IDEA

Из 128-битного ключа для каждого из восьми раундов шифрования генерируется по шесть 16-битных подключей, а для выходного преобразования генерируется четыре 16-битных подключа. Всего потребуется 52 = 8 x 6 + 4 различных подключей по 16 бит каждый. Процесс генерации пятидесяти двух 16-битных ключей заключается в следующем:

• Первым делом, 128-битный ключ разбивается на восемь 16-битных блоков. Это будут первые восемь подключей по 16 бит каждый — ${\displaystyle (K_{1}^{(1)}K_{2}^{(1)}K_{3}^{(1)}K_{4}^{(1)}K_{5}^{(1)}K_{6}^{(1)}K_{1}^{(2)}K_{2}^{(2)})}$
• Затем этот 128-битный ключ циклически сдвигается влево на 25 позиций, после чего новый 128-битный блок снова разбивается на восемь 16-битных блоков. Это уже следующие восемь подключей по 16 бит каждый — ${\displaystyle (K_{3}^{(2)}K_{4}^{(2)}K_{5}^{(2)}K_{6}^{(2)}K_{1}^{(3)}K_{2}^{(3)}K_{3}^{(3)}K_{4}^{(3)})}$
• Процедура циклического сдвига и разбивки на блоки продолжается до тех пор, пока не будут сгенерированы все 52 16-битных подключа.

Таблица подключей для каждого раунда

Номер раунда	Подключи
1	${\displaystyle K_{1}^{(1)}K_{2}^{(1)}K_{3}^{(1)}K_{4}^{(1)}K_{5}^{(1)}K_{6}^{(1)}}$
2	${\displaystyle K_{1}^{(2)}K_{2}^{(2)}K_{3}^{(2)}K_{4}^{(2)}K_{5}^{(2)}K_{6}^{(2)}}$
3	${\displaystyle K_{1}^{(3)}K_{2}^{(3)}K_{3}^{(3)}K_{4}^{(3)}K_{5}^{(3)}K_{6}^{(3)}}$
4	${\displaystyle K_{1}^{(4)}K_{2}^{(4)}K_{3}^{(4)}K_{4}^{(4)}K_{5}^{(4)}K_{6}^{(4)}}$
5	${\displaystyle K_{1}^{(5)}K_{2}^{(5)}K_{3}^{(5)}K_{4}^{(5)}K_{5}^{(5)}K_{6}^{(5)}}$
6	${\displaystyle K_{1}^{(6)}K_{2}^{(6)}K_{3}^{(6)}K_{4}^{(6)}K_{5}^{(6)}K_{6}^{(6)}}$
7	${\displaystyle K_{1}^{(7)}K_{2}^{(7)}K_{3}^{(7)}K_{4}^{(7)}K_{5}^{(7)}K_{6}^{(7)}}$
8	${\displaystyle K_{1}^{(8)}K_{2}^{(8)}K_{3}^{(8)}K_{4}^{(8)}K_{5}^{(8)}K_{6}^{(8)}}$
выходное преобразование	${\displaystyle K_{1}^{(9)}K_{2}^{(9)}K_{3}^{(9)}K_{4}^{(9)}}$

Схема шифрования IDEA

Структура алгоритма IDEA показана на рисунке. Процесс шифрования состоит из восьми одинаковых раундов шифрования и одного выходного преобразования. Исходный незашифрованный текст делится на блоки по 64 бита. Каждый такой блок делится на четыре подблока по 16 бит каждый. На рисунке эти подблоки обозначены ${\displaystyle D_{1}}$, ${\displaystyle D_{2}}$, ${\displaystyle D_{3}}$, ${\displaystyle D_{4}}$. В каждом раунде используются свои подключи согласно таблице подключей. Над 16-битными подключами и подблоками незашифрованного текста производятся следующие операции:

• умножение по модулю ${\displaystyle 2^{16}+1}$ = 65537, причем вместо нуля используется ${\displaystyle 2^{16}}$
• сложение по модулю ${\displaystyle 2^{16}}$
• побитовое исключающее ИЛИ

