CS-Cipher

Cs-cipher (Шаблон:Lang-fr, симметричный шифр) — симметричный 64 битный Шаблон:Sfn блочный алгоритм шифрования данных Шаблон:Sfn, использующий длину ключа до 128 битШаблон:Sfn. По принципу работы является 8 раундовой SP-сетьюШаблон:Sfn.

Cs-cipher разработали в 1998 году Шаблон:Не переведено 2 и Шаблон:Не переведено 2 Шаблон:Sfn при поддержке Compagnie des SignauxШаблон:Sfn . Он был представлен в качестве кандидата в проекте NESSIE в рамках программы Европейской комиссии IST (Шаблон:Lang-en, информационные общественные технологии) в конкурсной группе 64-битных блочных шифровШаблон:Sfn. Несмотря на то, что при исследовании не было обнаружено уязвимостейШаблон:Sfn, шифр не был выбран для 2 фазы проектаШаблон:Sfn, потому что оказался самым медленным в своей группеШаблон:Sfn.

Для начала обозначим следующие обозначения:

• ${\displaystyle P(x)=z_l\parallel z_r}$ - независимая перестановка 8-битных строк Шаблон:Sfn. Определяется как трех-раундовая сеть ФейстеляШаблон:Sfn:
  • 8-битная входная строка делится на две 4-битных ${\displaystyle x=x_l\parallel x_r}$
  • ${\displaystyle y=x_l\oplus f(x_r)}$
  • ${\displaystyle z_r=x_r\oplus g(y)}$
  • ${\displaystyle z_l=y\oplus f(z_r)}$
  • Результатом является строка ${\displaystyle z=z_l\parallel z_r}$
    • Функции ${\displaystyle f(x)}$ и ${\displaystyle g(x)}$ задаются таблицей:

таблица ${\displaystyle f(x)}$ и ${\displaystyle g(x)}$

x	0	1	2	3	4	5	6	7	8	9	a	b	c	d	e	f
${\displaystyle f(x)}$	f	d	b	b	7	5	7	7	e	d	a	b	e	d	e	f
${\displaystyle g(x)}$	a	6	0	2	b	e	1	8	d	4	5	3	f	c	7	9

В конечном итоге ${\displaystyle P(x)}$ задается с помощью таблицыШаблон:Sfn:

таблица ${\displaystyle P(x)}$

xy	.0	.1	.2	.3	.4	.5	.6	.7	.8	.9	.a	.b	.c	.d	.e	.f
0.	29	0d	61	40	9c	eb	9e	8f	1f	85	5f	58	5b	01	39	86
1.	97	2e	d7	d6	35	ae	17	16	21	b6	69	4e	a5	72	87	08
2.	3c	18	e6	e7	fa	ad	b8	89	b7	00	f7	6f	73	84	11	63
3.	3f	96	7f	6e	bf	14	9d	ac	a4	0e	7e	f6	20	4a	62	30
4.	03	c5	4b	5a	46	a3	44	65	7d	4d	3d	42	79	49	1b	5c
5.	f5	6c	b5	94	54	ff	56	57	0b	f4	43	0c	4f	70	6d	0a
6.	e4	02	3e	2f	a2	47	e0	c1	d5	1a	95	a7	51	5e	33	2b
7.	5d	d4	1d	2c	ee	75	ec	dd	7c	4c	a6	b4	78	48	3a	32
8.	98	af	c0	e1	2d	09	0f	1e	b9	27	8a	e9	bd	e3	9f	07
9.	b1	ea	92	93	53	6a	31	10	80	f2	d8	9b	04	36	06	8e
a.	be	a9	64	45	38	1c	7a	6b	f3	a1	f0	cd	37	25	15	81
b.	fb	90	e8	d9	7b	52	19	28	26	88	fc	d1	e2	8c	a0	34
c.	82	67	da	cb	c7	41	e5	c4	c8	ef	db	c3	cc	ab	ce	ed
d.	d0	bb	d3	d2	71	68	13	12	9a	b3	c2	ca	de	77	dc	df
e.	66	83	bc	8d	60	c6	22	23	b2	8b	91	05	76	cf	74	c9
f.	aa	f1	99	a8	59	50	3b	2a	fe	f9	24	b0	ba	fd	f8	55

