DES вітчизняний стандарт шифрування зручніший для програмної реалізації.

На відміну від американського DES у вітчизняному стандарті застосовується довший ключ - 256 біт. Крім того, російський стандарт пропонує використовувати 32 раунди шифрування, тоді як DES – лише 16.

Таким чином, основні параметри алгоритму криптографічного перетворення даних ГОСТ 28147-89 такі: розмір блоку становить 64 біти, розмір ключа – 256 біт, кількість раундів – 32.

Алгоритм є класичну мережуФейштель. Блок даних, що шифрується, розбивається на дві однакові частини, праву R і ліву L. Права частина складається з підключенням раунду і за допомогою деякого алгоритму шифрує ліву частину. Перед наступним раундом ліва та права частини міняються місцями. Така структура дозволяє використовувати той самий алгоритм як для шифрування, так і для дешифрування блоку.

В алгоритмі шифрування використовуються такі операції:

• складання слів за модулем 2 32;
• циклічний зсув слова вліво на вказане число біт;
• побітове додавання за модулем 2;
• заміна за таблицею.

На різних кроках алгоритмів ДСТУ дані, якими вони оперують, інтерпретуються та використовуються по-різному. У деяких випадках елементи даних обробляються як масиви незалежних бітів, в інших випадках - як ціле число без знака, у третіх - як складний елемент, що має структуру, що складається з декількох більш простих елементів.

Структура раунду ГОСТ 28147-89

Структура одного раунду ГОСТ 28147-89 наведено на рис. 5.1.

Блок даних, що шифрується, розбивається на дві частини, які потім обробляються як окремі 32-бітові цілі числа без знака. Спочатку права половина блоку та підключ раунду складаються за модулем 2 32 . Потім проводиться поблочна підстановка. 32-бітове значення отримане на попередньому кроці (позначимо його S ), інтерпретується як масив з восьми 4-бітових блоків коду: S=(S 0 ,S 1 ,S 2 ,S 3 ,S 4 ,S 5 ,S 6 ,S 7). Далі значення кожного з восьми блоків замінюється на нове, яке вибирається за таблицею замін наступним чином: значення блоку S i замінюється на S i -тий по порядку елемент (нумерація з нуля) i-го вузла замін (тобто i-того рядка таблиці замін, нумерація також з нуля. Іншими словами, як заміна для значення блоку вибирається елемент з номером рядка, рівним номеру блоку, що замінюється, і номером стовпця, рівним значенню замінного блоку як 4-бітового цілого неотрицательного числа. У кожному рядку таблиці замін записано числа від 0 до 15 у довільному порядку без повторень. Значення елементів таблиці замін взяті від 0 до 15, так як у чотирьох бітах, які піддаються підстановці, може бути записано ціле число без знака в діапазоні від 0 до 15. Наприклад, перший рядок S-блоку може містити такі значення: 5, 8, 1, 13, 10, 3, 4, 2, 14, 15, 12, 7, 6, 0, 9, 11 . У цьому випадку значення блоку S 0 (чотири молодших біта 32-розрядного числа S) заміниться на число, що стоїть на позиції, номер якої дорівнює значенню блоку, що замінюється. Якщо S 0 = 0 , воно заміниться на 5 , якщо S 0 = 1 , воно заміниться на 8 і т.д.

Мал. 5.1.

Після виконання підстановки всі 4-бітові блоки знову об'єднуються в єдине 32-бітове слово, яке потім циклічно зсувається на 11 бітів вліво. Нарешті, за допомогою побітової операції "сума за модулем 2"результат поєднується з лівою половиною, внаслідок чого виходить нова права половина R i . Нова ліва частина L i береться рівною молодшій частині блоку, що перетворюється: L i = R i-1 .

Отримане значення блоку, що перетворюється, розглядається як результат виконання одного раунду алгоритму шифрування.

Процедури шифрування та розшифрування

ГОСТ 28147-89 є блоковим шифром, тому перетворення данихздійснюється блоками в так званих базових циклах. Базові цикли полягають у багаторазовому виконанні блоку даних основного раунду, розглянутого нами раніше, з використанням різних елементів ключа і відрізняються один від одного порядком використання ключових елементів. У кожному раунді використовується один із восьми можливих 32-розрядних з'єднань.

Розглянемо процес створення підключів раундів. У ГОСТ ця процедура дуже проста, особливо в порівнянні з DES. 256-бітний ключ K розбивається на вісім 32-бітних підключів, що позначаються K 0 , K 1 , K 2 ,K 3 , K 4 , K 5 , K 6 , K 7 . Алгоритм включає 32 раунди, тому кожен підключ при шифруванні використовується у чотирьох раундах у послідовності, представленій на таблицю 5.1.

Таблиця 5.1. Послідовність використання підключень під час шифрування

Раунд	1	2	3	4	5	6	7	8
Під ключ	K 0	K 1	K 2	K 3	K 4	K 5	K 6	K 7
Раунд	9	10	11	12	13	14	15	16
Під ключ	K 0	K 1	K 2	K 3	K 4	K 5	K 6	K 7
Раунд	17	18	19	20	21	22	23	24
Під ключ	K 0	K 1	K 2	K 3	K 4	K 5	K 6	K 7
Раунд	25	26	27	28	29	30	31	32
Під ключ	K 7	K 6	K 5	K 4	K 3	K 2	K 1	K 0

Процес розшифрування проводиться у тому алгоритмі, як і шифрування . Єдина відмінність полягає в порядку використання підключів K i. При розшифруванні підключи повинні бути використані у зворотному порядку, а саме, як зазначено на

1 Структурна схемаалгоритму криптографічного перетворення

2 Режим простої заміни 4

3 Режим гамування 8

4 Режим гамування з зворотним зв'язком 11

5 Режим вироблення імітівставки 14

Додаток 1 Терміни, що застосовуються у цьому стандарті, та їх визначення 16

Додаток 2 Значення констант С1, С2 18

Додаток 3 Схеми програмної реалізації алгоритму криптографічного

перетворення. 19

Додаток 4 Правила підсумовування за модулем 2 32 та за модулем (2 32 -I) 25

ДЕРЖАВНИЙ СТАНДАРТ

СПІЛКИ РСР

СИСТЕМИ ОБРОБКИ ІНФОРМАЦІЇ. ЗАШИТИЙ КРИПТОГРАФІЧНИЙ

Алгоритм криптографічного перетворення

Дата введення 01.07.90

Цей стандарт встановлює єдиний алгоритм криптографічного перетворення для систем обробки інформації в мережах електронних. обчислювальних машин(ЕОМ), окремих обчислювальних комплексах та ЕОМ, який визначає правила шифрування даних та вироблення імітівставки.

Алгоритм криптографічного перетворення призначений для апаратної або програмної реалізації, задовольняє криптографічним вимогам і за своїми можливостями не накладає обмежень на ступінь секретності інформації, що захищається.

Стандарт є обов'язковим для організацій, підприємств та установ, що застосовують криптографічний захистданих, що зберігаються та передаються в мережах ЕОМ, в окремих обчислювальних комплексах або в ЕОМ.

Терміни, що застосовуються у цьому стандарті, та їх визначення наведено у додатку 1.

I. СТРУКТУРНА СХЕМА АЛГОРИТМА КРИПТОГРАФІЧНОГО ПЕРЕТВОРЕННЯ

1.1. Структурна схема алгоритму криптографічного перетворення (криптосхема) містить (див. чорт. 1):

Видання офіційне ★

ключове запам'ятовуючий пристрій (КЗУ) на 256 біт, що складається з восьми 32-розрядних накопичувачів (Х 0 , X t . Х 2, A3 Л4, Х $, Х 6, Ху); чотири 32-розрядні накопичувачі (/V (, N 2 , Nj, /V 4);

Передрук заборонено

© Видавництво стандартів, 1989 © ІПК Видавництво стандартів, 1996

два 32-розрядні накопичувачі Л/$,) із записаними в них постійними заповненнями С 2 , С\\

два 32-розрядних суматора за модулем 2 32 (СМ|, СЛ/3);

32-розрядний суматор порозрядного підсумовування за модулем 2 (СЛ/2);

32-розрядний суматор за модулем (2 32 - 1) (СЛ/4);

суматор за модулем 2(СЛ/ 5), обмеження на розрядність суматора СЛ/$ не накладається;

блок підстановки (А);

регістр циклічного зсуву на одинадцять кроків у бік старшого розряду (R).

1.2. Блок підстановки А" складається з восьми вузлів заміни A'j,

А 2, А“з, До 4, А5, А7, А 8 з пам'яттю на 64 біти кожен. Посту

падає на блок підстановки 32-розрядний вектор розбивається на вісім послідовно йдуть 4-розрядних векторів, кожен з яких перетворюється на 4-розрядний вектор відповідним вузлом заміни, що є таблицею з шістнадцяти рядків, що містять по чотири біти заповнення в рядку. Вхідний вектор визначає адресу рядка у таблиці, заповнення цього рядка є вихідним вектором. Потім 4-розрядні вихідні вектори послідовно поєднуються в 32-розрядний вектор.

1.3. При додаванні та циклічному зрушенні двійкових векторів старшими розрядами вважаються розряди накопичувачів з великими номерами.

1.4. При записі ключа (І", W 2 ..., W q e(0,1), д= N256,

КЗУ значення W\ вводиться в i-й розряднакопичувача Xq, значення W 2 вводиться в 2-й розряд накопичувача Л #, ... , значення W ^ 2 вводиться в 32-й розряд накопичувача Xq; значення W33 вводиться в 1-й розряд накопичувача Х\ значення вводиться в 2-й розряд накопичувача Х\ у... , значення WM вводиться в 32-й розряд накопичувача Х\\ Х 2 і т.д., значення 1У 2 5Ь вводиться в 32-й розряд накопичувача Ху.

1.5. При перезапису інформації вміст р-го розряду одного накопичувача (суматора) переписується в р-й розрядіншого накопичувача (суматора).

1.6. Значення постійних заповнень Cj, 2 (констант) накопичувачів / V 6 , / V5 наведені в додатку 2.

1.7. Ключі, що визначають заповнення КЗП та таблиць блоку підстановки, є секретними елементами і поставляються в установленому порядку.

Заповнення таблиць блоку підстановки є довготривалим ключовим елементом, загальним для мережі ЕОМ.

Організація різних видівзв'язку досягається побудовою відповідної ключової системи. При цьому може бути використана можливість вироблення ключів (заповнень КЗП) у режимі простої заміни та зашифрування їх у режимі простої заміни із забезпеченням імітозахисту для передачі каналами зв'язку або зберігання в пам'яті ЕОМ.

1.8. У криптосхемі передбачено чотири види роботи: зашифрування (розшифрування) даних у режимі простої заміни; зашифрування (розшифрування) даних у режимі гамування;

зашифрування (розшифрування) даних у режимі гамування зі зворотним зв'язком;

режим вироблення імітівставки.

Схеми програмної реалізації алгоритму криптографічного перетворення наведено у додатку 3.

2. РЕЖИМ ПРОСТОЇ ЗАМІНИ

2.1. Зашифрування відкритих даних у режимі простої заміни

2.1.1. Криптосхема», що реалізує алгоритм зашифрування в режимі простої заміни, повинна мати вигляд, вказаний на рис.2.

Відкриті дані, що підлягають зашифруванню, розбивають на блоки по 64 біти в кожному. Введення будь-якого блоку Т () = (Д|(0), ^(О), ..., д 3 1(0), я 32 (0), £|(0), Ь 2 (0) у.. ., Z> 32 (0)) двійкової інформаціїв накопичувачі N і N 2 виробляється так, що значення Д | (0) вводиться в 1-й розряд N |, значення а 2 (0) вводиться в 2-й розряд / Vj і т.д, значення я 32 (0 ) вводиться у 32-й розряд iVj; значення />|(0) вводиться в

1-й розряд Л/2, значення Ь 2 (0) вводиться в 2-й розряд N 2 і т.д., значення 32 (0) вводиться в 32-й розряд N 2 . В результаті отримують стан (я 32 (0), я 3 | (0), ... , а 2 (0) у<7|(0)) накопителя yVj и состояние (/>32 (0), Ь 2 1(0), ... , />|(0)) накопичувача N 2 .

2.1.2. У КЗУ вводяться 256 біт ключа. Вміст восьми 32-розрядних накопичувачів Aq, X\ t ... , Xj має вигляд:

^0 = (^32^3.....