В конце каждого раунда шифрования имеется четыре 16-битных подблока, которые затем используются как входные подблоки для следующего раунда шифрования. Выходное преобразование представляет собой укороченный раунд, а именно, четыре 16-битных подблока на выходе восьмого раунда и четыре соответствующих подключа подвергаются операциям:

• умножение по модулю ${\displaystyle 2^{16}+1}$
• сложение по модулю ${\displaystyle 2^{16}}$

После выполнения выходного преобразования конкатенация подблоков ${\displaystyle D_{1}'}$, ${\displaystyle D_{2}'}$, ${\displaystyle D_{3}'}$ и ${\displaystyle D_{4}'}$ представляет собой зашифрованный текст. Затем берется следующий 64-битный блок незашифрованного текста и алгоритм шифрования повторяется. Так продолжается до тех пор, пока не зашифруются все 64-битные блоки исходного текста.

• Блок открытого текста размером 64 бит делится на четыре равных подблока размером по 16 бит ${\displaystyle (D_{1}^{(0)},D_{2}^{(0)},D_{3}^{(0)},D_{4}^{(0)})}$
• Для каждого раунда ${\displaystyle (i=1...8)}$ вычисляются:

${\displaystyle A^{(i)}\ =\ D_{1}^{(i-1)}*K_{1}^{(i)}}$
${\displaystyle B^{(i)}\ =\ D_{2}^{(i-1)}+K_{2}^{(i)}}$
${\displaystyle C^{(i)}\ =\ D_{3}^{(i-1)}+K_{3}^{(i)}}$
${\displaystyle D^{(i)}\ =\ D_{4}^{(i-1)}*K_{4}^{(i)}}$
${\displaystyle E^{(i)}\ =\ A^{(i)}\oplus C^{(i)}}$
${\displaystyle F^{(i)}\ =\ B^{(i)}\oplus D^{(i)}}$

${\displaystyle D_{1}^{(i)}\ =\ A^{(i)}\oplus ((F^{(i)}+E^{(i)}*K_{5}^{(i)})*K_{6}^{(i)})}$
${\displaystyle D_{2}^{(i)}\ =\ C^{(i)}\oplus ((F^{(i)}+E^{(i)}*K_{5}^{(i)})*K_{6}^{(i)})}$
${\displaystyle D_{3}^{(i)}\ =\ B^{(i)}\oplus (E^{(i)}*K_{5}^{(i)}+(F^{(i)}+E^{(i)}*K_{5}^{(i)})*K_{6}^{(i)})}$
${\displaystyle D_{4}^{(i)}\ =\ D^{(i)}\oplus (E^{(i)}*K_{5}^{(i)}+(F^{(i)}+E^{(i)}*K_{5}^{(i)})*K_{6}^{(i)})}$
Результатом выполнения восьми раундов будут следующие четыре подблока ${\displaystyle (D_{1}^{(8)},D_{2}^{(8)},D_{3}^{(8)},D_{4}^{(8)})}$

• Выполняется выходное преобразование ${\displaystyle (i=9)}$:

${\displaystyle D_{1}^{(9)}\ =\ D_{1}^{(8)}*K_{1}^{(9)}}$
${\displaystyle D_{2}^{(9)}\ =\ D_{3}^{(8)}+K_{2}^{(9)}}$
${\displaystyle D_{3}^{(9)}\ =\ D_{2}^{(8)}+K_{3}^{(9)}}$
${\displaystyle D_{4}^{(9)}\ =\ D_{4}^{(8)}*K_{4}^{(9)}}$
Результатом выполнения выходного преобразования является зашифрованный текст ${\displaystyle (D_{1}^{(9)},D_{2}^{(9)},D_{3}^{(9)},D_{4}^{(9)})}$