• Например ${\displaystyle P(}$ 26${}_{16})$:
  • ${\displaystyle y=}$2${}_{16}\oplus f($ 6${}_{16})=$ 2${}_{16}\oplus$ 7${}_{16}=$ 5${}_{16}$
  • ${\displaystyle z_r=}$ 6${}_{16}\oplus g(y)=$ 6${}_{16}\oplus$ e${}_{16}=8$
  • ${\displaystyle z_l=y\oplus f(z_r)=}$ 5${}_{16}\oplus$ e${}_{16}=$ b${}_{16}$
  • Итого: ${\displaystyle P(}$ 26${}_{16})=$ b8${}_{16}$

• ${\displaystyle P^8(x)=P(x_{63..56})\parallel P(x_{55..48})\parallel P(x_{47..40})\parallel P(x_{39..32})\parallel P(x_{31..24})\parallel P(x_{23..16})\parallel P(x_{15..8})\parallel P(x_{7..0})}$Шаблон:Sfn - преобразование 64-битной строки, используется для генерации ключей и в раундовой функции
• ${\displaystyle T(z)=z_{63}\parallel z_{55}\parallel \dots \parallel z_7\parallel z_{62}\parallel z_{54}\parallel \dots \parallel z_0}$ - битовая транспозиция, в данном случае транспонирование матрицы Шаблон:Sfn, составленной из 8 битных строк, используется при генерации ключей. На вход функция принимает 64-битную строку
• ${\displaystyle R_l(x)}$ - функция циклического битового сдвига влево, в данном случае принимает 8-битную строку: ${\displaystyle R(x_7\parallel x_6\parallel x_5\parallel x_4\parallel x_3\parallel x_2\parallel x_1\parallel x_0)=x_6\parallel x_5\parallel x_4\parallel x_3\parallel x_2\parallel x_1\parallel x_0\parallel x_7}$
• ${\displaystyle \phi (x)=(R_l(x)\wedge 55_{16})\oplus x}$ - преобразованиеШаблон:Sfn, используется в раундовой функции. На вход принимает 8-битную строку, если упростить получимШаблон:Sfn:
  • ${\displaystyle \phi (x_7\parallel x_6\parallel x_5\parallel x_4\parallel x_3\parallel x_2\parallel x_1\parallel x_0)=x_7\parallel (x_6\oplus x_5)\parallel x_5\parallel (x_4\oplus x_3)\parallel x_3\parallel (x_2\oplus x_1)\parallel x_1\parallel (x_0\oplus x_7)}$
• ${\displaystyle {\varphi }^{\text{'}}(x)=(R_l(x)\wedge a{a}_{16})\oplus x}$ - преобразованиеШаблон:Sfn, используется при расшифровке. На вход принимает 8-битную строку
• ${\displaystyle M(x)}$ - преобразование, используется в раундовой функцииШаблон:Sfn, берет на вход 16-битные строки ${\displaystyle x=x_l\parallel x_r}$, результатом является 16-битная строка ${\displaystyle M(x)=y_l\parallel y_r}$, в свою очередь:
  • ${\displaystyle y_l=P(\phi (x_l)\oplus x_r)}$
  • ${\displaystyle y_r=P(R_l(x_l)\oplus x_r)}$
• ${\displaystyle M^{-1}(y_l\parallel y_r)}$ - преобразование, используется при расшифровкеШаблон:Sfn, берет на вход 16-битные строки ${\displaystyle y=y_l\parallel y_r}$, результатом является 16-битная строка ${\displaystyle M^{-1}(y)=x_l\parallel x_r}$, в свою очередь:
  • ${\displaystyle x_l={\varphi }^{\text{'}}(P(y_l)\oplus P(y_r))}$
  • ${\displaystyle x_r=R_l(x_l)\oplus P(y_r)}$
• ${\displaystyle F_{c_i}(x)=T(P^8(x\oplus c^i))}$ - используется для генерации ключейШаблон:Sfn

Ниже представлен список констант, заданных создателями алгоритма:

• ${\displaystyle c=}$ b7e151628aed2a6a${}_{16}$Шаблон:Sfn, требуется для раундовой функции
• ${\displaystyle c^{\text{'}}=}$ bf7158809cf4f3c7${}_{16}$Шаблон:Sfn, требуется для раундовой функции
• ${\displaystyle c^0=}$ 290d61409ceb9e8f${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^1=}$ 1f855f585b013986${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^2=}$ 972ed7d635ae1716${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^3=}$ 21b6694ea5728708${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^4=}$ 3c18e6e7faadb889${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^5=}$ b700f76f73841163${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^6=}$ 3f967f6ebf149dac${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^7=}$ a40e7ef6204a6230${}_{16}$Шаблон:Sfn, требуется для генерации ключей
• ${\displaystyle c^8=}$ 03c54b5a46a34465${}_{16}$Шаблон:Sfn, требуется для генерации ключей

Если секретный ключ, используемый в шифре меньше 128 бит, то первые биты заполняются нулями Шаблон:Sfn, поэтому в дальнейшем будем считать секретный ключ 128 битным.

Согласно следующему алгоритму в шифре из 128-битного ключа генерируется 9 подключей ${\displaystyle k^0,k^1,...,k^8}$ размером 64 бита:

• первоначально ключ делится на две 64 битные половиныШаблон:Sfn, таким образом мы получаем начальные параметры:

${\displaystyle k=k^{-1}\parallel k^{-2}}$

• Для генерации последующих ключей используется рекуррентная формулаШаблон:Sfn:

${\displaystyle k^i=k^{i-2}\oplus F_{c^i}(k^{i-1})}$

Рассмотрим пример генерации ключей, описанный создателями CS-cipherШаблон:Sfn. В нем используется секретный ключ

${\displaystyle k=}$ 0123456789abcdeffedcba9876543210${}_{16}$.

Согласно рассмотренному выше, получаем начальные параметры для генерирования раундовых ключей:

${\displaystyle k^{-1}=}$ 0123456789abcdef${}_{16}$

${\displaystyle k^{-2}=}$ fedcba9876543210${}_{16}$

Рассмотрим подробно генерацию ключа ${\displaystyle k^0}$:

${\displaystyle k^0=k^{-2}\oplus F_{c_0}(k^{-1})=k^{-2}\oplus T(P^8(k^{-1}\oplus c^0))=}$

${\displaystyle =k^{-2}\oplus T(P^8(}$ 0123456789abcdef${}_{16}\oplus$ 290d61409ceb9e8f${}_{16}))=$

${\displaystyle =k^{-2}\oplus T(}$ b711fa89ae0394e4${}_{16})=$ fedcba9876543210${}_{16}\oplus$ bb21a9e2388bacd4${}_{16}$

Конечный результат работы алготитма генерации:

${\displaystyle k^0=}$ 45fd137a4edf9ec4${}_{16}$

${\displaystyle k^1=}$ 1dd43f03e6f7564c${}_{16}$

${\displaystyle k^2=}$ ebe26756de9937c7${}_{16}$

${\displaystyle k^3=}$ 961704e945bad4fb${}_{16}$

${\displaystyle k^4=}$ 0b60dfe9eff473d4${}_{16}$

${\displaystyle k^5=}$ 76d3e7cf52c466cf${}_{16}$

${\displaystyle k^6=}$ 75ec8cef767d3a0d${}_{16}$

${\displaystyle k^7=}$ 82da3337b598fd6d${}_{16}$

${\displaystyle k^8=}$ fbd820da8dc8af8c${}_{16}$

Каждый раунд шифровки начинается с операции XOR над входящей 64-битной строкой и подключа. Затем 64-битная строка разделяется на 4 16-битных строки, над которыми происходит нелинейное преобразование( ${\displaystyle M(x)}$). После этого строки снова делятся, на этот раз в результате получается 8 8-битных строк, которые затем переставляются. Данные действия повторяются еще дважды в каждом раунде, разница лишь в том, что операция XOR происходит с заданными константами, а не со сгенерированным ключом. После последнего раунда следует дополнительная операция XOR с оставшимся сгенерированным ключомШаблон:Sfn.

