Отечественный стандарт шифрования данных

В нашей стране установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отдельных вычислительных комплексах и ЭВМ, который определяется ГОСТ 28147-89. Стандартобязателен для организаций, предприятий и учреждений, применяющих криптографическую защиту данных, хранимых и передаваемых в сетях ЭВМ, в отдельных вычислительных комплексах и ЭВМ.

Этот алгоритм криптографического преобразования данных предназначен для аппаратной и программной реализации, удовлетворяет криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. Алгоритм шифрования данных представляет собой 64 - битовый блочный алгоритм с 256 - битовымключом.

При описании алгоритма используются следующие обозначения:

L и R – последовательности битов;

LR – конкатенация последовательностей L и R, в которой биты последовательности R следуют за битами последовательности L;

Å – операция побитового сложения по модулю 2;

⊞ – операция сложения по модулю 2³² двух 32-разрядных двоичных чисел;

⊞´– операция сложения двух 32-разрядных чисел по модулю 2³² –1.

Два целых числа a, b, где 0 £ a, b £ 2³² –1,

a= (a₃₂a₃₁... a₂a₁), b = (b₃₂, b₃₁,..., b₂, b₁),

представленные в двоичном виде, т.е.

a= a₃₂×2³¹ + a₃₁×2³⁰ +...+ a₂×2¹ + a₁,

b = b₃₂×2³¹ + b₃₁×2³⁰ +...+ b₂×2¹ + b₁,

суммируются по модулю 2³² (операция ⊞) по следующему правилу:

a ⊞ b = a + b, если a + b < 2³²,

a ⊞ b = a + b – 2³², если a + b ³ 2³².

Правила суммирования чисел по модулю 2³² – 1:

a ⊞´ b = a + b, если a + b < 2³²– 1,

a ⊞´ b = a + b – (2³² – 1), если a + b ³ 2³² – 1.

Алгоритм предусматривает четыре режима работы:

· шифрование данных в режиме простой замены;

· шифрование данных в режиме гаммирования;

· шифрование данных в режиме гаммирования с обратной связью;

· выработка имитовставки.

Режим простой замены. Для реализации алгоритма шифрования данных в режиме простой замены используется только часть блоков общей криптосистемы (рис.3.11). Обозначения на схеме:

N₁, N₂ – 32-разрядные накопители;

СМ₁ – 32-разрядный сумматор по модулю 2³² (⊞);

СМ₂ – 32-разрядный сумматор по модулю 2 (Å);

R – 32-разрядный регистр циклического сдвига;

КЗУ – ключевое запоминающее устройство на 256 бит, состоящее из восьми 32-разрядных накопителей Х₀, Х₁, Х₂,..., Х₇;

S – блок подстановки, состоящий из восьми узлов замены (S-блоков замены) S₁, S₂, S₃,..., S₇, S₈.

Зашифрование открытых данных в режиме простой замены (рис.10). Открытые данные, подлежащие зашифрованию, разбивают на 64-разрядные блоки Т₀. Процедура зашифрования 64-разрядного блока Т₀ в режиме простой замены включает 32 цикла (j {1,…,32}). В ключевое запоминающее устройство вводят 256 бит ключа К в виде восьми 32-разрядных подключей (чисел) К_i:

К=К₇К₆К₅К₄К₃К₂К₁К₀.

Последовательность битов блока

Т₀=(a₁(0), a₂(0),..., a₃₁(0), a₃₂(0), b₁(0), b₂(0),..., b₃₁(0), b₃₂(0))

разбивают на две последовательности по 32 бита: b(0) a(0), где b(0) – левые или старшие биты, a(0) – правые или младшие биты.

Рис. 10. Схема реализации режима простой замены

Эти последовательности вводят в накопители N₁ и N₂ перед началом первого цикла зашифрования. В результате начальное заполнение накопителя N₁

a (0) = (a₃₂(0), a₃₁(0),..., a₂(0), a₁(0)),

32, 31,... 2, 1 номер разряда N₁

начальное заполнение накопителя N₂

b(0) = (b₃₂(0), b₃₁(0),..., b₂(0), b₁(0)).