Метод вычисления, использующийся для расшифровки текста по существу такой же, как и при его шифровании. Единственное отличие состоит в том, что для расшифровки используются другие подключи. В процессе расшифровки подключи должны использоваться в обратном порядке. Первый и четвёртый подключи i-го раунда расшифровки получаются из первого и четвёртого подключа (10-i)-го раунда шифрования мультипликативной инверсией. Для 1-го и 9-го раундов второй и третий подключи расшифровки получаются из второго и третьего подключей 9-го и 1-го раундов шифрования аддитивной инверсией. Для раундов со 2-го по 8-й второй и третий подключи расшифровки получаются из третьего и второго подключей с 8-го по 2-й раундов шифрования аддитивной инверсией. Последние два подключа i-го раунда расшифровки равны последним двум подключам (9-i)-го раунда шифрования. Мультипликативная инверсия подключа K обозначается 1/K и ${\displaystyle (1/K)*K=1\ mod\ (2^{16}+1)}$. Так как ${\displaystyle 2^{16}+1}$ — простое число, каждое целое не равное нулю K имеет уникальную мультипликативную инверсию по модулю ${\displaystyle 2^{16}+1}$. Аддитивная инверсия подключа K обозначается -K и ${\displaystyle -K+K=0\ mod\ (2^{16})}$.

Таблица подключей для каждого раунда

Номер раунда	Подключи
1	${\displaystyle 1/K_{1}^{(9)}\ -K_{2}^{(9)}\ -K_{3}^{(9)}\ 1/K_{4}^{(9)}\ K_{5}^{(8)}\ K_{6}^{(8)}}$
2	${\displaystyle 1/K_{1}^{(8)}\ -K_{3}^{(8)}\ -K_{2}^{(8)}\ 1/K_{4}^{(8)}\ K_{5}^{(7)}\ K_{6}^{(7)}}$
3	${\displaystyle 1/K_{1}^{(7)}\ -K_{3}^{(7)}\ -K_{2}^{(7)}\ 1/K_{4}^{(7)}\ K_{5}^{(6)}\ K_{6}^{(6)}}$
4	${\displaystyle 1/K_{1}^{(6)}\ -K_{3}^{(6)}\ -K_{2}^{(6)}\ 1/K_{4}^{(6)}\ K_{5}^{(5)}\ K_{6}^{(5)}}$
5	${\displaystyle 1/K_{1}^{(5)}\ -K_{3}^{(5)}\ -K_{2}^{(5)}\ 1/K_{4}^{(5)}\ K_{5}^{(4)}\ K_{6}^{(4)}}$
6	${\displaystyle 1/K_{1}^{(4)}\ -K_{3}^{(4)}\ -K_{2}^{(4)}\ 1/K_{4}^{(4)}\ K_{5}^{(3)}\ K_{6}^{(3)}}$
7	${\displaystyle 1/K_{1}^{(3)}\ -K_{3}^{(3)}\ -K_{2}^{(3)}\ 1/K_{4}^{(3)}\ K_{5}^{(2)}\ K_{6}^{(2)}}$
8	${\displaystyle 1/K_{1}^{(2)}\ -K_{3}^{(2)}\ -K_{2}^{(2)}\ 1/K_{4}^{(2)}\ K_{5}^{(1)}\ K_{6}^{(1)}}$
выходное преобразование	${\displaystyle 1/K_{1}^{(1)}\ -K_{2}^{(1)}\ -K_{3}^{(1)}\ 1/K_{4}^{(1)}}$

В качестве 128-битного ключа используем K = (0001,0002,0003,0004,0005,0006,0007,0008), а в качестве 64-битного открытого текста M = (0000,0001,0002,0003)