*1 =(^64^63, . ^34^33)

*7 = (^56> ^255. ... , І/ 226 , ^ 225)

2.1.3. Алгоритм зашифрування 64-розрядного блоку відкритих даних у режимі простої заміни складається з 32 циклів.

У першому циклі початкове заповнення накопичувача підсумовується за модулем 2 32 у суматорі СМ з заповненням накопичувача Xq при цьому заповнення накопичувача Nj зберігається.

Результат підсумовування перетворюється в блоці підстановки і отриманий вектор надходить на вхід регістра /?, де циклічно зсувається на одинадцять кроків у бік старших розрядів. Результат зсуву підсумовується порозрядно по модулю 2 суматорі СМ 2 з 32-розрядним заповненням накопичувача yV 2 . Отриманий СМ 2 результат записується в N% при цьому старе заповнення N| листується в N 2 . Перший цикл закінчується.

Наступні цикли здійснюються аналогічно, причому

2-му циклі з КЗУ зчитується заповнення Х\, у 3-му циклі з КЗУ

зчитується заповнення Х 2 і т.д., у 8-му циклі з КЗУ зчитується заповнення Xj. У циклах з 9-го по 16-й, а також у циклах з 17-го по 24-й заповнення з КЗУ зчитуються в тому ж порядку:

В останніх восьми циклах з 25-го по 32-й порядок зчитування заповнень КЗУ зворотний:

пекло, пекло, пекло, пекло.

Таким чином, при зашифруванні в 32 циклах здійснюється наступний порядок вибору заповнень накопичувачів:

пекло, ^2,^),^4>^5,^6»^7, пекло, ^2,^3»^4,^5,-^6,^7, пекло, пекло,пекло,пекло, пекло , Пекло, Пекло, Пекло.

У 32 циклі результат із суматора СЛ/2 вводиться в накопичувач УУ 2, а в накопичувачі N зберігається старе заповнення.

Отримані після 32 нікла зашифрування заповнення накопичувачів N| та N2 є блоком зашифрованих даних, що відповідає блоку відкритих даних.

2.1 4 Рівняння зашифрування в режимі простої заміни мають вигляд:

J*Cr>» (

I Ь(/) = а(/~ I)

при у = I -24;

Г«

\bO) - а Про - Про при / 8 * 25 -г 31; а(32) = а (31)

А (32) = (д (31) ffl X 0) KRG> Ь (31)

де д(0) = (а 32 (0), «з|(0), ..., Д|(0)) - початкове заповнення N перед першим циклом зашифрування;

6(0) = (632(0), 63j(0), ... , 6j(0)) - початкове заповнення /У 2 перед першим циклом зашифрування;

a(j) = (032(7), 0з|(/) е... , 0|(/)) - заповнення УУ, після у-го циклу зашифрування;

b(j) = (6з 2 (/), 63j(/"), ... , 6|(/)) - заповнення /V 2 після у-го циклу зашифрування, у = 032.

Знак ф означає порозрядне підсумовування 32-розрядних векторів за модулем 2.

Знак Ш означає підсумовування 32-розрядних векторів за модулем 232. Правила підсумовування за модулем 2 32 наведено у додатку 4;

/?- Операція циклічного зсуву на одинадцять кроків у бік старших розрядів, тобто.

^(г 32»О|> г 30> р 29> р 28> р 27> р 26» р 25> р 24> р 23′ Р 22» Р 2Ь Р 20> » р 2* р |)~

= (р 21» р 20> - » р 2* р 1 * Р 32>Г31 *ГзО» р 29* р 28* , 27э"26э/"25> , 24>Г23» , 22)*

2.1.5. 64-розрядний блок зашифрованих даних Т ш виводиться з накопичувачів Л^, УУ 2 в наступному порядку: з 1-го, 2-го, ..., 32-го розрядів накопичувача Л7|, потім з 1-го, 2-го , ... , 32-го розрядів накопичувача W 2 , тобто.

т ш - (а,<32),0 2 (32),0 32 (32), 6,(32), 6 2 <32),6 32 <32».

Інші блоки відкритих даних у режимі простої заміни зашифровуються аналогічно.

2.2. Розшифрування зашифрованих даних у режимі простої заміни

2.2.1. Криптосхема, що реалізує алгоритм розшифрування в режимі простої заміни, має той самий вид (див.чсрт.2), що і зашифрування. У КЗУ вводяться 256 біт того ключа, у якому здійснювалося зашифрування. Зашифровані дані, що підлягають розшифруванню, розбиті на блоки по 64 біти в кожному Введення будь-якого блоку

Т ш - (0, (32), 2 (32), ..., 0 32 (32), 6, (32), 6 2 (32), ..., 6 32 (32))

накопичувачі Л', і N 2 виробляються так, що значення дj(32) вводиться в 1-й розряд /V, значення про 2 (32) вводиться в 2-й розряд /V, і т.д., значення a 32 (32) вводиться у 32-й розряд /V,; значення 6(32) вводиться в 1-й розряд N 2 і т.д., значення 6 32 (32) вводиться в 32-й розряд N 2 .

2.2.2. Розшифрування здійснюється за тим же алгоритмом, що і зашифрування відкритих даних, з тією зміною, що заповнення накопичувачів Xq, Х\ у ... , Xj зчитуються з КЗП в циклах розшифрування в такому порядку:

пекло, пекло 3, пекло, пекло, пекло, пекло, пекло, пекло 0,

пекло 6, пекло 4, пекло 2, пекло, пекло, пекло, пекло 2, пекло.

2.2.3. Рівняння розшифрування мають вигляд:

Г д (32 -/) = (д (32 - / + 1) ШЛГ,.,) * ЛФ6 (32-/ + 1) b (32 - /) = д (32 - / + 1) при,/= 1+8;

I про(32-/) = (а(32-/М)ШДГ (32 _ /)(тод8))КЛФЬ(32./М) |6(32-/) = д (32 - / + 1)

за /= 9 + 31;

Ь(0) = (а (1) ШДГо) ОФй(1)

2.2.4. Отримані після 32 циклів роботи заповнення накопичувачів W і N 2 складають блок відкритих даних.

То = (fli(O), а 2 (0), ... , Аз 2 (0)» 6,(0), 6 2 (0), ... , 6 32 (0)), що відповідає блоку зашифрованих даних, при цьому значення про,(0) блоку 7о відповідає вмісту 1-го розряду yV, значення 02(0) соот-

С. 8 ГОСТ 28147-89

відповідає вмісту 2-го розряду N\ і т.д., значення Дз2(0) відповідає вмісту 32-го розряду N\; значення 6j(0) відповідає вмісту 1-го розряду значення ^(0) відповідає вмісту 2-го розряду N2 і т.д., значення £зг(0) відповідає вмісту 32-го розряду N2-

Аналогічно розшифровуються інші блоки зашифрованих даних.

2.3. Алгоритм зашифрування як простої заміни 64-битового блоку Р 0 позначається через А у тобто.

А (Т 0) = А (а (0), Ь (0)) = (а (32), Ь (32)) = Т ш.

2.4. Режим простої заміни дозволяється використовувати для зашифрування (розшифрування) даних лише у випадках, наведених у п.1.7.

3. РЕЖИМ ГАММУВАННЯ

3.1. Зашифрування відкритих даних у режимі гамування

3.1.1. Криптосхема, що реалізує алгоритм зашифрування в режимі гамування, має вигляд, вказаний на рис.

Відкриті дані, розбиті на 64-раерядні блоки Т\)\ 7), 2) ..., 7)) м “ , 1 7[) М) , зашифровуються в режимі гамування шляхом порозрядного підсумовування за модулем 2 в сумматоре СЛ/5 з гамою шифру Г ш, яка виробляється блоками по 64 біти, тобто.

Г _/Л1) Я2) ЛМ-1) ЛМ) \

"ill V 1 ш е * ш * » " Ш » " * * * " 111 /»

де М - визначається обсягом даних, що шифруються.

Tjj) - У-й 64-розрядний блок, /« число двійкових розрядів у блоці 7J) M) може бути менше 64, при цьому невикористана для зашифрування частина гами шифру з блоку Г^ відкидається.

3.1.2. У КЗУ вводяться 256 біт ключа. У накопичувачі iVj, N 2 вводиться 64-розрядна двійкова послідовність (синхропосилання) S = (5 * 1, S 2, ..., 5 ^ 4), що є вихідним заповненням цих накопичувачів для подальшого вироблення Мблок гами шифру. Синхропосилання вводиться в jV | і Л^так, що значення 5[ вводиться в 1-й розряд УУ), значення S 2 вводиться у 2-й розряд N\ і т.д., значення вводиться в 32-й розряд 7V|; значення S33 вводиться в 1-й розряд N 2 значення 4S34 вводиться в 2-й розряд N 2 і т.д., значення вводиться в 32-й розряд N 2 .

3.1.3. Вихідне заповнення накопичувачів /Vj і N 2 (синхропосилка.5) зашифровується в режимі простої заміни відповідно до

Історія цього шифру набагато давніша. Алгоритм, покладений згодом в основу стандарту, народився, ймовірно, у надрах Восьмого Головного управління КДБ СРСР (нині в структурі ФСБ), швидше за все, в одному з підвідомчих йому закритих НДІ, ймовірно, ще в 1970-х роках у рамках проектів створення програмних та апаратних реалізацій шифру для різних комп'ютерних платформ.

З моменту опублікування ГОСТу на ньому стояв обмежувальний гриф «Для службового користування», і формально шифр був оголошений «повністю відкритим» лише у травні 1994 року. Історія створення шифру та критерії розробників станом на 2010 рік не опубліковано.

Опис

ГОСТ 28147-89 - блоковий шифр з 256-бітним ключем та 32 циклами перетворення, що оперує 64-бітними блоками. Основа алгоритму шифру - Мережа Фейстеля. Виділяють чотири режими роботи ГОСТ 28147-89:

• режим імітівставки.

Режим простої заміни

Для зашифрування у режимі відкритий текст спочатку розбивається на дві половини (молодші біти - A, старші біти - B ). На i-му циклі використовується підключ K:

( = Двійкове «виключає або»)

Для генерації підключів вихідний 256-бітний ключ розбивається на вісім 32-бітових блоків: K 1 … K 8 .

Ключі K 9 K 24 є циклічним повторенням ключів K 1 K 8 (нумеруються від молодших бітів до старших). Ключі K 25 K 32 є ключами K 8 K 1 .

Після виконання всіх 32 раундів алгоритму, блоки A 33 і B 33 склеюються (зверніть увагу, що старшим бітом стає A 33 а молодшим - B 33) - результат є результат роботи алгоритму.

Розшифрування виконується так само, як і зашифрування, але інвертується порядок підключення K i .

Функціяобчислюється так:

A i та K i складаються за модулем 2 32 .

Результат розбивається на вісім 4-бітових підпослідовностей, кожна з яких надходить на вхід свого вузла таблиці замін(у порядку зростання старшинства бітів), званого нижче S-блоком. Загальна кількість S-блоків ГОСТу – вісім, тобто стільки ж, скільки і підпослідовностей. Кожен S-блокє перестановкою чисел від 0 до 15. Перша 4-бітна підпослідовність потрапляє на вхід першого S-блоку, друга - на вхід другого і т. д.

Якщо S-блоквиглядає так:

1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

і на вході S-блоку 0, то на виході буде 1, якщо 4, то на виході буде 5, якщо на вході 12, то на виході 6 і т.д.

Виходи всіх восьми S-блоків поєднуються в 32-бітове слово, потім все слово циклічно зсувається вліво (до старших розрядів) на 11 бітів.

Режим простої заміни має такі недоліки:

• Може застосовуватися тільки для шифрування відкритих текстів із довжиною, кратною 64 біт
• При шифруванні однакових блоків відкритого тексту виходять однакові блоки шифротексту, що може дати певну інформацію криптоаналітики.

У тексті стандарту вказується, що постачання заповнення вузлів заміни (S-блоків) проводиться у порядку, тобто розробником алгоритму. Спільнота російських розробників СКЗІ погодила вузли заміни, що використовуються в Інтернет, див. RFC 4357 .

Переваги ДСТУ

• безперспективність силової атаки (XSL-атаки в облік не беруться, тому що їх ефективність наразі повністю не доведена);
• ефективність реалізації та відповідно висока швидкодія на сучасних комп'ютерах.
• наявність захисту від нав'язування хибних даних (вироблення імітівставки) та однаковий цикл шифрування у всіх чотирьох алгоритмах ГОСТу.