32, 31,... 2, 1 номер разряда N₂

Первый цикл (j=1) процедуры зашифрования 64-разрядного блока открытых данных можно описать уравнениями:

Здесь a (1) – заполнение N₁ после 1-го цикла зашифровaния; b (1) – заполнение N₂ после 1-го цикла зашифрования; f – функция шифрования.

Аргументом функции f является сумма по модулю 2³² числа a(0) (начального заполнения накопителя N₁) и числа К₀ – подключа, считываемого из накопителя Х₀ КЗУ. Каждое из этих чисел равно 32 битам. Функция f включает две операции над полученной 32-разрядной суммой (a (0) ⊞ К₀).

Перваяоперация называется подстановкой (заменой) и выполняется блокомподстановкиS. Блок подстановки S состоит из восьми узлов замены (S-блоков замены) S₁,S₂,...,S₈ с памятью 64 бит каждый. Поступающий из СМ₁ на блок подстановки S 32-разрядный вектор разбивают на восемь последовательно идущих 4-разрядных векторов, каждый из которых преобразуется в четырехразрядный вектор соответствующим узлом замены. Каждый узел замены можно представить в виде таблицы-перестановки шестнадцати четырехразрядных двоичных чисел в диапазоне 0000…1111. Входной вектор указывает адрес строки в таблице, а число в этой строке является выходным вектором. Затем четырехразрядные выходные векторы последовательно объединяют в 32-разрядный вектор. Узлы замены (таблицы-перестановки) представляют собой ключевые элементы, которые являются общими для сети ЭВМ и редко изменяются. Эти узлы замены должны сохраняться в секрете.

Втораяоперация – циклический сдвиг влево (на 11 разрядов) 32-разрядного вектора, полученного с выхода блока подстановки S. Циклический сдвиг выполняется регистром сдвига R.

Далее результат работы функции шифрования f суммируют поразрядно по модулю 2 в сумматоре СМ₂ с 32-разрядным начальным заполнением b(0) накопителя N₂. Затем полученный на выходе СМ₂ результат (значение a(1)) записывают в накопитель N₁, а старое значение N₁ (значение a(0)) переписывают в накопитель N₂ (значение b(1) = a(0)). Первый цикл завершен.

Последующие циклы осуществляются аналогично, при этом во втором цикле из КЗУ считывают заполнение Х₁ – подключ К₁, в третьем цикле – подключ К₂ и т.д., в восьмом цикле – подключ К₇. В циклах с 9-го по 16-й, а также в циклах с 17-го по 24-й подключи из КЗУ считываются в том же порядке: К₀, К₁, К₂,...,К₆, К₇. В последних восьми циклах с 25-го по 32-й порядок считывания подключей из КЗУ обратный: К₇, К₆,..., К₂, К₁, К₀. Таким образом, при зашифровании в 32 циклах осуществляется следующий порядок выборки из КЗУ подключей:

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇,

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀.

В 32-м цикле результат из сумматора СМ₂ вводится в накопитель N₂, а в накопителе N₁ сохраняется прежнее заполнение. Полученные после 32-го цикла зашифрования заполнения накопителей N₁ и N₂ являются блоком зашифрованных данных Т_ш, соответствующим блоку открытых данных Т₀.

Уравнения зашифрования в режиме простой замены имеют вид:

при j {1,…,24},

при j {25,…,31},

при j=32

где a (j) = (a₃₂(j), a₃₁(j),..., a₁(j)) – заполнение N₁ после j-го цикла зашифрования;

b (j) = (b₃₂(j), b₃₁(j),..., b₁(j)) – заполнение N₂ после j-го цикла зашифрования, j {1,…,32}.

Блок зашифрованных данных Т_ш (64 разряда) выводится из накопителей N₁, N₂ в следующем порядке: из разрядов 1…32 накопителя N₁, затем из разрядов 1…32 накопителя N₂, т.е. начиная с младших разрядов:

Т_ш = (a₁(32), a₂(32),..., a₃₂(32), b₁(32), b₂(32),..., b₃₂(32)).