Таблица подключей и подблоков для каждого раунда

Раунд	Раундовые ключи						Значения блоков данных
	${\displaystyle K_{1}^{(i)}}$	${\displaystyle K_{2}^{(i)}}$	${\displaystyle K_{3}^{(i)}}$	${\displaystyle K_{4}^{(i)}}$	${\displaystyle K_{5}^{(i)}}$	${\displaystyle K_{6}^{(i)}}$	${\displaystyle D_{1}^{(i)}}$	${\displaystyle D_{2}^{(i)}}$	${\displaystyle D_{3}^{(i)}}$	${\displaystyle D_{4}^{(i)}}$
—	—	—	—	—	—	—	0000	0001	0002	0003
1	0001	0002	0003	0004	0005	0006	00f0	00f5	010a	0105
2	0007	0008	0400	0600	0800	0a00	222f	21b5	f45e	e959
3	0c00	0e00	1000	0200	0010	0014	0f86	39be	8ee8	1173
4	0018	001c	0020	0004	0008	000c	57df	ac58	c65b	ba4d
5	2800	3000	3800	4000	0800	1000	8e81	ba9c	f77f	3a4a
6	1800	2000	0070	0080	0010	0020	6942	9409	e21b	1c64
7	0030	0040	0050	0060	0000	2000	99d0	c7f6	5331	620e
8	4000	6000	8000	a000	c000	e001	0a24	0098	ec6b	4925
9	0080	00c0	0100	0140	-	-	11fb	ed2b	0198	6de5

В качестве 128-битного ключа используем K = (0001,0002,0003,0004,0005,0006,0007,0008), а в качестве 64-битного зашифрованного текста C = (11fb, ed2b, 0198, 6de5)

Таблица подключей и подблоков для каждого раунда

Раунд	Раундовые ключи						Значения блоков данных
	${\displaystyle K_{1}^{'(i)}}$	${\displaystyle K_{2}^{'(i)}}$	${\displaystyle K_{3}^{'(i)}}$	${\displaystyle K_{4}^{'(i)}}$	${\displaystyle K_{5}^{'(i)}}$	${\displaystyle K_{6}^{'(i)}}$	${\displaystyle D_{1}^{(i)}}$	${\displaystyle D_{2}^{(i)}}$	${\displaystyle D_{3}^{(i)}}$	${\displaystyle D_{4}^{(i)}}$
1	fe01	ff40	ff00	659a	c000	e001	d98d	d331	27f6	82b8
2	fffd	8000	a000	cccc	0000	2000	bc4d	e26b	9449	a576
3	a556	ffb0	ffc0	52ab	0010	0020	0aa4	f7ef	da9c	24e3
4	554b	ff90	e000	fe01	0800	1000	ca46	fe5b	dc58	116d
5	332d	c800	d000	fffd	0008	000c	748f	8f08	39da	45cc
6	4aab	ffe0	ffe4	c001	0010	0014	3266	045e	2fb5	b02e
7	aa96	f000	f200	ff81	0800	0a00	0690	050a	00fd	1dfa
8	4925	fc00	fff8	552b	0005	0006	0000	0005	0003	000c
9	0001	fffe	fffd	c001	-	-	0000	0001	0002	0003

Существуют большие классы слабых ключей. Слабые они в том смысле, что существуют процедуры, позволяющие определить, относится ли ключ к данному классу, а затем и сам ключ. В настоящее время известны следующие:

• ${\displaystyle 2^{23}+2^{35}+2^{51}}$ слабых к дифференциальному криптоанализу ключей. Принадлежность к классу ${\displaystyle 2^{51}}$ можно вычислить за ${\displaystyle 2^{12}}$ операций с помощью подобранного открытого текста. Авторы данной атаки предложили модификацию алгоритма IDEA. Данная модификация заключается в замене подключей ${\displaystyle K_{i}^{(r)}}$ на соответствующие ${\displaystyle K_{i}^{'(r)}\ =a\oplus K_{i}^{(r)}}$, где r — номер раунда шифрования. Точное значение a не критично. Например при ${\displaystyle a\ =\ 0dae}$ (в шестнадцатеричной системе счисления) данные слабые ключи исключаются[стойкость 6].

• ${\displaystyle 2^{63}}$ слабых к линейному дифференциальному криптоанализу ключей[стойкость 7]. Принадлежность к данному классу выясняется с помощью теста на связанных ключах.