Криптоаналіз

Вважається, що ГОСТ стійкий до таких широко застосовуваних методів, як лінійний і диференціальний криптоаналіз. Зворотний порядок використання ключів в останніх восьми раундах забезпечує захист від атак ковзання (slide attack) та відображення (reflection attack).

У травні 2011 року відомий криптоаналітик Ніколя Куртуа довів існування атаки на даний шифр, що має складність у 2 8 (256) разів менше складності прямого перебору ключів за умови наявності 2 64 пар відкритий текст/закритий текст. Ця атака не може бути здійснена на практиці через надто високу обчислювальну складність. Більше того, знання 2 64 пар відкритий/закритий текст, очевидно, дозволяє читати зашифровані тексти, навіть не обчислюючи ключа. У більшості інших робіт також описуються атаки, застосовні тільки при деяких припущеннях, таких як певний вид ключів або таблиць замін, деяка модифікація вихідного алгоритму, або вимагають все ще недосяжні обсяги пам'яті або обчислень. Питання про наявність атак на практиці без використання слабкості окремих ключів або таблиць заміни залишається відкритим.

Критика ДСТУ

Основні проблеми ДСТУ пов'язані з неповнотою стандарту у частині генерації ключів та таблиць замін. Вважається, що у ГОСТу існують «слабкі» ключі та таблиці замін, але в стандарті не описуються критерії вибору та відсіву «слабких». Також стандарт не специфікує алгоритму генерації таблиці замін (S-блоків). З одного боку, це може бути додатковою секретною інформацією (крім ключа), а з іншого, порушує низку проблем:

• не можна визначити криптостійкість алгоритму, не знаючи заздалегідь таблиці замін;
• реалізації алгоритму від різних виробників можуть використовувати різні таблиці замін та можуть бути несумісні між собою;
• можливість навмисного надання слабких таблиць заміни ліцензуючими органами РФ;
• потенційна можливість (відсутність заборони у стандарті) використання таблиць заміни, у яких вузли є перестановками, що може призвести до надзвичайного зниження стійкості шифру.

У жовтні 2010 року на засіданні 1-го об'єднаного технічного комітету Міжнародної організації зі стандартизації (ISO/IEC JTC 1/SC 27) ГОСТ було висунуто на включення до міжнародного стандарту блокового шифрування ISO/IEC 18033-3. У зв'язку з цим у січні 2011 року було сформовано фіксовані набори вузлів заміни та проаналізовано їх криптографічні властивості. Однак ГОСТ не був прийнятий як стандарт, і відповідні таблиці замін не були опубліковані

Можливі застосування

Примітки

Див. також

Посилання

• ГОСТ 28147-89 «Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення»
• Сергій ПанасенкоСтандарт шифрування ГОСТ 28147-89 (рус.) (15 серпня 2007). Перевірено 3 серпня 2012 року.

• . - криптографічний проект компанії ТОВ «Кріпток» по доданню російських криптографічних алгоритмів до бібліотеки OpenSSL. Архівовано з першоджерела 24 серпня 2011 року. Перевірено 16 листопада 2008 року.

Література

• Мельников В. В.Захист інформації у комп'ютерних системах. – М.: Фінанси та статистика, 1997.
• Романець Ю. В.. Тимофєєв П. А., Шаньгін В. Ф.Захист інформації у комп'ютерних системах та мережах. – М.: Радіо та зв'язок, 1999.
• Харін Ю. С., Бернік В. І., Матвєєв Г. В.Математичні засади криптології. - Мн. : БДУ, 1999.
• Герасименко В. О., Малюк О. А.Основи захисту. – М.: МДІФІ, 1997.
• Леонов А. П., Леонов К. П., Фролов Г. В.Безпека автоматизованих банківських та офісних технологій. - Мн. : Нац. кн. палата Білорусі, 1996.
• Зима В. М. Молдовян А. А. Молдовян Н. А.Комп'ютерні мережі та захист інформації, що передається. - СПб. : СПбГУ, 1998.
• Шнайєр Б. 14.1 Алгоритм ГОСТ 28147-89 // Прикладна криптографія. Протоколи, алгоритми, вихідні тексти мовою Сі = Applied Cryptography. Protocols, Algorithms and Source Code in C. - М.: Тріумф, 2002. - С. 373-377. – 816 с. - 3000 прим. - ISBN 5-89392-055-4
• Попов, V., Курепкін, І., і С. ЛеонтієвДодаткові Cryptographic Algorithms для використання з GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, і GOST R 34.11-94 Algorithms (англ.) // RFC 4357. – IETF, January 2006.

Wikimedia Foundation. 2010 .

Алгоритм ГОСТ 28147-89

ГОСТ 28147-89 - радянський та російський стандарт симетричного шифрування, введений у 1990 році, також є стандартом СНД. Повна назва - «ГОСТ 28147-89 Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення».

Мал. 4.

Блоковий шифроалгоритм. При використанні методу шифрування з гамуванням може виконувати функції потокового шифроалгоритму. ГОСТ 28147-89 - блоковий шифр з 256-бітним ключем і 32 циклами перетворення, що оперує 64-бітними блоками. Основа алгоритму шифру – мережа Фейстеля. Виділяють чотири режими роботи ГОСТ 28147-89: простий заміни, гамування, гамування зі зворотним зв'язком, режим вироблення імітівставки.

Переваги алгоритму: безперспективність силової атаки, ефективність реалізації та відповідно висока швидкодія на сучасних комп'ютерах, наявність захисту від нав'язування хибних даних (вироблення імітівставки) та однаковий цикл шифрування у всіх чотирьох алгоритмах ГОСТу, більший ключ порівняно з алгоритмом DESX.

Недоліки алгоритму: Основні проблеми ДСТУ пов'язані з неповнотою стандарту у частині генерації ключів та таблиць замін. Вважається, що у ГОСТу існують «слабкі» ключі та таблиці замін, але в стандарті не описуються критерії вибору та відсіву «слабких». Також стандарт не специфікує алгоритму генерації таблиці замін (S-блоків). З одного боку, це може бути додатковою секретною інформацією (крім ключа), а з іншого, піднімає ряд проблем: не можна визначити криптостійкість алгоритму, не знаючи заздалегідь таблиці замін; реалізації алгоритму від різних виробників можуть використовувати різні таблиці замін та можуть бути несумісні між собою; можливість навмисного надання слабких таблиць заміни ліцензуючими органами РФ.

Переваги IDEA перед аналогами

У програмній реалізації на Intel486SX в порівнянні з DES IDEA вдвічі швидше, що є істотним підвищенням швидкості, довжина ключа у IDEA має розмір 128 біт, проти 56 біт у DES, що є гарним покращенням проти повного перебору ключів. Імовірність використання слабких ключів дуже мала і становить 1/2 64 . IDEA швидше за алгоритм ГОСТ 28147-89 (у програмній реалізації на Intel486SX). Використання IDEA у паралельних режимах шифрування на процесорах Pentium III та Pentium MMX дозволяє отримувати високі швидкості. У порівнянні з фіналістами AES, 4-way IDEA лише трохи повільніше, ніж RC6 і Rijndael на Pentium II, але швидше, ніж Twofish та MARS. На Pentium III 4-way IDEA навіть швидше за RC6 і Rijndael. Перевагою також є гарна вивченість та стійкість до загальновідомих засобів криптоаналізу.

Алгоритм шифрування ГОСТ 28147-89, його використання та програмна реалізація для комп'ютерів платформи Intel x86.

Андрій Винокуров

Опис алгоритму.

Терміни та позначення.

Опис стандарту шифрування Російської Федерації міститься в дуже цікавому документі, під назвою «Алгоритм криптографічного перетворення ГОСТ 28147-89». Те, що в його назві замість терміна «шифрування» фігурує загальне поняття « криптографічне перетворення », Зовсім не випадково. Крім кількох тісно пов'язаних між собою процедур шифрування, в документі описаний один побудований на загальних принципах з ними алгоритм вироблення імітівставки . Остання є не чим іншим, як криптографічною контрольною комбінацією, тобто кодом, що виробляється з вихідних даних з використанням секретного ключа з метою імітозахисту , або захисту даних від внесення до них несанкціонованих змін.

На різних кроках алгоритмів ДСТУ дані, якими вони оперують, інтерпретуються та використовуються по-різному. У деяких випадках елементи даних обробляються як масиви незалежних бітів, в інших випадках - як ціле число без знака, в третіх - як складний елемент, що має структуру, що складається з декількох більш простих елементів. Тому, щоб уникнути плутанини, слід домовитися про позначення, що використовуються.

Елементи даних цієї статті позначаються великими латинськими літерами з похилим накресленням (наприклад, X). Через | X| позначається розмір елемента даних Xу бітах. Таким чином, якщо інтерпретувати елемент даних Xяк ціле невід'ємне число, можна записати таку нерівність:.

Якщо елемент даних складається з декількох елементів меншого розміру, цей факт позначається наступним чином: X=(X 0 ,X 1 ,…,X n –1)=X 0 ||X 1 ||…||X n-1. Процедура об'єднання кількох елементів даних на один називається конкатенацією даних та позначається символом «||». Звісно, ​​для розмірів елементів даних має виконуватися таке співвідношення: | X|=|X 0 |+|X 1 |+…+|X n-1 | При заданні складних елементів даних та операції конкатенації складові елементи даних перераховуються у порядку зростання старшинства. Іншими словами, якщо інтерпретувати складовий елемент і всі елементи даних, що входять до нього, як цілі числа без знака, то можна записати таку рівність:

В алгоритмі елемент даних може інтерпретуватися як масив окремих бітів, у цьому випадку біти позначаємо тією ж літерою, що і масив, але в рядковому варіанті, як показано на наступному прикладі:

X=(x 0 ,x 1 ,…,x n –1)=x 0 +2 1 · x 1 +…+2 n-1 · x n –1 .

Таким чином, якщо ви звернули увагу, для ГОСТу прийнято т.зв. "little-endian" нумерація розрядів, тобто. всередині багаторозрядних слів даних окремі двійкові розряди та їх групи з меншими номерами менш значущі. Про це прямо йдеться у пункті 1.3 стандарту: «При складанні та циклічному зрушенні двійкових векторів старшими розрядами вважаються розряди накопичувачів з великими номерами». Далі, пункти стандарту 1.4, 2.1.1 та інші наказують починати заповнення даними регістрів-накопичувачів віртуального шифруючого пристрою з молодших, тобто. менш значних розрядів. Такий самий порядок нумерації прийнятий у мікропроцесорній архітектурі Intel x86, саме тому при програмній реалізації шифру на даній архітектурі жодних додаткових перестановок розрядів усередині слів даних не потрібно.

Якщо над елементами даних виконується деяка операція, що має логічний сенс, передбачається, що дана операція виконується над відповідними бітами елементів. Іншими словами A B=(a 0 b 0 ,a 1 b 1 ,…,a n –1 b n-1), де n=|A|=|B|, а символом «» позначається довільна бінарна логічна операція; як правило, мається на увазі операція виключає або , вона ж - операція підсумовування за модулем 2:

Логіка побудови шифру та структура ключової інформації ГОСТу.

Якщо уважно вивчити оригінал ГОСТ 28147-89, можна побачити, що він містить опис алгоритмів кількох рівнів. На верхньому знаходяться практичні алгоритми, призначені для шифрування масивів даних і вироблення для них імітівставки. Усі вони спираються на три алгоритми нижчого рівня, які називаються в тексті ГОСТу циклами . Ці фундаментальні алгоритми згадуються у цій статті як базові цикли , щоб відрізняти їх від інших циклів. Вони мають такі назви та позначення, останні наведені у дужках і зміст їх буде пояснений пізніше:

• цикл зашифрування (32-З);
• цикл розшифрування (32-Р);
• цикл вироблення імітівставки (16-З).

У свою чергу, кожен з базових циклів є багаторазовим повторенням однієї єдиної процедури, званої для визначеності далі в цій роботі основним кроком криптоперетворення .

Таким чином, щоб розібратися у ГОСТі, треба зрозуміти три наступні речі:

• що таке основний крок криптоперетворення;
• як із основних кроків складаються базові цикли;
• як із трьох базових циклів складаються всі практичні алгоритми ДСТУ.