Остальные блоки открытых данных зашифровываются в режиме простой замены аналогично.

Расшифрование в режиме простой замены. Криптосхема, реализующая алгоритм расшифрования в режиме простой замены, имеет тот же вид, что и при зашифровании (см. рис. 11).

В КЗУ вводят 256 бит ключа, на котором осуществлялось зашифрование. Зашифрованные данные, подлежащие расшифрованию, разбиты на блоки Т_ш по 64 бита в каждом. Ввод любого блока

Т_ш = (a₁(32), a₂(32),..., a₃₂(32), b₁(32), b₂(32),..., b₃₂(32))

в накопители N₁ и N₂ производят так, чтобы начальное значение накопителя N₁ имело вид

(a₃₂(32), a₃₁(32),..., a₂(32), a₁(32)),

32, 31,..., 2, 1 номер разряда N₁

а начальное заполнение накопителя N₂ – вид

(b₃₂(32), b₃₁(32),..., b₂(32), b₁(32)).

32, 31,..., 2, 1 номер разряда N₂

Расшифрование осуществляется по тому же алгоритму, что и зашифрование, с тем изменением, что заполнения накопителей X₀, Х₁,..., Х₇ считываются из КЗУ в циклах расшифрования в следующем порядке:

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀,

К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀.

Уравнения расшифрования имеют вид:

при j {1,…,8};

при j {9,…,31};

при j=32.

Полученные после 32 циклов работы заполнения накопителей N₁ и N₂ образуют блок открытых данных

Т₀ = (a₁(0), a₂(0),..., a₃₂(0), b₁(0), b₂(0),..., b₃₂(0)),

соответствующий блоку зашифрованных данных Т_ш. При этом состояние накопителя N₁

(a₃₂(0), a₃₁(0),..., a₂(0), a₁(0)),

32, 31,..., 2, 1 номер разряда N₁

состояние накопителя N₂

(b₃₂(0), b₃₁(0),..., b₂(0), b₁(0)).

32, 31,..., 2, 1 номер разряда N₂

Аналогично расшифровываются остальные блоки зашифрованных данных.

Если алгоритм зашифрования в режиме простой замены 64-битового блока Т₀ обозначить через А, то

А(Т₀) = А(a (0), b(0)) = (a (32), b(32))=Т_ш.

Следует иметь в виду, что режим простой замены допустимо использовать для шифрования данных только в ограниченных случаях – при выработке ключа и зашифровании его с обеспечением имитозащиты для передачи по каналам связи или для хранения в памяти ЭВМ.

Зашифрование открытых данных в режиме гаммирования. Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования, показана на рис. 11. Открытые данные разбивают на 64-разрядные блоки

Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀⁽ⁱ⁾,..., Т₀^(m),

где Т₀⁽ⁱ⁾ – i-й 64-разрядный блок открытых данных, i {1,…,m}, m определяется объемом шифруемых данных.

Рис. 11. Схема реализации режима гаммирования

Эти блоки поочередно зашифровываются в режиме гаммирования путем поразрядного сложения по модулю 2 в сумматоре СМ₅ с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита, т.е.

Г_ш=(Г_ш⁽¹⁾, Г_ш⁽²⁾,..., Г_ш⁽ⁱ⁾, Г_ш^(m)),

где Г_ш⁽ⁱ⁾ – i-й 64-разрядный блок, i {1,…,m}.

Число двоичных разрядов в блоке Т₀^(m) может быть меньше 64, при этом неиспользованная для зашифрования часть гаммы шифра из блока Г_ш^(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования имеет вид

Т_ш⁽ⁱ⁾ = Т₀⁽ⁱ⁾ Å Г_ш⁽ⁱ⁾,

где Г_ш⁽ⁱ⁾=А(Y_i–1 ⊞ C₂, Z_i–1 ⊞´C₁),i {1,…,m}; Т_ш⁽ⁱ⁾ – i-й блок 64-разрядного блока зашифрованного текста; А(·) – функция зашифрования в режиме простой замены; С₁, С₂ – 32-разрядные двоичные константы; Y_i, Z_i– 32-разрядные двоичные последовательности.