Первоначально определим:

• ${\displaystyle m^i}$ - 64-битная строка, приходит на вход раундовой функции ${\displaystyle R(x)}$ в ${\displaystyle i}$ итерации
• ${\displaystyle t^i=t_{63..56}^i\parallel t_{55..48}^i\parallel t_{47..40}^i\parallel t_{39..32}^i\parallel t_{31..24}^i\parallel t_{23..16}^i\parallel t_{15..8}^i\parallel t_{7..0}^i}$ - временное 64-битное значение, вычисленное на ${\displaystyle i}$ шаге раундовой функции
• ${\displaystyle S}$ - 64-битная строка, конечный зашифрованный текст

Раундовая функция состоит из следующих действийШаблон:Sfn:

1. ${\displaystyle t^1=x}$
2. ${\displaystyle t^2=M(t_{63..48}^1)\parallel M(t_{47..32}^1)\parallel M(t_{31..16}^1)\parallel M(t_{15..0}^1)}$
3. ${\displaystyle t^3=t_{63..56}^2\parallel t_{47..40}^2\parallel t_{31..24}^2\parallel t_{15..8}^2\parallel t_{55..48}^2\parallel t_{39..32}^2\parallel t_{23..16}^2\parallel t_{7..0}^2}$
4. ${\displaystyle t^4=t^3\oplus c}$
5. ${\displaystyle t^5=M(t_{63..48}^4)\parallel M(t_{47..32}^4)\parallel M(t_{31..16}^4)\parallel M(t_{15..0}^4)}$
6. ${\displaystyle t^6=t_{63..56}^5\parallel t_{47..40}^5\parallel t_{31..24}^5\parallel t_{15..8}^5\parallel t_{55..48}^5\parallel t_{39..32}^5\parallel t_{23..16}^5\parallel t_{7..0}^5}$
7. ${\displaystyle t^7=t^6\oplus c^{\text{'}}}$
8. ${\displaystyle t^8=M(t_{63..48}^7)\parallel M(t_{47..32}^7)\parallel M(t_{31..16}^7)\parallel M(t_{15..0}^7)}$
9. ${\displaystyle m^{i+1}=t^9=t_{63..56}^8\parallel t_{47..40}^8\parallel t_{31..24}^8\parallel t_{15..8}^8\parallel t_{55..48}^8\parallel t_{39..32}^8\parallel t_{23..16}^8\parallel t_{7..0}^8}$

Зашифрование состоит из 8 раундов, конечный 64-битный зашифрованный текст ${\displaystyle S}$ можно вычислить из фрагмента открытого текста ${\displaystyle m}$ по формулеШаблон:Sfn:

${\displaystyle S=k^8\oplus R(k^7\oplus \dots R(k^1\oplus R(k^0\oplus m)\dots )}$

Где ${\displaystyle R(x)}$ — раундовая функцияШаблон:Sfn, описана выше.

Рассмотрим пример зашифровывания открытого текста, описанный создателями CS-cipherШаблон:Sfn. В нем используется следующие секретный ключ и открытый текст:

${\displaystyle m^0=}$ 0123456789abcdef${}_{16}$

${\displaystyle k=}$ 0123456789abcdeffedcba9876543210${}_{16}$

Секретный ключ соответствует вышележащему примеру генерации раундовых ключей, то есть раундовые ключи были подсчитаны выше:

${\displaystyle k^0=}$ 45fd137a4edf9ec4${}_{16}$

${\displaystyle k^1=}$ 1dd43f03e6f7564c${}_{16}$

${\displaystyle k^2=}$ ebe26756de9937c7${}_{16}$

${\displaystyle k^3=}$ 961704e945bad4fb${}_{16}$

${\displaystyle k^4=}$ 0b60dfe9eff473d4${}_{16}$

${\displaystyle k^5=}$ 76d3e7cf52c466cf${}_{16}$

${\displaystyle k^6=}$ 75ec8cef767d3a0d${}_{16}$

${\displaystyle k^7=}$ 82da3337b598fd6d${}_{16}$

${\displaystyle k^8=}$ fbd820da8dc8af8c${}_{16}$

Промежуточные результаты для вычисления ${\displaystyle m^1}$:

${\displaystyle t^3=}$ d85c19785690b0e3${}_{16}$

${\displaystyle t^6=}$ 0f4bfb9e2f8ac7e2${}_{16}$

Получим следующие значения на раундах:

${\displaystyle m^1=}$ c3feb96c0cf4b649${}_{16}$

${\displaystyle m^2=}$ 3f54e0c8e61a84d1${}_{16}$

${\displaystyle m^3=}$ b15cb4af3786976e${}_{16}$

${\displaystyle m^4=}$ 76c122b7a562ac45${}_{16}$

${\displaystyle m^5=}$ 21300b6ccfaa08d8${}_{16}$

${\displaystyle m^6=}$ 99b8d8ab9034ec9a${}_{16}$

${\displaystyle m^7=}$ a2245ba3697445d2${}_{16}$

В итоге получили следующий зашифрованный текст:

${\displaystyle S=}$ 88fddfbe954479d7${}_{16}$

Расшифровывание состоит из 8 раундов, обратных зашифровываниюШаблон:Sfn. Важно, что алгоритм расшифровки использует сгенерированные ключи в обратном порядке, т. е. ${\displaystyle k^8,k^7,k^6,k^5,k^4,k^3,k^2,k^1,k^0}$Шаблон:Sfn. Перед началом происходит операция ${\displaystyle m^0=S\oplus k^8}$.

Для удобства и соответствия обозначений, еще раз укажем:

• ${\displaystyle i}$ - номер итерации: от 0 до 7 включительно - всего 8 раундов
• ${\displaystyle m^i}$ - 64-битная строка, приходит на вход обратной к раундовой функции ${\displaystyle R^{-1}(x)}$ в ${\displaystyle i}$ итерации, ${\displaystyle m^8}$ - открытый текст
• ${\displaystyle k^{7-i}}$ - 64-битный сгенерированный ключ, приходит на вход обратной к раундовой функции ${\displaystyle R^{-1}(x)}$ в ${\displaystyle i}$ итерации
• ${\displaystyle t^i=t_{63..56}^i\parallel t_{55..48}^i\parallel t_{47..40}^i\parallel t_{39..32}^i\parallel t_{31..24}^i\parallel t_{23..16}^i\parallel t_{15..8}^i\parallel t_{7..0}^i}$ - временное 64-битное значение, вычисленное на ${\displaystyle i}$ шаге обратной к раундовой функции.

Для каждого раунда вызывается следующая последовательность действийШаблон:Sfn:

${\displaystyle t^1=m_{63..56}^i\parallel m_{31..24}^i\parallel m_{55..48}^i\parallel m_{23..16}^i\parallel m_{47..40}^i\parallel m_{15..8}^i\parallel m_{39..32}^i\parallel m_{7..0}^i}$

${\displaystyle t^2=M^{-1}(t_{63..48}^1)\parallel M^{-1}(t_{47..32}^1)\parallel M^{-1}(t_{31..16}^1)\parallel M^{-1}(t_{15..0}^1)}$

${\displaystyle t^3=t^2\oplus c^{\text{'}}}$

${\displaystyle t^4=t_{63..56}^3\parallel t_{31..24}^3\parallel t_{55..48}^3\parallel t_{23..16}^3\parallel t_{47..40}^3\parallel t_{15..8}^3\parallel t_{39..32}^3\parallel t_{7..0}^3}$

${\displaystyle t^5=M^{-1}(t_{63..48}^4)\parallel M^{-1}(t_{47..32}^4)\parallel M^{-1}(t_{31..16}^4)\parallel M^{-1}(t_{15..0}^4)}$

${\displaystyle t^6=t^5\oplus c}$

${\displaystyle t^7=t_{63..56}^6\parallel t_{31..24}^6\parallel t_{55..48}^6\parallel t_{23..16}^6\parallel t_{47..40}^6\parallel t_{15..8}^6\parallel t_{39..32}^6\parallel t_{7..0}^6}$

${\displaystyle t^8=M^{-1}(t_{63..48}^7)\parallel M^{-1}(t_{47..32}^7)\parallel M^{-1}(t_{31..16}^7)\parallel M^{-1}(t_{15..0}^7)}$

${\displaystyle m^{i+1}=t^9=t^8\oplus k^{7-i}}$

В ходе участия в проекте NESSIE были проведены множество статистических тестов над зашифрованными даннымиШаблон:Sfn, в том числе:

• Универсальный статистический тест МаурераШаблон:Sfn
• Тест на корреляциюШаблон:Sfn
• Тест на линейную сложностьШаблон:Sfn
• Тест собирателя купоновШаблон:Sfn
• Тест на совпадение перекрывающихся шаблоновШаблон:Sfn
• Тест подпоследовательностейШаблон:Sfn

В результате тестирования шифра не было обнаружено его отклонений от случайного распределенияШаблон:Sfn.