Перш ніж перейти до вивчення цих питань, слід поговорити про ключову інформацію, яка використовується алгоритмами ДСТУ. Відповідно до принципу Кірхгофа, якому задовольняють усі сучасні відомі широкому загалу шифри, саме її секретність забезпечує секретність зашифрованого повідомлення. У ГОСТі ключова інформація складається із двох структур даних. Крім власне ключа , необхідного для всіх шифрів, вона містить ще й таблицю замін . Нижче наведено основні характеристики ключових структур Держстандарту.

Основний крок криптоперетворення.

Основний крок криптоперетворення за своєю сутністю є оператором, що визначає перетворення 64-бітового блоку даних. Додатковим параметром цього оператора є 32-бітовий блок, як який використовується якийсь елемент ключа. Схема алгоритму основного кроку наведено малюнку 1.

Рисунок 1. Схема основного кроку криптоперетворення алгоритму ГОСТ 28147-89.

Нижче наведено пояснення до алгоритму основного кроку:

Крок 0

• N- 64-бітовий блок даних, що перетворюється, в ході виконання кроку його молодша ( N 1) та старша ( N 2) частини обробляються окремі 32-битовые цілі числа без знака. Таким чином, можна записати N=(N 1 ,N 2).
• X- 32-бітовий елемент ключа;

Крок 1

Додавання з ключем. Молодша половина блоку, що перетворюється складається по модулю 2 32 з використовуваним на кроці елементом ключа, результат передається на наступний крок;

Крок 2

Побічна заміна. 32-бітове значення, отримане на попередньому кроці, інтерпретується як масив із восьми 4-бітових блоків коду: S=(S 0 , S 1 , S 2 , S 3 , S 4 , S 5 , S 6 , S 7), причому S 0 містить 4 наймолодших, а S 7 – 4 найстарші біти S.

Далі значення кожного з восьми блоків замінюється новим, яке вибирається за таблицею замін наступним чином: значення блоку S iзмінюється на S i-Тий по порядку елемент (нумерація з нуля) i-того вузла заміни (тобто. i-Того рядка таблиці замін, нумерація також з нуля). Іншими словами, як заміна для значення блоку вибирається елемент з таблиці замін з номером рядка, рівним номеру блоку, що замінюється, і номером стовпця, рівним значенню замінного блоку як 4-бітового цілого неотрицательного числа. Звідси стає зрозумілим розмір таблиці замін: число рядків у ній дорівнює числу 4-бітових елементів у 32-бітовому блоці даних, тобто восьми, а число стовпців дорівнює кількості різних значень 4-бітового блоку даних, що дорівнює як відомо 2 4 , шістнадцяти.

Крок 3

Циклічне зрушення на 11 біт ліворуч. Результат попереднього кроку зсувається циклічно на 11 біт у бік старших розрядів та передається на наступний крок. На схемі алгоритму символом позначено функцію циклічного зсуву свого аргументу на 11 біт вліво, тобто. у бік старших розрядів.

Крок 4

Побітове додавання: значення, отримане на кроці 3, побітно складається по модулю 2 зі старшою половиною блоку, що перетворюється.

Крок 5

Зсув по ланцюжку: молодша частина блоку, що перетворюється, зсувається на місце старшої, а на її місце поміщається результат виконання попереднього кроку.

Крок 6

Отримане значення блоку, що перетворюється, повертається як результат виконання алгоритму основного кроку криптоперетворення.

Основні цикли криптографічних перетворень.

Як зазначено на початку цієї статті, ГОСТ відноситься до класу блокових шифрів, тобто одиницею обробки інформації в ньому є блок даних. Отже, цілком логічно очікувати, що в ньому будуть визначені алгоритми для криптографічних перетворень, тобто для зашифрування, розшифрування та обліку в контрольній комбінації одного блоку даних. Саме ці алгоритми і називаються базовими циклами ГОСТу, що підкреслює їхнє фундаментальне значення для побудови цього шифру.

Базові цикли побудовані з основних кроків криптографічного перетворення, розглянутого у попередньому розділі. У процесі виконання основного кроку використовується лише один 32-бітовий елемент ключа, тоді як ключ ДСТУ містить вісім таких елементів. Отже, щоб ключ був використаний повністю, кожен із базових циклів повинен багаторазово виконувати основний крок із різними його елементами. Разом з тим здається цілком природним, що в кожному базовому циклі всі елементи ключа повинні бути використані однакове число разів, з міркувань стійкості шифру це число має бути більшим за один.

Всі зроблені вище припущення, що спираються просто на здоровий глузд, виявилися вірними. Базові цикли полягають у багаторазовому виконанні основного кроку з використанням різних елементів ключа та відрізняються один від одного лише числом повторення кроку та порядком використання ключових елементів. Нижче наведено цей порядок для різних циклів.

Цикл зашифрування 32-З:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 .

Малюнок 2а. Схема циклу зашифрування 32-З

Цикл розшифрування 32-Р:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 .

Малюнок 2б. Схема циклу розшифрування 32-Р

Цикл вироблення імітівставки 16-З:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 .

Малюнок 2в. Схема циклу вироблення імітівставки 16-З.

Кожен із циклів має власне буквено-цифрове позначення, що відповідає шаблону « n-X», де перший елемент позначення ( n), задає число повторень основного кроку в циклі, а другий елемент позначення ( X), літера, визначає порядок зашифрування («З») або розшифрування («Р») у використанні ключових елементів. Цей порядок потребує додаткового пояснення:

Цикл розшифрування має бути зворотним циклу зашифрування, тобто послідовне застосування цих двох циклів до довільного блоку має дати в результаті вихідний блок, що відображається таким співвідношенням: Ц 32-Р ( Ц 32-З ( T))=T, де T- Довільний 64-бітовий блок даних, Ц X ( T) – результат виконання циклу Xнад блоком даних T. Для виконання цієї умови для алгоритмів, подібних до ГОСТу, необхідно і достатньо, щоб порядок використання ключових елементів відповідними циклами був взаємно зворотним. У справедливості записаної умови для випадку легко переконатися, порівнявши наведені вище послідовності для циклів 32-З і 32-Р. Зі сказаного випливає одне цікаве наслідок: властивість циклу бути зворотним іншому циклу є взаємним, тобто цикл 32-З є зворотним по відношенню до циклу 32-Р. Іншими словами, зашифрування блоку даних теоретично може бути виконано за допомогою циклу розшифрування, у цьому випадку розшифрування блоку даних має бути виконане циклом зашифрування. З двох взаємно зворотних циклів будь-який може бути використаний для зашифрування, тоді другий повинен бути використаний для розшифрування даних, проте стандарт ГОСТ28147-89 закріплює ролі за циклами і не надає користувачеві права вибору цього питання.

Цикл вироблення імітівставки вдвічі коротший за цикли шифрування, порядок використання ключових елементів у ньому такий же, як у перших 16 кроках циклу зашифрування, в чому неважко переконатися, розглянувши наведені вище послідовності, тому цей порядок в позначенні циклу кодується тією ж літерою «З».

Схеми базових циклів наведені малюнки 2а-в. Кожен з них приймає як аргумент і повертає як результат 64-бітовий блок даних, позначений на схемах N. Символ Крок( N,X) означає виконання основного кроку криптоперетворення для блоку даних Nз використанням ключового елемента X. Між циклами шифрування та обчислення імітівставки є ще одна відмінність, не згадана вище: наприкінці базових циклів шифрування старша та молодша частина блоку результату змінюються місцями, це необхідно для їхньої взаємної оборотності.

Основні режими шифрування.

ГОСТ 28147-89 передбачає три наступні режими шифрування даних:

• проста заміна,
• гамування,
• гамування зі зворотним зв'язком,

та один додатковий режим вироблення імітівставки.

У кожному з цих режимів дані обробляються блоками по 64 біти, на які розбивається масив, що піддається криптографічного перетворення, саме тому ГОСТ відноситься до блокових шифрів. Однак у двох режимах гамування є можливість обробки неповного блоку даних розміром менше 8 байт, що істотно при шифруванні масивів даних з довільним розміром, що може бути не кратним 8 байт.

Перш ніж перейти до розгляду конкретних алгоритмів криптографічних перетворень, необхідно пояснити позначення, що використовуються на схемах у наступних розділах:

Tо, Tш – масиви відповідно відкритих та зашифрованих даних;

, – i- ті по порядку 64-бітові блоки відповідно відкритих та зашифрованих даних: , , Останній блок може бути неповним: ;

n– число 64-бітових блоків у масиві даних;

Ц X – функція перетворення 64-бітового блоку даних алгоритму базового циклу «X».

Тепер опишемо основні режими шифрування:

Проста заміна.

Зашифрування у цьому режимі полягає у застосуванні циклу 32-З до блоків відкритих даних, розшифрування – циклу 32-Р до блоків зашифрованих даних. Це найбільш простий режими, 64-бітові блоки даних обробляються в ньому незалежно один від одного. Схеми алгоритмів зашифрування та розшифрування в режимі простої заміни наведені на рисунках 3а і б відповідно, вони тривіальні і не потребують коментарів.

Малюнок. 3а. Алгоритм зашифрування даних у режимі простої заміни

Малюнок. 3б. Алгоритм розшифрування даних у режимі простої заміни

Розмір масиву відкритих або зашифрованих даних, що піддається відповідно до зашифрування або розшифрування, повинен бути кратний 64 бітам: | T про |=| T ш | = 64 · n після виконання операції розмір отриманого масиву даних не змінюється.

Режим шифрування простою заміною має такі особливості:

• Так як блоки даних шифруються незалежно один від одного і від їхньої позиції в масиві даних, при зашифруванні двох однакових блоків відкритого тексту виходять однакові блоки шифртексту і навпаки. Зазначене властивість дозволить криптоаналитику зробити висновок про тотожність блоків вихідних даних, якщо масиві зашифрованих даних йому зустрілися ідентичні блоки, що є неприпустимим для серйозного шифру.
• Якщо довжина масиву даних, що шифрується, не кратна 8 байтам або 64 бітам, виникає проблема, чим і як доповнювати останній неповний блок даних масиву до повних 64 біт. Це завдання не таке просте, як здається на перший погляд. Очевидні рішення типу «доповнити неповний блок нульовими бітами» або, більш загально, «доповнити неповний блок фіксованою комбінацією нульових і одиничних бітів» можуть за певних умов дати в руки криптоаналітика можливість методами перебору визначити вміст цього неповного блоку, і цей факт означає зниження стійкості шифрування. Крім того, довжина шифртексту при цьому зміниться, збільшившись до найближчого цілого, кратного 64 бітам, що часто буває небажаним.

На перший погляд, перераховані вище особливості роблять практично неможливим використання режиму простої заміни, адже він може застосовуватися тільки для шифрування масивів даних з розміром кратним 64 бітам, що не містить 64-бітових блоків, що повторюються. Здається, що з будь-яких реальних даних гарантувати виконання зазначених умов неможливо. Це майже так, але є один дуже важливий виняток: згадайте, що розмір ключа становить 32 байти, а розмір таблиці замін – 64 байти. Крім того, наявність повторюваних 8-байтових блоків у ключі або таблиці замін буде говорити про їхню дуже погану якість, тому в реальних ключових елементах такого повторення бути не може. Таким чином, ми з'ясували, що режим простої заміни цілком підходить для шифрування ключової інформації, тим більше що інші режими для цієї мети менш зручні, оскільки вимагають наявності додаткового синхронізуючого елемента даних – синхропосилання (див. наступний розділ). Наша гіпотеза правильна, ГОСТ пропонує використовувати режим простої заміни виключно для шифрування ключових даних.

Гамування.

Як можна позбутися недоліків режиму простої заміни? Для цього необхідно уможливити шифрування блоків з розміром менше 64 біт та забезпечити залежність блоку шифртексту від його номера, іншими словами, рандомізувати процес шифрування. У ГОСТі це досягається двома різними способами у двох режимах шифрування, що передбачають гамування . Гамування - це накладання (зняття) на відкриті (зашифровані) дані криптографічної гами, тобто послідовності елементів даних, що виробляються за допомогою деякого криптографічного алгоритму, для отримання зашифрованих (відкритих) даних. Для накладання гами при зашифруванні та її зняття при розшифруванні повинні використовуватися взаємно зворотні бінарні операції, наприклад, додавання та віднімання за модулем 2 64 для 64-бітових блоків даних. У ГОСТі для цієї мети використовується операція побітового додавання по модулю 2, оскільки вона є зворотною собі і, до того ж, найбільш просто реалізується апаратно. Гамування вирішує обидві згадані проблеми: по-перше, всі елементи гами різні для реальних масивів, що шифруються, і, отже, результат зашифрування навіть двох однакових блоків в одному масиві даних буде різним. По-друге, хоча елементи гами і виробляються однаковими порціями в 64 біта, може використовуватися і частина такого блоку з розміром, рівним розміру блоку, що шифрується.