Величины Y_i, Z_i определяются итерационно по мере формирования гаммы Г_ш следующим образом:

(Y₀, Z₀) = А (),

где – синхропосылка (64-разрядная двоичная последовательность),

(Y_i, Z_i) = (Y_i–1 ⊞ С₂, Z_i–1 ⊞ C₁), i {1,…,m}.

Рассмотрим реализацию процедуры зашифрования в режиме гаммирования.
В накопители N₆ и N₅ заранее записаны 32-разрядные двоичные константы С₁ и С₂, имеющие следующие значения (в шестнадцатеричной форме):

С₁ = 01010104₍₁₆₎, С₂ = 01010101₍₁₆₎.

В КЗУ вводится 256 бит ключа; в накопители N₁ и N₂ – 64-разрядная двоичная последовательность (синхропосылка)

= (S₁, S₂,..., S₆₄).

Синхропосылка является исходным заполнением накопителей N₁ и N₂ для последовательной выработки m блоков гаммы шифра.

Исходное заполнение накопителя N₁:

(S₃₂, S₃₁,...,S₂, S₁);

32, 31,..., 2, 1 номер разряда N₁

исходное заполнение накопителя N₂:

(S₆₄, S₆₃,..., S₃₄, S₃₃).

64, 63,..., 34, 33 номер разряда N₂

Исходное заполнение N₁ и N₂ (синхропосылка ) зашифровывается в режиме простой замены. Результат зашифрования

A() = (Y₀, Z₀)

переписывается в 32-разрядные накопители N₃ и N₄ так, что заполнение N₁ переписывается в N₃, а заполнение N₂ – в N₄.

Заполнение накопителя N₄ суммируют по модулю (2³² –1) в сумматоре СМ₄ с 32-разрядной константой С₁ из накопителя N₆. Результат записывается в N₄. Заполнение накопителя N₃ суммируется по модулю 2³² в сумматоре СМ₃ с 32-разрядной константой С₂ из накопителя N₅. Результат записывается в N₃. Заполнение N₃ переписывают в N₁, а заполнение N₄ – в N₂, при этом заполнения N₃, N₄ сохраняются. Заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены.

Полученное в результате зашифрования заполнение накопителей N₁, N₂ образует первый 64-разрядный блок гаммы шифра Г_ш⁽¹⁾=(g₁⁽¹⁾, g₂⁽¹⁾,..., g₆₃⁽¹⁾, g₆₄⁽¹⁾), который суммируют поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных

Т₀⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,..., t₆₃⁽¹⁾, t₆₄⁽¹⁾).

В результате суммирования по модулю 2 значений Г_ш⁽¹⁾ и Т₀⁽¹⁾ получают первый 64-разрядный блок зашифрованнных данных:

Т_ш⁽¹⁾ = Г_ш⁽¹⁾ Å Т₀⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,..., t₆₃⁽¹⁾, t₆₄⁽¹⁾),

где t_i⁽¹⁾ = t_i⁽¹⁾ Å g_i⁽¹⁾, i {1,…,64}.

Для получения следующего 64-разрядного блока гаммы шифра Г_ш⁽²⁾ заполнение N₄ суммируется по модулю (2³² –1) в сумматоре СМ₄ с константой С₁ из N₆. Результат записывается в N₄. Заполнение N₃ суммируется по модулю 2³² в сумматоре СМ₃ с константой С₂ из N₅. Результат записывается в N₃. Новое заполнение N₃ переписывают в N₁, а новое заполнение N₄ – в N₂ , при этом заполнения N₃ и N₄ сохраняют. Заполнения N₁, N₂ зашифровывают в режиме простой замены.

Полученное в результате зашифрования заполнение накопителей N₁ и N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾:

Т_ш⁽²⁾ = Г_ш⁽²⁾ Å Т₀⁽²⁾.