Предположим, у нас есть ${\displaystyle r}$ раундовый шифр, зашифрованный текст можно получить по формуле: ${\displaystyle S=Enc(x)=({\rho }_r\circ ...\circ {\rho }_1)(x)}$, в котором каждый раунд ${\displaystyle {\rho }_i}$ использует свой ключ ${\displaystyle k_i}$.

Тогда Марковским шифром называется шифр, для которого для любого раунда ${\displaystyle i}$ и любых ${\displaystyle x}$, ${\displaystyle a}$ и ${\displaystyle b}$ выполненоШаблон:Sfn:

${\displaystyle P{r}_{k_i}[{\rho }_i(x\oplus a)\oplus {\rho }_i(x)=b]=P{r}_{k_i,X}[{\rho }_i(X\oplus a)\oplus {\rho }_i(X)=b]}$

В ходе анализа используется модифицированный шифр CS-cipher, называемый в дальнейшем CSC.

Он получается из шифра CS-cipher следующей заменой:

• для шифровки CS-cipher использует следующую последовательность ключей и констант:

${\displaystyle k^0,c,c^{\text{'}},k^1,c,c^{\text{'}},...,k^7,c,c^{\text{'}},k^8}$. Для удобства переобозначим их как ${\displaystyle k_0,k_1,...,k_{24}}$.

• По определениюШаблон:Sfn CSC получается из CS-cipher заменой полученной с помощью генерации ключей и констант последовательности ${\displaystyle k_0,k_1,...,k_{24}}$ на 1600-битный случайный ключ ${\displaystyle k=(k_0,k_1,...,k_{24})}$ с равномерным распределением.

Полученный шифр CSC является 24 раундовым блочным Марковским шифромШаблон:Sfn.

Для шифра CSC были доказаны:

• устойчивость к дифференциальному криптоанализу Шаблон:Sfn
• устойчивость к линейному криптоанализуШаблон:Sfn
• устойчивость к Шаблон:Не переведено 2Шаблон:Sfn
• устойчивость к Шаблон:Не переведено 2Шаблон:Sfn

Поэтому предполагается, что CS-cipher:

• устойчив к дифференциальному криптоанализу после 4 раундов шифровкиШаблон:Sfn
• устойчив к Шаблон:Не переведено 2Шаблон:Sfn
• устойчив к линейному криптоанализуШаблон:Sfn
• устойчив к Шаблон:Не переведено 2 после 6 раундов шифровкиШаблон:Sfn

Существует реализации данного алгоритма шифрования на СШаблон:Sfn( предоставлена авторами):