Тепер перейдемо безпосередньо до опису режиму гамування. Гамма для цього режиму виходить наступним чином: за допомогою деякого алгоритмічного рекурентного генератора послідовності чисел (РГПЧ) виробляються 64-бітові блоки даних, які піддаються перетворенню по циклу 32-З, тобто зашифрування в режимі простої заміни, в результаті виходять блоки гами. Завдяки тому, що накладання та зняття гами здійснюється за допомогою однієї і тієї ж операції побитового виключає або алгоритми зашифрування і розшифрування в режимі гамування ідентичні, їх загальна схема наведена на малюнку 4.

РГПЛ, що використовується для вироблення гами, є рекурентною функцією: – елементи рекурентної послідовності, f- Функція перетворення. Отже, неминуче виникає питання про його ініціалізацію, тобто про елемент Насправді цей елемент даних є параметром алгоритму для режимів гамування, на схемах він позначений як S, і називається у криптографії синхропосилкою , а в нашому ГОСТі – початковим заповненням одного з регістрів шифрувача. З певних міркувань розробники ДСТУ вирішили використовувати для ініціалізації РГПЛ не безпосередньо синхропосилку, а результат її перетворення за циклом 32-З: . Послідовність елементів, що виробляються РГПЛ, повністю залежить від його початкового заповнення, тобто елементи цієї послідовності є функцією свого номера та початкового заповнення РГПЛ: де f i(X)=f(f i –1 (X)), f 0 (X)=X. З урахуванням перетворення за алгоритмом простої заміни додається ще й залежність від ключа:

де Г i– i-Той елемент гами, K- Ключ.

Таким чином, послідовність елементів гами для використання в режимі гамування однозначно визначається ключовими даними та синхропосиланням. Звичайно, для оборотності процедури шифрування в процесах за-і розшифрування повинна використовуватися та сама синхропосилання. З вимоги унікальності гами, невиконання якого призводить до катастрофічного зниження стійкості шифру, слід, що з шифрування двох різних масивів даних однією ключі необхідно забезпечити використання різних синхропосилок. Це призводить до необхідності зберігати або передавати синхропосилання каналами зв'язку разом із зашифрованими даними, хоча в окремих особливих випадках вона може бути зумовлена ​​або обчислюватися особливим чином, якщо виключається шифрування двох масивів на одному ключі.

Тепер докладно розглянемо РГПЛ, що використовується у ГОСТі для створення елементів гами. Насамперед, слід зазначити, що до нього не пред'являються вимоги забезпечення будь-яких статистичних характеристик вироблюваної послідовності чисел. РГПЛ спроектований розробниками ДСТУ виходячи з необхідності виконання наступних умов:

• період повторення послідовності чисел, що виробляється РГПЧ, не повинен сильно (у відсотковому відношенні) відрізнятися від максимально можливого при заданому розмірі блоку значення 264;
• сусідні значення, що виробляються РГПЛ, повинні відрізнятися один від одного в кожному байті, інакше завдання криптоаналітика буде спрощено;
• РГПЧ має бути досить просто реалізуємо як апаратно, так і програмно на найпоширеніших типах процесорів, більшість з яких, як відомо, мають розрядність 32 біти.

З перелічених принципів, творці ГОСТу спроектували дуже зручний РГПЛ, має такі характеристики:

Де C 0 =1010101 16 ;

Де C 1 =1010104 16 ;

Нижній індекс запису числа означає його систему числення, таким чином, константи, використовувані на даному кроці, записані в 16-річній системі числення.

Другий вираз потребує коментарів, тому що в тексті ГОСТу наведено щось інше: , з тим самим значенням константи C 1 . Але далі в тексті стандарту дається коментар, що, виявляється, під операцією взяття залишку за модулем 2 32 -1 тамрозуміється не те саме, що і в математиці. Відмінність полягає в тому, що згідно з ДСТУ (2 32 -1) mod(2 32 –1)=(2 32 –1), а чи не 0. Насправді, це спрощує реалізацію формули, а математично коректне вираз неї наведено вище.

• період повторення послідовності для молодшої частини становить 232, для старшої частини 232-1, для всієї послідовності період становить 232 (232-1), доказ цього факту, дуже нескладне, отримаєте самі. Перша формула з двох реалізується за одну команду, друга, незважаючи на її громіздкість, за дві команди на всіх сучасних 32-розрядних процесорах - першою командою йде звичайне додавання по модулю 2 32 із запам'ятовуванням біта переносу, а друга команда додає біт переносу до отриманого значенню.

Схема алгоритму шифрування в режимі гамування наведена на малюнку 4, нижче викладено пояснення до схеми:

Рисунок 4. Алгоритм зашифрування (розшифрування) даних у режимі гамування.

Крок 0

Визначає вихідні дані для основного кроку криптоперетворення:

• Tо(ш) – масив відкритих (зашифрованих) даних довільного розміру, що піддається процедурі зашифрування (розшифрування), по ходу процедури масив піддається перетворенню порціями по 64 біти;
• S – синхропосилання 64-бітовий елемент даних, необхідний для ініціалізації генератора гами;

Крок 1

Початкове перетворення синхропосилання, яке виконується для її «рандомізації», тобто для усунення статистичних закономірностей, присутніх у ній, результат використовується як початкове заповнення РГПЛ;

Крок 2

Один крок роботи РГПЛ, що реалізує його рекурентний алгоритм. У ході цього кроку старша ( S 1) та молодша ( S 0) частини послідовності даних виробляються незалежно друг від друга;

Крок 3

Гамування. Черговий 64-бітовий елемент, вироблений РГПЧ, піддається процедурі зашифрування за циклом 32-З, результат використовується як елемент гами для зашифрування (розшифрування) чергового блоку відкритих (зашифрованих) даних того ж розміру.

Крок 4

Результат роботи алгоритму – зашифрований (розшифрований) масив даних.

Нижче наведено особливості гамування як режиму шифрування:

1. Однакові блоки у відкритому масиві даних дадуть при зашифруванні різні блоки шифртексту, що дозволить приховати факт їхньої ідентичності.
2. Оскільки накладання гами виконується побитно, шифрування неповного блоку даних легко здійсненне як шифрування бітів цього неповного блоку, навіщо використовується відповідні біти блоку гами. Так, для зашифрування неповного блоку в 1 біт згідно зі стандартом слід використовувати наймолодший біт блоку гами.
3. Синхропосилання, використане при зашифруванні, якимось чином має бути передане для використання при розшифруванні. Це може бути досягнуто такими шляхами:

• зберігати або передавати синхропосилання разом із зашифрованим масивом даних, що призведе до збільшення розміру масиву даних при зашифруванні на розмір синхропосилання, тобто на 8 байт;
• використовувати зумовлене значення синхропосилання або виробляти її синхронно джерелом і приймачем за певним законом, у цьому випадку зміна розміру переданого або збереженого масиву даних відсутня;

Обидва способи доповнюють один одного, і в тих окремих випадках, де не працює перший, найбільш уживаний з них, може бути використаний другий, більш екзотичний. Другий спосіб має набагато менше застосування, оскільки зробити синхропосилку зумовленою можна тільки в тому випадку, якщо на даному комплекті ключової інформації шифрується свідомо не більше одного масиву даних, що буває не так вже й часто. Генерувати синхропосилання синхронно у джерела та одержувача масиву даних також не завжди є можливим, оскільки вимагає жорсткої прив'язки до чогось у системі. Так, здорова на перший погляд ідея використовувати як синхропосилання в системі передачі зашифрованих повідомлень номер повідомлення, що передається, не підходить, оскільки повідомлення може загубитися і не дійти до адресата, в цьому випадку відбудеться розсинхронізація систем шифрування джерела і приймача. Тому в розглянутому випадку немає альтернативи передачі синхропосилання разом із зашифрованим повідомленням.

З іншого боку, можна навести і зворотний приклад. Допустимо, шифрування даних використовується для захисту інформації на диску, і реалізовано воно на низькому рівні, для забезпечення незалежного доступу дані шифруються секторами. У цьому випадку неможливо зберігати синхропосилання разом із зашифрованими даними, оскільки розмір сектора не можна змінити, однак її можна обчислювати як деяку функцію від номера головки диска, номера доріжки (циліндра) і номера сектора на доріжці. У цьому випадку синхропосилання прив'язується до положення сектора на диску, яке навряд чи може змінитись без переформатування диска, тобто без знищення даних на ньому.

Режим гамування має ще одну цікаву особливість. У цьому режимі біти масиву даних шифруються незалежно один від одного. Таким чином, кожен біт шифртексту залежить від відповідного біта відкритого тексту і, звичайно, порядкового номера біта в масиві: . З цього випливає, що зміна біта шифртексту на протилежне значення призведе до аналогічної зміни біта відкритого тексту на протилежний:

де позначає інвертоване по відношенню до tзначення біта ().

Дана властивість дає зловмиснику можливість впливаючи на біти шифртексту вносити передбачувані і навіть цілеспрямовані зміни у відповідний відкритий текст, що отримується після розшифрування, не володіючи при цьому секретним ключем. Це ілюструє добре відомий у криптології факт, що таємність та автентичність суть різні властивості криптографічних систем . Іншими словами, властивості криптосистеми забезпечувати захист від несанкціонованого ознайомлення з вмістом повідомлення та від несанкціонованого внесення змін до повідомлення є незалежними і лише в окремих випадках можуть перетинатися. Сказане означає, що існують криптографічні алгоритми, що забезпечують певну секретність зашифрованих даних і при цьому ніяк не захищають від внесення змін і навпаки, забезпечують автентичність даних і не обмежують можливість ознайомлення з ними. З цієї причини властивість режиму гамування, що розглядається, не повинна розглядатися як його недолік.

Гамування зі зворотним зв'язком.

Цей режим дуже схожий на режим гамування і відрізняється від нього тільки способом вироблення елементів гами – черговий елемент гами виробляється як результат перетворення за циклом 32-З попереднього блоку зашифрованих даних, а для зашифрування першого блоку масиву даних елемент гами виробляється як результат перетворення по тому ж циклу синхропосилки. Цим досягається зачеплення блоків – кожен блок шифртексту в цьому режимі залежить від відповідного та всіх попередніх блоків відкритого тексту. Тому цей режим іноді називається гаміруванням з зачепленням блоків . На стійкість шифру факт зачеплення блоків не впливає.

Схема алгоритмів за- та розшифрування в режимі гамування зі зворотним зв'язком наведена на малюнку 5 і через свою простоту коментарів не потребує.

Рисунок 5. Алгоритм зашифрування (розшифрування) даних у режимі гамування зі зворотним зв'язком.

Шифрування в режимі гамування зі зворотним зв'язком має ті ж особливості, що і шифрування в режимі звичайного гамування, за винятком впливу спотворень шифртексту на відповідний відкритий текст. Для порівняння запишемо функції розшифрування блоку для обох згаданих режимів:

Гамування;

Гамування зі зворотним зв'язком;

Якщо режимі звичайного гамування зміни у певних бітах шифртексту впливають лише відповідні біти відкритого тексту, то режимі гамування зі зворотним зв'язком картина трохи складніше. Як видно з відповідного рівняння, при розшифруванні блоку даних у режимі гамування зі зворотним зв'язком блок відкритих даних залежить від відповідного і попереднього блоків зашифрованих даних. Тому, якщо внести спотворення в зашифрований блок, то після розшифрування спотвореними виявляться два блоки відкритих даних - відповідний і наступний за ним, причому спотворення в першому випадку будуть носити той же характер, що і в режимі гамування, а в другому - як в режимі простий заміни. Іншими словами, у відповідному блоці відкритих даних спотвореними виявляться ті ж біти, що і в блоці шифрованих даних, а в наступному блоці відкритих даних всі біти незалежно один від одного з ймовірністю 1 / 2 змінять свої значення.

Вироблення імітівставки до масиву даних.