Аналогично вырабатываются блоки гаммы шифра Г_ш⁽³⁾, Г_ш⁽⁴⁾,..., Г_ш^(m) и зашифровываются блоки открытых данных Т₀⁽³⁾, Т₀⁽⁴⁾,..., Т₀^(m).

В канал связи или память ЭВМ передаются синхропосылка и блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m).

Расшифрование в режиме гаммирования. При расшифровании криптосхема имеет тот же вид, что и при зашифровании (см. рис. 11).

Уравнение расшифрования:

Т₀⁽ⁱ⁾ = Т_ш⁽ⁱ⁾ Å Г_ш⁽ⁱ⁾ = T_ш⁽ⁱ⁾ Å A (Y_i–1 ⊞ C₂, Z_i–1 ⊞´ C₁), i {1,…,m}.

Следует отметить, что расшифрование данных возможно только при наличии синхропосылки, которая не является секретным элементом шифра и может храниться в памяти ЭВМ или передаваться по каналам связи вместе с зашифрованными данными.

Рассмотрим реализацию процедуры расшифрования. В КЗУ вводят 256 бит ключа, с помощью которого осуществляется зашифрование данных Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m). В накопители N₁ и N₂ вводится синхропосылка, и осуществляется процесс выработки m блоков гаммы шифра Г_ш⁽¹⁾, Г_ш⁽²⁾,..., Г_ш^(m). Блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m) суммируются поразрядно по модулю 2 в сумматоре СМ₅ с блоками гаммы шифра Г_ш⁽¹⁾,..., Г_ш^(m). В результате получаются блоки открытых данных

Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m);

при этом Т₀^(m) может содержать меньше 64 разрядов.

Режим гаммирования с обратной связью. Зашифрование открытых данных в режиме гаммирования с обратной связью. Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования с обратной связью, имеет вид, показанный на рис. 12.

Открытые данные, разбитые на 64-разрядные блоки Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m), зашифровываются в режиме гаммирования с обратной связью путем поразрядного сложения по модулю 2 с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита:

Г_ш = (Г_ш⁽¹⁾, Г_ш⁽²⁾,..., Г_ш^(m)).

Число двоичных разрядов в блоке Т₀^(m) может быть меньше 64, при этом неиспользованная для шифрования часть гаммы шифра из блока Г_ш^(m) отбрасывается.

Уравнения зашифрования в режиме гаммирования с обратной связью имеют вид:

Т_ш⁽¹⁾ = А () Å Т₀⁽¹⁾ = Г_ш⁽¹⁾ Å Т₀⁽¹⁾,

Т_ш⁽ⁱ⁾ = A (Т_ш^(i–1)) Å Т₀⁽ⁱ⁾ = Г_ш⁽ⁱ⁾ Å Т₀⁽ⁱ⁾, i {2,…,m}.

Рис. 12. Схема реализации режима гаммирования с обратной связью

Здесь Т_ш⁽ⁱ⁾ – i-й 64-разрядный блок зашифрованного текста; А(·) – функция зашифрования в режиме простой замены; m – определяется объемом открытых данных.

Аргументом функции А (·) на первом шаге итеративного алгоритма является 64-разрядная синхропосылка , а на всех последующих шагах – предыдущий блок зашифрованных данных Т_ш^(i–1).

Процедура зашифрования данных в режиме гаммирования с обратной связью реализуется следующим образом. В КЗУ вводятся 256 бит ключа. В накопители N₁ и N₂ вводится синхро-посылка = (S₁, S₂,..., S₆₄) из 64 бит. Исходное заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены. Полученное в результате зашифрования заполнение накопителей N₁ и N₂ образует первый 64-разрядный блок гаммы шифра Г_ш⁽¹⁾=A(), который суммируется поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных

Т₀⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,..., t₆₄⁽¹⁾).

В результате получают первый 64-разрядный блок зашифрованных данных

Т_Ш⁽¹⁾ = Г_Ш⁽¹⁾ Å Т₀⁽¹⁾,

где Т_Ш⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,..., t₆₄⁽¹⁾).