# define CSC_C10 0xbf
# define CSC_C11 0x71
# define CSC_C12 0x58
# define CSC_C13 0x80
# define CSC_C14 0x9c
# define CSC_C15 0xf4
# define CSC_C16 0xf3
# define CSC_C17 0xc7
uint8 tbp[256]={
0x29,0x0d,0x61,0x40,0x9c,0xeb,0x9e,0x8f,
0x1f,0x85,0x5f,0x58,0x5b,0x01,0x39,0x86,
0x97,0x2e,0xd7,0xd6,0x35,0xae,0x17,0x16,
0x21,0xb6,0x69,0x4e,0xa5,0x72,0x87,0x08,
0x3c,0x18,0xe6,0xe7,0xfa,0xad,0xb8,0x89,
0xb7,0x00,0xf7,0x6f,0x73,0x84,0x11,0x63,
0x3f,0x96,0x7f,0x6e,0xbf,0x14,0x9d,0xac,
0xa4,0x0e,0x7e,0xf6,0x20,0x4a,0x62,0x30,
0x03,0xc5,0x4b,0x5a,0x46,0xa3,0x44,0x65,
0x7d,0x4d,0x3d,0x42,0x79,0x49,0x1b,0x5c,
0xf5,0x6c,0xb5,0x94,0x54,0xff,0x56,0x57,
0x0b,0xf4,0x43,0x0c,0x4f,0x70,0x6d,0x0a,
0xe4,0x02,0x3e,0x2f,0xa2,0x47,0xe0,0xc1,
0xd5,0x1a,0x95,0xa7,0x51,0x5e,0x33,0x2b,
0x5d,0xd4,0x1d,0x2c,0xee,0x75,0xec,0xdd,
0x7c,0x4c,0xa6,0xb4,0x78,0x48,0x3a,0x32,
0x98,0xaf,0xc0,0xe1,0x2d,0x09,0x0f,0x1e,
0xb9,0x27,0x8a,0xe9,0xbd,0xe3,0x9f,0x07,
0xb1,0xea,0x92,0x93,0x53,0x6a,0x31,0x10,
0x80,0xf2,0xd8,0x9b,0x04,0x36,0x06,0x8e,
0xbe,0xa9,0x64,0x45,0x38,0x1c,0x7a,0x6b,
0xf3,0xa1,0xf0,0xcd,0x37,0x25,0x15,0x81,
0xfb,0x90,0xe8,0xd9,0x7b,0x52,0x19,0x28,
0x26,0x88,0xfc,0xd1,0xe2,0x8c,0xa0,0x34,
0x82,0x67,0xda,0xcb,0xc7,0x41,0xe5,0xc4,
0xc8,0xef,0xdb,0xc3,0xcc,0xab,0xce,0xed,
0xd0,0xbb,0xd3,0xd2,0x71,0x68,0x13,0x12,
0x9a,0xb3,0xc2,0xca,0xde,0x77,0xdc,0xdf,
0x66,0x83,0xbc,0x8d,0x60,0xc6,0x22,0x23,
0xb2,0x8b,0x91,0x05,0x76,0xcf,0x74,0xc9,
0xaa,0xf1,0x99,0xa8,0x59,0x50,0x3b,0x2a,
0xfe,0xf9,0x24,0xb0,0xba,0xfd,0xf8,0x55,
};
void enc_csc(uint8 m[8],uint8* k)
{
  uint8 tmpx,tmprx,tmpy;
  int i;
  #define APPLY_M(cl,cr,adl,adr) \
  code=tmpx=m[adl]^cl; \
  code=tmprx=(tmpx<<1)^(tmpx>>7); \
  code=tmpy=m[adr]^cr; \
  code=m[adl]=tbp[(tmprx&0x55)^tmpx^tmpy]; \
  code=m[adr]=tbp[tmprx^tmpy];
  for(code=i=0;i<8;i++,k+=8) 
  {
    APPLY_M(k[0],k[1],0,1)
    APPLY_M(k[2],k[3],2,3)
    APPLY_M(k[4],k[5],4,5)
    APPLY_M(k[6],k[7],6,7)
    APPLY_M(CSC_C00,CSC_C01,0,2)
    APPLY_M(CSC_C02,CSC_C03,4,6)
    APPLY_M(CSC_C04,CSC_C05,1,3)
    APPLY_M(CSC_C06,CSC_C07,5,7)
    APPLY_M(CSC_C10,CSC_C11,0,4)
    APPLY_M(CSC_C12,CSC_C13,1,5)
    APPLY_M(CSC_C14,CSC_C15,2,6)
    APPLY_M(CSC_C16,CSC_C17,3,7)
  }
  for(code=i=0;i<8;i++) 
    code=m[i]^=k[i];
}

код алгоритма шифровки на С

Также авторами собрана статистика скорости зашифровки данных, оказавшаяся быстрее DESШаблон:Sfn:

Скорость зашифровки данных CS-cipher

платформа	тактовая частота	скорость шифровки
VLSI 1216nand 1mm	230 МГц	73 Мбит/с
VLSI 30000nand 15mm	230 МГц	2 Гбит/с
standard C 32bits	133 МГц	2 Мбит/с
bit slice (Pentium)	133 МГц	11 Мбит/с
bit slice (Alpha)	300 МГц	196 Мбит/с
Pentium assembly code	133 МГц	8 Мбит/с
6805 assembly code	4 МГц	20 Кбит/с

На основе CS-cipher в 2004 году Томом Ст. Денис был разработан 128-битный шифр ${\displaystyle C{S}^2}$-cipher Шаблон:Sfn.

Полученный шифр был проверен и оказался устойчивым к:

• линейному и дифференциалному криптоанализу Шаблон:Sfn
• сдвиговой атаке и атаке методом бумерангаШаблон:Sfn
• атаке на связанных ключахШаблон:Sfn

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Статья

• Шаблон:Книга

• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Статья

Шаблон:Симметричные криптосистемы