У попередніх розділах ми обговорили вплив спотворення шифрованих даних на відповідні відкриті дані. Ми встановили, що при розшифруванні в режимі простої заміни відповідний блок відкритих даних виявляється непередбачуваним спотвореним чином, а при розшифруванні блоку в режимі гамування зміни передбачувані. У режимі гамування зі зворотним зв'язком спотвореними виявляються два блоки, один передбачуваним, а інший непередбачуваним чином. Чи означає це, що з точки зору захисту від нав'язування хибних даних режим гамування є поганим, а режими простої заміни та гамування зі зворотним зв'язком хороші? - Ні в якому разі. При аналізі даної ситуації необхідно врахувати те, що непередбачувані зміни в розшифрованому блоці даних можуть бути виявлені тільки у разі надмірності цих самих даних, причому, чим більший ступінь надмірності, тим вірогідніше виявлення спотворення. Дуже велика надмірність має місце, наприклад, для текстів на природних та штучних мовах, у цьому випадку факт спотворення виявляється практично неминуче. Однак в інших випадках, наприклад, при перекручуванні стислих оцифрованих звукових образів, ми отримаємо просто інший образ, який зможе сприйняти наше вухо. Спотворення в цьому випадку залишиться невиявленим, якщо, звичайно, немає апріорної інформації про характер звуку. Висновок тут такий: оскільки здатність деяких режимів шифрування виявляти спотворення, внесені в шифровані дані, істотно спирається на наявність і ступінь надмірності даних, що шифруються, ця здатність не є іманентною властивістю відповідних режимів і не може розглядатися як їх гідність.

Для вирішення задачі виявлення спотворень у зашифрованому масиві даних із заданою ймовірністю у ГОСТі передбачено додатковий режим криптографічного перетворення – вироблення імітівставки. Імітовставка – це контрольна комбінація, яка залежить від відкритих даних та секретної ключової інформації. Метою використання имитовставки є виявлення всіх випадкових чи навмисних змін у масиві інформації. Проблема, викладена в попередньому пункті, може бути успішно вирішена за допомогою додавання до шифрованих даних імітівставки. Для потенційного зловмисника два наступні завдання практично нерозв'язні, якщо він не має ключа:

• обчислення імітівставки для заданого відкритого масиву інформації;
• підбір відкритих даних під задану імітівставку;

Схема алгоритму вироблення імітівставки наведено малюнку 6.

Малюнок 6. Алгоритм вироблення імітівставки для масиву даних.

Як імітовставка береться частина блоку, отриманого на виході, зазвичай - 32 його молодших біта. При виборі розміру имитовставки треба брати до уваги, що ймовірність успішного нав'язування хибних даних дорівнює величині 2 - | I | одну спробу підбору, якщо у розпорядженні зловмисника немає ефективнішого методу підбору, ніж просте вгадування. При використанні імітівставки розміром 32 біти ця ймовірність дорівнює

Обговорення криптографічних алгоритмів ДСТУ.

Криптографічна стійкість Держстандарту.

При виборі криптографічного алгоритму для використання у конкретній розробці одним із визначальних факторів є його стійкість, тобто стійкість до спроб противника розкрити його. Питання про стійкість шифру при найближчому розгляді зводиться до двох взаємопов'язаних питань:

• можна взагалі розкрити даний шифр;
• якщо так, то наскільки це важко зробити практично;

Шифри, які взагалі неможливо розкрити, називаються абсолютно чи теоретично стійкими. Існування подібних шифрів доводиться теоремою Шеннона, однак ціною цієї стійкості є необхідність використання для шифрування кожного повідомлення ключа, не меншого за розміром самого повідомлення. У всіх випадках за винятком ряду особливих ця ціна надмірна, тому на практиці в основному використовуються шифри, що не мають абсолютної стійкості. Таким чином, найбільш уживані схеми шифрування можуть бути розкриті за кінцевий час або, точніше, за кінцеве число кроків, кожен з яких є деякою операцією над числами. Їх найважливіше значення має поняття практичної стійкості, яке виражає практичну складність їх розкриття. Кількісним заходом цієї проблеми може бути число елементарних арифметичних і логічних операцій, які потрібно виконати, щоб розкрити шифр, тобто, щоб для заданого шифртексту з ймовірністю, не меншою заданої величини, визначити відповідний відкритий текст. При цьому на додаток до дешифрованого масиву даних криптоаналітик може мати у своєму розпорядженні блоки відкритих даних і відповідних їм зашифрованих даних або навіть можливістю отримати для будь-яких вибраних ним відкритих даних відповідні зашифровані дані – залежно від перерахованих та багатьох інших не зазначених умов розрізняють окремі види криптоаналізу.

Усі сучасні криптосистеми побудовані за принципом Кірхгоффа, тобто секретність шифрованих повідомлень визначається секретністю ключа. Це означає, що навіть якщо сам алгоритм шифрування відомий криптоаналітику, той, проте, не в змозі розшифрувати повідомлення, якщо не має у своєму розпорядженні відповідного ключа. Шифр вважається добре спроектованим, якщо немає способу розкрити його ефективнішим способом, ніж повним перебором у всьому ключовому просторі, тобто. за всіма можливими значеннями ключа. ДЕРЖСТАНДАРТ, ймовірно, відповідає цьому принципу – за роки інтенсивних досліджень не було запропоновано жодного результативного способу його криптоаналізу. У плані стійкості він багато порядків перевершує колишній американський стандарт шифрування, DES.

У ГОСТі використовується 256-бітовий ключ і обсяг ключового простору становить 2256 . На жодному з існуючих в даний час або передбачуваних до реалізації в недалекому майбутньому електронному пристрої не можна підібрати ключ протягом менше сотень років. Ця величина стала фактичним стандартом розміру ключа для симетричних криптоалгоритмів у наші дні, так, новий стандарт шифрування США також його підтримує. Колишній американський стандарт, DES з його реальним розміром ключа в 56 біт і обсягом ключового простору всього 2 56 вже не є досить стійким у світлі можливостей сучасних обчислювальних засобів. Це було продемонстровано наприкінці 90-х років декількома успішними спробами злому DES переборним шляхом. Крім того, DES виявився схильний до спеціальних способів криптоаналізу, таким як диференціальний і лінійний. У зв'язку з цим DES може представляти швидше дослідний чи науковий, ніж практичний інтерес. У 1998 році його криптографічна слабкість була визнана офіційно, - національний інститут стандартів США рекомендував використовувати триразове шифрування за DES. А наприкінці 2001 року було офіційно затверджено новий стандарт шифрування США, AES, побудований на інших принципах та вільний від недоліків свого попередника.

Зауваження щодо архітектури ГОСТа.

Загальновідомо, що вітчизняний стандарт шифрування є представником цілого сімейства шифрів, побудованих на тих самих принципах. Найвідомішим його «родичем» є колишній американський стандарт шифрування, алгоритм DES. Всі ці шифри, подібно до ГОСТу, містять алгоритми трьох рівнів. В основі завжди лежить якийсь "основний крок", на базі якого подібним чином будуються "базові цикли", і вже на їх основі побудовані практичні процедури шифрування та вироблення імітівставки. Таким чином, специфіка кожного з шифрів цього сімейства полягає саме у його основному кроці, точніше навіть у його частині. Хоча архітектура класичних блокових шифрів, до яких належить ГОСТ, лежить далеко за межами теми цієї статті, все ж таки варто сказати кілька слів з її приводу.

Алгоритми «основних кроків криптоперетворення» для шифрів, подібних до ГОСТу, побудовані ідентичним чином, і ця архітектура називається збалансована мережа Файстеля (balanced Feistel network) на ім'я людини, яка вперше запропонувала її . Схема перетворення даних одному циклі, або, як його прийнято називати, раунді , наведено малюнку 7.

Рисунок 7. Зміст основного кроку криптоперетворення для блокових шифрів, подібних до ГОСТу.

На вхід основного кроку подається блок парного розміру, старша та молодша половина якого обробляються окремо один від одного. У результаті перетворення молодша половина блоку поміщається місце старшої, а старша, скомбінована з допомогою операції побитового « виключає або з результатом обчислення деякої функції, на місце молодшої. Ця функція, яка приймає як аргумент молодшу половину блоку і елемент ключової інформації ( X), є змістовною частиною шифру і називається його функцією шифрування . З різних міркувань виявилося вигідно розділити блок, що шифрується, на дві однакові за розміром частини: | N 1 |=|N 2 | - саме цей факт відображає слово "збалансована" у назві архітектури. Втім, нестримні мережі, що шифрують, також використовуються час від часу, хоча і не так часто, як збалансовані. Крім того, міркування стійкості шифру вимагають, щоб розмір ключового елемента не був меншим за розмір половини блоку: у ГОСТі всі три розміри дорівнюють 32 бітам .

Якщо застосувати сказане до схеми основного кроку алгоритму ДЕРЖСТАНДАРТ, стане очевидним, що блоки 1,2,3 алгоритму (див. рис. 1) визначають обчислення його функції шифрування, а блоки 4 і 5 задають формування вихідного блоку основного кроку виходячи з вмісту вхідного блоку та значення функції шифрування. Докладніше про архітектури сучасних блокових шифрів із секретним ключем можна прочитати в класичних роботах, або, в адаптованій формі, в моїх роботах.

У попередньому розділі ми вже порівняли DES та ГОСТ за стійкістю, тепер ми порівняємо їх за функціональним змістом та зручністю реалізації. У циклах шифрування ДЕРЖСТАНДАРТ основний крок повторюється 32 рази, для DES ця величина дорівнює 16. Однак сама функція шифрування ГОСТу істотно простіше аналогічної функції DES, в якій присутня безліч нерегулярних бітових перестановок. Ці операції дуже неефективно реалізуються на сучасних неспеціалізованих процесорах. ДЕРЖСТАНДАРТ не містить подібних операцій, тому він значно зручніший для програмної реалізації.

Жодна з розглянутих автором реалізацій DESа для платформи Intel x86 не досягає навіть половини продуктивності запропонованої вашої уваги в цій статті реалізації ГОСТу, незважаючи на вдвічі коротший цикл. Все сказане вище свідчить про те, що розробники ДСТУ врахували як позитивні, так і негативні сторони DESа, а також реальніше оцінили поточні та перспективні можливості криптоаналізу. Втім, брати DES за основу порівняно швидкодії реалізацій шифрів не актуально. У нового стандарту шифрування США відносини з ефективністю йдуть набагато краще - при такому ж як у ДСТУ розмір ключа в 256 біт AES працює швидше за нього приблизно на 14% - це якщо порівнювати за кількістю «елементарних операцій». Крім того, ГОСТ практично не вдається розпаралелити, а у AES можливостей у цьому плані набагато більше. На деяких архітектурах ця перевага AES може бути меншою, на інших – більшою. Так, на процесорі Intel Pentium воно сягає 28%. Подробиці можна знайти у .

Вимоги до якості ключової інформації та джерела ключів.

Не всі ключі та таблиці замін забезпечують максимальну стійкість шифру. Для кожного алгоритму шифрування є свої критерії оцінки ключової інформації. Так, для алгоритму DES відомо існування про « слабких ключів », при використанні яких зв'язок між відкритими та зашифрованими даними не маскується достатньо, і шифр порівняно просто розкривається.

Вичерпна відповідь на питання про критерії якості ключів і таблиць замін ГОСТу якщо і можна взагалі де-небудь отримати, то тільки у розробників алгоритму. Відповідні дані не були опубліковані у відкритому друку. Однак згідно з встановленим порядком, для шифрування інформації, що має гриф, повинні бути використані ключові дані, отримані від уповноваженої організації. Непрямим чином це може свідчити наявність методик перевірки ключових даних на «вшивість». Якщо наявність слабких ключів у ГОСТі – дискусійне питання, наявність слабких вузлів заміни не викликає сумніву. Очевидно, що «тривіальна» таблиця замін, за якою будь-яке значення замінюється ним самим, є настільки слабкою, що при її використанні шифр зламується елементарно, яким би не був ключ.

Як уже було зазначено вище, критерії оцінки ключової інформації недоступні, проте на їх рахунок все ж таки можна висловити деякі загальні міркування.