Блок зашифрованных данных Т_Ш⁽¹⁾ одновременно является также исходным состоянием накопителей N₁, N₂ для выработки второго блока гаммы шифра Г_Ш⁽²⁾, и поэтому по обратной связи Т_Ш⁽¹⁾ записывается в указанные накопители N₁ и N₂.

Заполнение накопителя N₁

(t₃₂⁽¹⁾, t₃₁⁽¹⁾,..., t₂⁽¹⁾, t₁⁽¹⁾).

32, 31,..., 2, 1 номер разряда N₁

Заполнение накопителя N₂

(t₆₄⁽¹⁾, t₆₃⁽¹⁾,..., t₃₄⁽¹⁾, t₃₃⁽¹⁾).

32, 31,..., 2, 1 номер разряда N₂

Заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены.
Полученное в результате зашифрования заполнение накопителей N₁ и N₂ образует второй 64-разрядный блок гаммы шифра Г_Ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾:

Г_Ш⁽²⁾ Å Т₀⁽²⁾ = Т_Ш⁽²⁾.

Выработка последующих блоков гаммы шифра Г_Ш⁽ⁱ⁾ и зашифрование соответствующих блоков открытых данных Т₀⁽ⁱ⁾ (i {3…m}) производится аналогично.

Если длина последнего m-го блока открытых данных Т₀^(m) меньше 64 разрядов, то из Г_Ш^(m) используется только соответствующее число разрядов гаммы шифра, остальные разряды отбрасываются.

В канал связи или память ЭВМ передаются синхропосылка и блоки зашифрованных данных Т_Ш⁽¹⁾, Т_Ш⁽²⁾,..., Т_Ш^(m).

Расшифрование в режиме гаммирования с обратной связью. При расшифровании криптосхема имеет тот же вид, что и при зашифровании. Уравнения расшифрования:

Т₀⁽¹⁾ = А() Å Т_ш⁽¹⁾ = Г_ш⁽¹⁾ Å Т_ш⁽¹⁾,

Т₀⁽ⁱ⁾ = Г_ш⁽ⁱ⁾ Å Т_ш⁽ⁱ⁾ = A (Т_ш^(i–1) ) Å Т_ш⁽ⁱ⁾, i {2…m}.

Реализация процедуры расшифрования зашифрованных данных в режиме гаммирования с обратной связью происходит следующим образом. В КЗУ вводят 256 бит того же ключа, на котором осуществлялось зашифрование открытых блоков Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m). В накопители N₁ и N₂ вводится синхропосылка . Исходное заполнение накопителей N₁ и N₂ (синхропосылка ) зашифровывается в режиме простой замены. Полученное в результате зашифрования заполнение N₁ и N₂ образует первый блок гаммы шифра

Г_Ш⁽¹⁾ = А(),

который суммируется поразрядно по модулю 2 в сумматоре СМ₅ с блоком зашифрованных данных Т_Ш⁽¹⁾.

В результате получается первый блок открытых данных

Т₀⁽¹⁾ = Г_ш⁽¹⁾ Å Т_ш⁽¹⁾.

Блок зашифрованных данных Т_ш⁽¹⁾ является исходным заполнением накопителей N₁ и N₂ для выработки второго блока гаммы шифра Г_Ш⁽²⁾: Г_Ш⁽²⁾ = А(Т_Ш⁽¹⁾). Полученное заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены. Образованный в результате зашифрования блок Г_Ш⁽²⁾ суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком зашифрованных данных Т_Ш⁽²⁾. В результате получают второй блок открытых данных. Аналогично в N₁, N₂ последовательно записывают блоки зашифрованных данных Т_Ш⁽²⁾, Т_Ш⁽³⁾,..., Т_Ш^(m), из которых в режиме простой замены вырабатываются блоки гаммы шифра Г_Ш⁽³⁾, Г_Ш⁽⁴⁾,..., Г_Ш^(m).

Блоки гаммы шифра суммируются поразрядно по модулю 2 в сумматоре СМ₅
с блоками зашифрованных данных Т_Ш⁽³⁾,Т_Ш⁽⁴⁾,..., Т_Ш^(m).

