cipher

платформа	тактовая частота	скорость шифровки
VLSI 1216nand 1mm	230 МГц	73 Мбит/с
VLSI 30000nand 15mm	230 МГц	2 Гбит/с
standard C 32bits	133 МГц	2 Мбит/с
bit slice (Pentium)	133 МГц	11 Мбит/с
bit slice (Alpha)	300 МГц	196 Мбит/с
Pentium assembly code	133 МГц	8 Мбит/с
6805 assembly code	4 МГц	20 Кбит/с

Дальнейшее развитие

На основе CS-cipher в 2004 году Томом Ст. Денис был разработан 128-битный шифр ${\displaystyle CS^{2}}$ -cipher .

Полученный шифр был проверен и оказался устойчивым к:

• линейному и дифференциалному криптоанализу
• сдвиговой атаке и атаке методом бумеранга
• атаке на связанных ключах

Примечания

Литература

• Bart Van Rompay, Vincent Rijmen, Jorge Nakahara Jr. (англ.) . — Katholieke Universiteit Leuven, ESAT-COSIC, 2001. — March.
• (англ.) / Vaudenay S. — Paris, France, 1998. — P. 189-204. — 342 p.
• Preneel, B. et al. (англ.) . — 2003. — 342 p.
• Raddum H. (англ.) . — 2002.

• (англ.) / Knudsen L.. — Rome, Italy, 1999. — P. 260-274. — 317 p.

• St Denis, T. (англ.) . — 2004.
• Le Thi Hoai An, Bouvry P., Dinh T. P. Modelling. (англ.) . — 2008. — P. 597-606. — 618 p.
• Preneel B. et al. (англ.) . — 2002. — P. 1. — 15 p.
• (англ.) / Mathieu Ciet and Francesco Sica. — 2001. — P. 6 .