Ключ

Ключ повинен бути масивом статистично незалежних бітів, що приймають з рівною ймовірністю значення 0 і 1. Не можна повністю виключити при цьому, що деякі конкретні значення ключа можуть виявитися слабкими, тобто шифр може не забезпечувати заданий рівень стійкості у разі їх використання. Однак, імовірно, частка таких значень у загальній масі всіх можливих ключів дуже мала. Принаймні, інтенсивні дослідження шифру досі не виявили жодного такого ключа для жодної з відомих (тобто запропонованих ФАПСІ) таблиць замін. Тому ключі, вироблені за допомогою деякого датчика істинно випадкових чисел, будуть якісними з ймовірністю, що відрізняється від одиниці на мізерно малу величину. Якщо ж ключі виробляються за допомогою генератора псевдовипадкових чисел, то використовуваний генератор повинен забезпечувати зазначені вище статистичні характеристики, і, крім того, мати високу криптостійкість, - не меншу, ніж у самого ГОСТу. Іншими словами, завдання визначення відсутніх членів послідовності елементів, що виробляється генератором, не повинна бути простішою, ніж завдання розкриття шифру. Крім того, для відбракування ключів з поганими статистичними характеристиками можуть бути використані різні статистичні критерії. Насправді зазвичай вистачає двох критеріїв – для перевірки рівноймовірного розподілу бітів ключа між значеннями 0 і 1 зазвичай використовується критерій Пірсона («хі квадрат»), а для перевірки незалежності бітів ключа – критерій серій. Про згадані критерії можна прочитати у підручниках або довідниках з математичної статистики.

Найкращим підходом розробки ключів було б використання апаратних датчиків СЧ, проте це завжди прийнятно з економічних міркувань. При генерації невеликого за обсягом масиву ключової інформації розумною альтернативою використанню такого датчика є і широко використовується на практиці метод «електронної рулетки», коли чергова порція випадкових бітів, що виробляється, залежить від моменту часу натискання оператором деякої клавіші на клавіатурі комп'ютера. У цій схемі джерелом випадкових даних є користувач комп'ютера, точніше тимчасові характеристики його реакції. За одне натискання кнопки у своїй може бути вироблено лише кілька бітів випадкових даних, тому загальна швидкість вироблення ключовий інформації у своїй невелика – до кількох біт за секунду. Вочевидь, цей підхід годиться для отримання великих масивів ключів.

У разі ж, коли необхідно виробити великий за обсягом масив ключової інформації, можливе і дуже поширене використання різних програмних датчиків псевдовипадкових чисел. Оскільки від подібного датчика потрібні високі показники криптостійкості, природним є використання як нього генератора гами самого шифру – просто «нарізаємо» гаму, що виробляється шифром, на «шматки» потрібного розміру, для ГОСТу – по 32 байта. Звичайно, для такого підходу нам буде потрібно «майстер-ключ», який ми можемо отримати описаним вище методом електронної рулетки, а за його допомогою, використовуючи шифр у режимі генератора гами, отримуємо масив ключової інформації потрібного нам обсягу. Так ці два способи вироблення ключів, – «ручний» та «алгоритмічний», – працюють у тандемі, доповнюючи один одного. Схеми генерації ключів у «малобюджетних» системах криптозахисту інформації практично завжди побудовані за таким принципом.

Таблиця замін

Таблиця замін є довготривалим ключовим елементом, тобто діє протягом більш тривалого терміну, ніж окремий ключ. Передбачається, що вона є загальною для всіх вузлів шифрування в рамках однієї криптографічної системи захисту. Навіть при порушенні конфіденційності таблиці замін стійкість шифру залишається надзвичайно високою і не знижується нижче за допустиму межу. Тому немає особливої ​​потреби тримати таблицю у секреті, й у більшості комерційних застосувань ГОСТу так і робиться. З іншого боку, таблиця замін є критично важливим елементом для забезпечення стійкості всього шифру. Вибір неналежної таблиці може призвести до того, що шифр легко розкриватиметься відомими методами криптоаналізу. Критерії вироблення вузлів замін - таємниця за сімома печатками і ФАПСІ навряд чи їй поділиться з громадськістю в найближчому майбутньому. Зрештою, для того, щоб сказати, чи є дана конкретна таблиця замін хорошою чи поганою, необхідно провести величезний обсяг робіт – багато тисяч людино- та машино-годин. Одного разу обрана та використовувана таблиця підлягає заміні в тому й тільки в тому випадку, якщо шифр із її використанням виявився вразливим до того чи іншого виду криптоаналізу. Тому найкращим вибором для рядового користувача шифру буде взяти одну з декількох таблиць, що стали надбанням гласності. Наприклад, зі стандарту на хеш-функцію, вона ж «центробанківська»; відомості про ці таблиці можна знайти у відкритому друку та навіть в інтернеті, якщо добре пошукати.

Для тих, хто не звик йти легкими шляхами, нижче наведено загальну схему отримання якісних таблиць:

1. За допомогою тієї чи іншої методики виробляєте комплект із восьми вузлів замін із гарантованими характеристиками нелінійності. Таких методик є кілька, одна з них – використання так званих бент-функцій.
2. Перевіряєте виконання найпростіших «критеріїв якості», наприклад, тих, що опубліковані для вузлів заміни DES. Ось ще кілька загальних міркувань щодо цього: Кожен вузол замін може бути описаний четвіркою логічних функцій від чотирьох логічних аргументів. Якщо ці функції записані в мінімальній формі(Тобто з мінімально можливою довжиною виразу) виявляться недостатньо складними, такий вузол заміни відкидається. Крім того, окремі функції в межах всієї таблиці заміни повинні відрізнятися один від одного в достатньо. На цьому етапі відсіваються багато свідомо неякісних таблиць.
3. Для шифру з вибраними вами таблицями будуєте різні моделі раунду, що відповідають різним видам криптоаналізу, та вимірюєте відповідні «профільні» характеристики. Так, для лінійного криптоаналізу будуєте лінійний статистичний аналог раунду шифрування та обчислюєте «профільну» характеристику – показник нелінійності. Якщо вона виявляється недостатньою, таблиця замін відкидається.
4. Нарешті, використовуючи результати попереднього пункту, піддаєте шифр з обраною вами таблицею інтенсивним дослідженням – спробі криптоаналізу всіма відомими методами. Саме цей етап є найбільш складним та трудомістким. Але якщо він зроблений якісно, ​​то з високим ступенем ймовірності можна констатувати, що шифр з обраними вами таблицями не буде розкритий простими смертними, і, не виключено, виявиться не по зубах спецслужбам.

Можна, однак, зробити набагато простіше. Вся справа в тому, що чим більше в шифрі раундів, тим менший вплив на стійкість шифру мають характеристики стійкості одного раунду. У ГОСТі аж 32 раунди - більше, ніж практично у всіх шифрах з аналогічною архітектурою. Тому для більшості побутових і комерційних застосувань досить достатньо отримати вузли замін як незалежні випадкові перестановки чисел від 0 до 15. Це може бути практично реалізовано, наприклад, за допомогою перемішування колоди з шістнадцяти карт, за кожною з яких закріплено одне з значень зазначеного діапазону.

Щодо таблиці замін необхідно відзначити ще один цікавий факт. Для оборотності циклів шифрування «32-З» і «32-Р» не потрібно, щоб вузли замін були перестановками чисел від 0 до 15. Все працює навіть у тому випадку, якщо у вузлі замін є елементи, що повторюються, і заміна, яка визначається таким вузлом , необоротна, - однак у цьому випадку знижується стійкість шифру. Чому це саме так, не розглядається у цій статті, однак у самому факті переконатись нескладно. Для цього достатньо спробувати спочатку зашифрувати, а потім розшифрувати блок даних, використовуючи таку «неповноцінну» таблицю замін, вузли якої містять значення, що повторюються.

Варіації на тему ДЕРЖСТАНДАРТ

Дуже часто для використання в системі криптографічного захисту даних потрібен алгоритм з більшою, ніж у ДСТУ швидкодією реалізації, і при цьому не потрібна така висока криптостійкість. Типовим прикладом подібних завдань є різноманітних електронні біржові торгові системи, управляючі торговими сесіями у часі. Тут від використаних алгоритмів шифрування потрібно, щоб було неможливо розшифрувати оперативні дані системи протягом сесії (дані про виставлені заявки, про укладені угоди і т.п.), по закінченні ж ці дані, як правило, вже марні для зловмисників. Інакше кажучи, потрібна гарантована стійкість лише кілька годин – така типова тривалість торгової сесії. Зрозуміло, використання повноважного ГОСТу у цій ситуації було б стріляниною з гармати по горобцях.

Як вчинити у цьому та аналогічному йому випадках, щоб збільшити швидкодію шифрування? Відповідь лежить на поверхні – використовувати модифікацію шифру з меншою кількістю основних кроків (раундів) у базових циклах. У скільки разів ми зменшуємо кількість раундів шифрування, у стільки ж разів зростає швидкодія. Зазначеної зміни можна досягти двома шляхами – зменшенням довжини ключа та зменшенням числа «циклів перегляду» ключа. Згадайте, що кількість основних кроків у базових циклах шифрування дорівнює N=n·m, де n- Число 32-бітових елементів у ключі, m– число циклів використання ключових елементів у стандарті n=8, m=4. Можна зменшити будь-яке із цих чисел, але найпростіший варіант – зменшувати довжину ключа, не чіпаючи схеми його використання.

Зрозуміло, що платою за прискорення роботи буде зниження стійкості шифру. Основна труднощі у тому, що досить складно більш-менш точно оцінити величину цього зниження. Очевидно, єдиний можливий спосіб зробити це – дослідження варіантів шифру з редукованими циклами криптографічного перетворення «за повною програмою». Зрозуміло, що, по-перше, це вимагає використання закритої інформації, якою володіють лише розробники ДСТУ, і, по-друге, дуже трудомістко. Тому ми зараз спробуємо дати оцінку, дуже грубу, виходячи лише із загальних закономірностей.

Що стосується стійкості шифру до злому «екстенсивними» методами, тобто до «перебірної» атаки, то тут все більш-менш ясно: ключ розміром 64 біта знаходиться десь на межі доступності цьому виду атаки, шифр з ключем 96 біт і вище ( пам'ятайте, що ключ повинен містити ціле число 32-бітових елементів) цілком стійкий проти нього. Дійсно, кілька років тому колишній стандарт шифрування США, DES, був неодноразово зламаний перебірним шляхом, спочатку його зламала обчислювальна мережа, організована на базі глобальної мережі Інтернет, а потім спеціалізована, тобто. сконструйована спеціально для цього обчислювальна машина. Приймемо, що стандартний варіант ДСТУ при програмній реалізації на сучасних процесорах працює вчетверо швидше за DES. Тоді 8-раундовий «редукований ГОСТ» працюватиме у 16 ​​разів швидше за DES. Приймемо також, що за час, що минув з моменту злому DES, продуктивність обчислювальної техніки відповідно до закону Мура зросла вчетверо. Отримуємо в результаті, що зараз перевірка одного 64-бітового ключа для «редукованого ДСТУ» з вісьмома циклами здійснюється в 64 рази швидше, ніж свого часу виконувалася перевірка одного ключа DES. Таким чином, перевага такого варіанту ГОСТу перед DES за трудомісткістю переборної атаки скорочується з 264-56 = 28 = 256 до 256 / 64 = 4 рази. Погодьтеся, це дуже ілюзорна відмінність, майже нічого.

Набагато складніше оцінити стійкість ослаблених модифікацій ГОСТу до «інтенсивних» способів криптоаналізу. Проте загальну закономірність можна простежити тут. Справа в тому, що «профільні» характеристики багатьох найбільш сильних на сьогоднішній момент видів криптоаналізу залежать експоненційно від числа раундів шифрування. Так, для лінійного криптоаналізу (ЛКА) це буде характеристика лінійності L :

де C та – константи, R – число раундів. Аналогічна залежність існує й у диференціального криптоаналізу. За своїм «фізичним змістом» всі характеристики такого роду – ймовірність. Зазвичай обсяг необхідних для криптоаналізу вихідних даних та його трудомісткість обернено пропорційні подібним характеристикам. Звідси випливає, що ці показники трудомісткості зростають експонентно зі зростанням числа основних кроків шифрування. Тому при зниженні числа раундів у кілька разів трудомісткість найвідоміших видів аналізу зміниться як – дуже приблизно і грубо – корінь цього ступеня з первісної кількості. Це дуже велике падіння стійкості.

З іншого боку, ДЕРЖСТАНДАРТ проектувався з великим запасом міцності і на сьогоднішній день стійкий до всіх відомих видів криптоаналізу, включаючи диференціальний та лінійний. Що стосується ЛКА це означає, що з його успішного проведення потрібно більше пар «відкритий блок – зашифрований блок», ніж «існує у природі», тобто понад 2 64 . З урахуванням сказаного вище це означає, що для успішного ЛКА 16-раундового ГОСТу потрібно не менше блоків або 235 байтів або 32 Гбайта даних, а для 8-раундового - не менше блоків або 2 19 байтів або 0.5 Мбайт.