В результате получают блоки открытых данных

Т₀⁽³⁾, Т₀⁽⁴⁾,..., Т₀^(m),

при этом последний блок открытых данных Т₀^(m) может содержать меньше 64 разрядов.

Режим выработки имитовставки. Имитовставка – это блок из Р бит, который вырабатывают по определенному правилу из открытых данных с использованием ключа и затем добавляют к зашифрованным данным для обеспечения их имитозащиты.

Имитозащита – это защита системы шифрованной связи от навязывания ложных данных.

В стандарте ГОСТ 28147-89 определяется процесс выработки имитовставки, который единообразен для любого из режимов шифрования данных. Имитовставка И_р вырабатывается из блоков открытых данных либо перед шифрованием всего сообщения, либо параллельно с шифрованием по блокам. Первые блоки открытых данных, которые участвуют в выработке имитовставки, могут содержать служебную информацию (например, адресную часть, время, синхропосылку) и не зашифровываются.

Значение параметра Р (число двоичных разрядов в имитовставке) определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных помех равна 1/2^р.

Для выработки имитовставки открытые данные представляют в виде последовательности 64-разрядных блоков Т₀⁽ⁱ⁾, i {1,…,m}.

Первый блок открытых данных Т₀⁽¹⁾ подвергают преобразованию (·), соответствующему первым 16 циклам алгоритма зашифрования в режиме простой замены. В качестве ключа для выработки имитовставки используют ключ длиной 256 бит, по которому шифруют данные.

Полученное после 16 циклов 64-разрядное число (Т₀⁽¹⁾) суммируют по модулю 2 со вторым блоком открытых данных Т₀⁽²⁾. Результат суммирования ( (Т₀⁽¹⁾) Å Т₀⁽²⁾) снова подвергают преобразованию (·).

Полученное 64-разрядное число ( (Т₀⁽¹⁾) Å Т₀⁽²⁾) суммируют по модулю 2 с третьим блоком Т₀⁽³⁾ и снова подвергают преобразованию (·), получая 64-разрядное число ( ( (Т₀⁽¹⁾) Å Т₀⁽²⁾) Å Т₀⁽³⁾), и т.д.

Последний блок Т₀^(m) (при необходимости дополненный нулями до полного 64-разрядного блока) суммируют по модулю 2 с результатом вычислений на шаге (m–1), после чего зашифровывают в режиме простой замены, используя преобразование (·).

Из полученного 64-разрядного числа выбирают отрезок И_р (имитовставку) длиной Р бит:

И_р = [a^(m)_32–p+1(16), a^(m)_32–p+2(16),..., a^(m)₃₂(16)],

где a_i^(m) – i-й бит 64-разрядного числа, полученного после 16-го цикла последнего преобразования (·), 32 – р + 1 £ i £ 32.

Имитовставка И_р передается по каналу связи или в память ЭВМ в конце зашифрованных данных, т.е.

Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m), И_р.

Поступившие к получателю зашифрованные данные

Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m)

расшифровываются, и из полученных блоков открытых данных Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m) аналогичным образом вырабатывается имитовставка И_р^¢. Эта имитовставка И_р^¢ сравнивается с имитовставкой И_р, полученной вместе с зашифрованными данными из канала связи или из памяти ЭВМ. В случае несовпадения имитовставок полученные при расшифровании блоки открытых данных Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m) считают ложными.

Сравнивая схемы DES и ГОСТ, следует заметить, что они очень похожи, но есть и отличия:

- в ГОСТе проводится в 2 раза большее число итераций, определяющих криптографическую сложность результирующих преобразований;

- в ГОСТе существенно больше ключей (2⁵⁶=6.4×10¹⁶ вариантов ключевых установок в DES и 2²⁵⁶= 6.4×10⁷⁶ ключевых установок в ГОСТ).

Обе схемы не являются теоретически стойкими. При достаточном количестве шифрованного текста тотальным методом, т.е. перебором всех ключей, проведением пробного расшифрования и отсева по статистическим критериям ложных вариантов получаемого открытого текста можно найти ключ для обоих шифров.

Глава 3.