• ${\displaystyle 2^{53}+2^{56}+2^{64}}$ слабых ключей было найдено с использованием метода бумеранга (англ. boomerang attack), предложенного Дэвидом Вагнером (David Wagner)[стойкость 8]. Тест на принадлежность к данному классу выполняется за ${\displaystyle 2^{16}}$ операций и потребует ${\displaystyle 2^{16}}$ ячеек памяти[стойкость 9].

Существование столь больших классов слабых ключей не влияет на практическую криптостойкость алгоритма IDEA, так как полное число всех возможных ключей равно ${\displaystyle 2^{128}}$.

В программной реализации на Intel486SX по сравнению с DES IDEA в два раза быстрее, что является существенным повышением скорости, длина ключа у IDEA имеет размер 128 бит, против 56 бит у DES, что является хорошим улучшением против полного перебора ключей. Вероятность использования слабых ключей очень мала и составляет ${\displaystyle 1/2^{64}}$. IDEA быстрее алгоритма ГОСТ 28147-89 (в программной реализации на Intel486SX). Использование IDEA в параллельных режимах шифрования на процессорах Pentium III и Pentium MMX позволяет получать высокие скорости. По сравнению с финалистами AES, 4-way IDEA лишь слегка медленнее, чем RC6 и Rijndael на Pentium II, но быстрее, чем Twofish и MARS. На Pentium III 4-way IDEA даже быстрее RC6 и Rijndael. Преимуществом также является хорошая изученность и устойчивость к общеизвестным средствам криптоанализа.

IDEA значительно медленнее, почти в два раза, чем Blowfish (в программной реализации на Intel486SX). IDEA не предусматривает увеличение длины ключа.

• ISO 9979/0002: ISO Register of Cryptographic Algorithms — регистрация криптографических алгоритмов в ISO
• UN/EDIFACT (англ. United Nations/Electronic Data Interchange For Administration, Commerce, and Transport — ООН/обмен электронными данными для управления, коммерции и транспорта): EDIFACT Security Implementation Guidelines — рекомендации по обеспечению безопасности
• ITU-T Recommendation H.233: Confidentiality System for Audiovisual Services — рекомендация H.233: конфиденциальная система для аудиовизуальных служб
• IETF (англ. Internet Engineering Task Force — специальная комиссия интернет разработок) RFC 3058: Использование алгоритма шифрования IDEA в CMS
• TBSS: Telematic Base Security Services — базовая безопасность службы дистанционной обработки данных
• OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS
• WAP (англ. Wireless Application Protocol — протокол беспроводного доступа) WTLS (англ. Wireless Transport Layer Security — безопасность транспортного уровня беспроводной передачи данных)
• NESSIE (англ. New European Schemes for Signature, Integrity, and Encryption — новые европейские проекты по цифровой подписи, целостности и шифрования)

• IDEA in 448 bytes of 80x86 (англ.). — реализации IDEA на языке программирования Ассемблер. Дата обращения: 6 ноября 2008. Архивировано 28 января 2012 года.

• Часто задаваемые вопросы по симметричным шифрам (рус.) (недоступная ссылка). — по материалам конференции fido7.ru.crypt. Дата обращения: 6 ноября 2008. Архивировано 22 августа 2011 года.
• Симметричные блочные шифры (рус.). — Анализ надежности блочных шифров в реализации PGP. Дата обращения: 6 ноября 2008.

• RSA FAQ on Block Ciphers (англ.). Дата обращения: 6 ноября 2008. Архивировано 19 октября 2004 года.
• SCAN entry for IDEA (англ.). Дата обращения: 6 ноября 2008. Архивировано 28 января 2012 года.
• IDEA Applet (нем.). Дата обращения: 6 ноября 2008. Архивировано 1 февраля 2012 года.
• Erläuterung und Schaubild zum Verfahren (нем.). Дата обращения: 6 ноября 2008. Архивировано 28 января 2012 года.