Висновки з усього, сказаного вище, наведено в наступній таблиці, що узагальнює характеристики редукованих варіантів ДСТУ.

Число раундів	Розмір ключа, біт	Індекс швидко-дії	Можливі характеристики шифру (дуже груба оцінка)
24	192	1,33	Стійкий до більшості відомих видів КА, або перебувати на межі стійкості. Практична реалізація КА неможлива через високі вимоги до вихідних даних та трудомісткості.
16	128	2	Теоретично нестійкий до деяких видів криптоаналізу, проте їх практична реалізація здебільшого утруднена через високі вимоги до вихідних даних та трудомісткості.
12	95	2,67	Нестійкий до деяких відомих видів криптоаналізу, проте годиться для забезпечення таємності невеликих обсягів даних (до десятків-сот Кбайт) на короткий термін.
8	64	4	Нестійкий до деяких відомих видів криптоаналізу, проте підходить для забезпечення секретності невеликих обсягів даних (до десятків Кбайт) на короткий термін.

Два останні варіанти, з 12 і 8 раундами, здатні забезпечити вельми обмежений у часі захист. Їх використання виправдане лише у завданнях, де потрібна лише короткострокова секретність даних, що закриваються, близько декількох годин. Можлива сфера застосування цих слабких варіантів шифру – закриття UDP-трафіку електронних біржових торгових систем. У цьому випадку кожен пакет даних (datagram, середня D з абревіатури UDP) шифрується на окремому 64-бітовому ключі, а сам ключ шифрується на сеансовому ключі (ключі, область дії якого - один сеанс зв'язку між двома комп'ютерами) і передається разом з даними.

Перш ніж закінчити з редукованими варіантами ДСТУ скажу, що всі наведені вище міркування носять спекулятивний характер. Стандарт забезпечує стійкість лише для одного, 32-раундового варіанта. І ніхто не може дати вам гарантій, що стійкість редукованих варіантів шифру до злому буде змінюватися вказаним вище чином. Якщо ви все ж таки зважилися їх використовувати у своїх розробках, пам'ятайте, що ви ступили на хибний ґрунт, який може будь-якої миті піти з-під ваших ніг. Якщо питання швидкості шифрування є для вас критичними, може, варто подумати про використання більш швидкого шифру або потужнішого комп'ютера? Ще одне міркування, яким це варто зробити, у тому, що ослаблені варіанти ГОСТу будуть максимально чутливі до якості використовуваних вузлів заміни.

У питання, що розглядається, є і зворотний бік. Що якщо швидкість шифрування некритична, а вимоги до стійкості дуже жорсткі? Підвищити стійкість ДСТУ можна двома шляхами – умовно назвемо їх «екстенсивний» та «інтенсивний». Перший – це ні що інше, як просте збільшення кількості раундів шифрування. Мені не зовсім зрозуміло, навіщо це може реально знадобитися, адже вітчизняний стандарт без цього забезпечує необхідну стійкість. Втім, якщо ви страждаєте на параної більше необхідного рівня (а всі «захисники інформації» просто зобов'язані нею страждати, це умова профпридатності така, питання тільки в тяжкості випадку:), це допоможе вам трохи заспокоїтися. Якщо ви не впевнені в цьому КГБ-шному шифрі або використовуваної вами таблиці замін, просто подвоїть, вчетверіть, і т.д. число раундів – кратність виберіть, виходячи з тяжкості вашого випадку. Зазначений підхід дозволяє реально збільшити стійкість шифру, якщо раніше криптоаналіз був просто неможливим, то тепер він неможливий у квадраті!

Хитрішим і цікавішим є питання, а чи можна збільшити стійкість шифру, не змінюючи кількості та структури основних кроків шифрування. Як не дивно, відповідь на нього позитивна, хоча ми знову ступаємо на хисткий грунт спекуляцій. Річ у тім, що у ГОСТі здебільшого етапі перетворення передбачається виконання заміни 4 на 4 біт, але в практиці (мова про це ще попереду) всі програмні реалізації виконують заміну побайтно, тобто. 8 на 8 біт - так робиться з міркувань ефективності. Якщо відразу спроектувати таку заміну як 8-бітову, то ми суттєво покращимо характеристики одного раунду. По-перше, збільшиться "дифузійна" характеристика або показник "лавинності" - один біт вихідних даних та/або ключа впливатиме на більшу кількість біт результату. По-друге, для великих за розміром вузлів заміни можна отримати нижчі диференціальну та лінійну характеристики, зменшивши тим самим схильність до шифру однойменним видам криптоаналізу. Особливо актуально це для редукованих циклів ГОСТу, а для 8 та 12-раундових варіантів такий крок просто необхідний. Це трохи компенсує втрату стійкості в них від зменшення кількості раундів. Що ускладнює використання цього прийому - так це те, що конструювати подібні «збільшені» вузли заміни вам доведеться самостійно. А також те, що великі вузли взагалі конструювати помітно важче, ніж менші за розміром.

Нестандартне використання стандарту.

Безумовно, основне призначення криптоалгоритмів ГОСТ – це шифрування та імітозахист даних. Однак їм можна знайти й інші застосування, пов'язані, звісно, ​​із захистом інформації. Коротко розповімо про них:

1. Для шифрування в режимі гамування ГОСТ передбачає вироблення криптографічної гами - послідовності біт з хорошими статистичними характеристиками, що має високу криптостійкість. Далі ця гама використовується для модифікації відкритих даних, у результаті виходять дані зашифровані. Однак це не єдине можливе застосування криптографічної гами. Справа в тому, що алгоритм її вироблення - це генератор послідовності псевдовипадкових чисел (ГППСЧ) з чудовими характеристиками. Звичайно, використовувати такий ГППСЧ там, де потрібні тільки отримання статистичних характеристик послідовності, що виробляється, а криптостійкість не потрібна, не дуже розумно - для цих випадків є набагато більш ефективні генератори. Але для різних застосувань, пов'язаних із захистом інформації, таке джерело буде дуже доречним:

• Як зазначалося вище, гаму можна використовувати як «сировину» вироблення ключів. Для цього потрібно лише отримати відрізок гами потрібної довжини – 32 байти. У такий спосіб ключі можна виготовляти в міру необхідності і їх не треба буде зберігати, - якщо такий ключ знадобиться повторно, буде легко його виробити знову. Треба тільки буде згадати, на якому ключі він був вироблений спочатку, яка використовувалася синхропосилання і з якого байта виробленої гами починався ключ. Вся інформація, крім використаного ключа, є несекретною. Даний підхід дозволить легко контролювати досить складну і розгалужену систему ключів, використовуючи лише один «майстер-ключ».
• Аналогічно попередньому, гаму можна використовувати як вихідну «сировину» для вироблення паролів. Тут може виникнути питання, навіщо взагалі потрібно їх генерувати, чи не простіше при необхідності їх просто вигадувати. Неспроможність такого підходу була наочно продемонстрована серією інцидентів у комп'ютерних мережах, найбільшим з яких був добовий параліч інтернету в листопаді 1988 року, викликаний «хробаком Морріса». Одним із способів проникнення зловмисної програми на комп'ютер був підбір паролів: програма намагалася увійти в систему, послідовно перебираючи паролі зі свого внутрішнього списку в кілька сотень, причому в значній частині випадків їй це вдавалося зробити. Фантазія людини з вигадування паролів виявилася дуже бідною. Саме тому в тих організаціях, де безпеці приділяється належна увага, паролі генерує та роздає користувачам системний адміністратор з безпеки. Вироблення паролів трохи складніше, ніж вироблення ключів, тому що при цьому "сиру" двійкову гаму необхідно перетворити до символьного вигляду, а не просто "нарізати" на шматки. Крім того, окремі значення, можливо, доведеться відкинути, щоб забезпечити рівну можливість появи всіх символів алфавіту в паролі.
• Ще один спосіб використання криптографічної гами – гарантоване затирання даних на магнітних носіях. Річ у тім, що навіть за перезапису інформації на магнітному носії залишаються сліди попередніх даних, які може відновити відповідна експертиза. Для знищення цих слідів такий перезапис треба виконати багаторазово. Виявилося, що потрібно перезаписувати інформацію на носій менше разів, якщо за такої процедури використовувати випадкові або псевдовипадкові дані, які залишаться невідомими експертам, які намагаються відновити затерту інформацію. Гама шифру тут буде дуже доречним.

2. Не тільки криптографічна гама, а й саме криптографічне перетворення може бути використане для потреб, безпосередньо не пов'язаних із шифруванням:

• Ми знаємо, що один з таких варіантів використання ДСТУ – вироблення імітівставки для масивів даних. Однак на базі будь-якого блочного шифру, і ГОСТу у тому числі, досить легко побудувати схему обчислення односторонньої хеш-функції, званої також у літературі MDC, що у різних джерелах розшифровується як код виявлення змін / маніпуляцій (M odification/ M anipulation D etection C ode) або дайджест повідомлення (M essage D igest C ode). Перше розшифрування з'явилося в літературі набагато раніше, друге, коротше, я думаю, придумали ті, кому виявилося не під силу запам'ятати першу:), – це був жарт. MDC може безпосередньо використовуватися в системах імітозахисту як аналог імітівставки, що не залежить, однак, від секретного ключа. Крім того, MDC широко використовується в схемах електронно-цифрового підпису (ЕЦП), адже більшість таких схем сконструйовані таким способом, що зручно підписувати блок даних фіксованого розміру. Як відомо, на базі обговорюваного стандарту ГОСТ 28147-89 побудований стандарт Російської Федерації на обчислення односторонньої хеш-функції ГОСТ Р34.11-94.
• Менш відомо, що на базі будь-якого блочного шифру, і ГОСТу в тому числі, може бути побудована цілком функціональна схема ЕЦП, із секретним ключем підпису та відкритою перевірочною комбінацією. З ряду причин ця схема не набула широкого практичного поширення, проте в окремих випадках досі може розглядатися як вельми приваблива альтернатива домінуючим нині у світі «математичним» схемам ЕЦП.

Література

Системи опрацювання інформації. Захист криптографічний. Алгоритм криптографічного перетворення ГОСТ 28147-89. Держ. Ком. СРСР за стандартами, М., 1989. ftp://ftp.wtc-ural.ru/pub/ru.crypt/GOST-28147
Шеннон Клод. Математична теорія секретних систем. У збірнику «Роботи з теорії інформації та кібернетиці», М., ІЛ, 1963, с. 333-369. http://www.enlight.ru/crypto/articles/shannon/shann__i.htm
Зображення щодо Федеральної інформації Processing Standard (FIPS) 197, Advanced Encryption Standard (AES), Federal Register Vol. 66, No. 235 / Thursday, December 6, 2001 / Notices, pp 63369-63371. http://csrc.nist.gov/encryption/aes/
Файстель Хорст. Криптографія та комп'ютерна безпека. Переклад А.Винокурова за виданням Horst Feistel. Cryptography and Computer Privacy, Scientific American, May 1973, Vol. 228, No. 5, pp. 15-23. http://www.enlight.ru/crypto/articles/feistel/feist_i.htm
Шнайєр Брюс. Прикладна криптографія. 2-ге вид. Протоколи, алгоритми та вихідні тексти мовою Сі., М., «Тріумф», 2002 http://www.ssl.stu.neva.ru/psw/crypto/appl_ukr/appl_cryp.htm
Menezes Alfred, van Oorschot Paul, Vanstone Scott. Handbook of applied cryptography. ttp://www.cacr.math.uwaterloo.ca/hac/
Винокур Андрій. Як влаштований блоковий шифр? Рукопис. http://www.enlight.ru/crypto/articles/vinokurov/blcyph_i.htm
Винокур Андрій. Випуски криптографії для електронного журналу iNFUSED BYTES online. http://www.enlight.ru/crypto/articles/ib/ib.htm
Винокуров Андрій, Применко Едуард. Текст доповіді «Про програмну реалізацію стандартів шифрування РФ та США», конференція з інформатизації, Москва, МІФІ, 28-29 січня 2001р. Опубліковано у матеріалах конференції.
Інформаційна технологія. Криптографічний захист інформації. Функція хешування ГОСТ Р34.11-94, Держстандарт РФ, М., 1994.