ГОСТ 28147-89. Ключевая информация. Основной шаг криптоприобразования

В ГОСТе ключевая информация состоит из двух структур данных. Помимо собственно ключа, необходимого для всех шифров, она содержит еще и таблицу замен.

1. Ключ является массивом из восьми 32-битных элементов кода, далее в настоящей работе он обозначается символом К: . В ГОСТе элементы ключа используются как 32-разрядные целые числа без знака: . Таким образом, размер ключа составляет 32·8=256 бит или 32 байта.

2. Таблица замен является матрицей 8´16, содержащей 4-битовые элементы, которые можно представить в виде целых чисел от 0 до 15. Строки таблицы замен называются узлами замен, они должны содержать различные значения, то есть каждый узел замен должен содержать 16 различных чисел от 0 до 15 в произвольном порядке. Здесь таблица замен обозначается символом H: . Т.о., общий объем таблицы замен равен: 8 узлов ´ 16 элементов/узел ´ 4 бита/элемент = 512 бит или 64 байта.

Основной шаг криптопреобразования.

является оператором, определяющим преобразование 64-битового блока данных. Дополнительным параметром этого оператора является 32-битовый блок, в качестве которого используется какой-либо элемент ключа.

Øàã 0.Определяет исходные данные для основного шага криптопреобразования:

N –преобразуемый 64-битовый блок данных, в ходе выполнения шага его младшая (N ₁) и старшая (N ₂) части обрабатываются как отдельные 32-битовые целые числа без знака. Таким образом, можно записать N = (N ₁, N ₂). X –32-битовый элемент ключа;

Øàã 1.Сложение с ключом. Младшая половина преобразуемого блока складывается по модулю 2³² с используемым на шаге элементом ключа, результат передается на следующий шаг;

Øàã 2. Поблочная замена. 32-битовое значение, полученное на предыдущем шаге, интерпретируется как массив из восьми 4-битовых блоков кода: S = (S ₀, S ₁, S ₂, S ₃, S ₄, S ₅, S ₆, S ₇).

Далее значение каждого из восьми блоков заменяется на новое, которое выбирается по таблице замен следующим образом: значение блока S_i заменяется на S_i -тый по порядку элемент (нумерация с нуля) i -того узла замен (т.е. i -той строки таблицы замен, нумерация также с нуля). Другими словами, в качестве замены для значения блока выбирается элемент из таблицы замен с номером строки, равным номеру заменяемого блока, и номером столбца, равным значению заменяемого блока как 4-битового целого неотрицательного числа. Теперь становится понятным размер таблицы замен: число строк в ней равно числу 4-битных элементов в 32-битном блоке данных, то есть восьми, а число столбцов равно числу различных значений 4-битного блока данных, равному как известно 2⁴, шестнадцати.

Øàã 0.Циклический сдвиг на 11 бит влево. Результат предыдущего шага сдвигается циклически на 11 бит в сторону старших разрядов и передается на следующий шаг. На схеме алгоритма символом ₁₁ обозначена функция циклического сдвига своего аргумента на 11 бит в сторону старших разрядов.

Øàã 1.Побитовое сложение: значение, полученное на шаге 3, побитно складывается по модулю 2 со старшей половиной преобразуемого блока.

Øàã 2.Сдвиг по цепочке: младшая часть преобразуемого блока сдвигается на место старшей, а на ее место помещается результат выполнения предыдущего шага.

Øàã 3.Полученное значение преобразуемого блока возвращается как результат выполнения алгоритма основного шага криптопреобразования.

10. ГОСТ 28147-89. Режимы шифрования. Имитовставка: понятие и применение.

ГОСТ 28147-89 предусматривает три следующих режима шифрования данных:простая замена,гаммирование,гаммирование с обратной связью,и один дополнительный режим выработки имитовставки.

В любом из этих режимов данные обрабатываются блоками по 64 бита, на которые разбивается массив, подвергаемый криптографическому преобразованию. Однако в двух режимах гаммирования есть возможность обработки неполного блока данных размером меньше 8 байт, что существенно при шифровании массивов данных с произвольным размером, который может быть не кратным 8 байтам.

T _о, T _ш–массивы соответственно открытых и зашифрованных данных; , – i -тые по порядку 64-битные блоки соответственно открытых и зашифрованных данных: , , последний блок может быть неполным: ; n –число 64-битных блоков в массиве данных; Ц _X –функция преобразования 64-битного блока данных по алгоритму базового цикла «X»;

Простая замена. Зашифрование заключается в применении цикла 32-З к блокам открытых данных, расшифрование – цикла 32-Р к блокам зашифрованных данных. 64-битовые блоки данных обрабатываются независимо друг от друга. Размер массива открытых или зашифрованных данных, подвергающийся соответственно зашифрованию или расшифрованию, должен быть кратен 64 битам: | T _о | = | T _ш | =64· n, после выполнения операции размер полученного массива данных не изменяется.

Режим шифрования простой заменой имеет следующие особенности:

1. Т.к. блоки данных шифруются независимо друг от друга и от их позиции в массиве, при зашифровании двух одинаковых блоков открытого текста получаются одинаковые блоки шифротекста и наоборот. Отмеченное свойство позволит криптоаналитику сделать заключение о тождественности блоков исходных данных, если в массиве зашифрованных данных ему встретились идентичные блоки, что является недопустимым для серьезного шифра.

2. Если длина шифруемого массива данных не кратна 8 байтам или 64 битам, возникает проблема, чем и как дополнять последний неполный блок данных массива до полных 64 бит.

Такой режим может применяться только для шифрования массивов данных с размером кратным 64 битам, не содержащим повторяющихся 64-битных блоков. Размер ключа составляет 32 байта, а размер таблицы замен – 64 байта. Кроме того, наличие повторяющихся 8-байтовых блоков в ключе или таблице замен будет говорить об их весьма плохом качестве, поэтому в реальных ключевых элементах такого повторения быть не может. Т.о. режим простой замены подходит для шифрования ключевой информации, тем более, что прочие режимы для этой цели менее удобны, поскольку требуют наличия дополнительного синхронизирующего элемента данных – синхропосылки. ГОСТ предписывает использовать режим простой замены исключительно для шифрования ключевых данных.

Гаммирование – это наложение на открытые (зашифрованные) данные криптографической гаммы, то есть последовательности элементов данных, вырабатываемых с помощью некоторого криптографического алгоритма, для получения зашифрованных (открытых) данных. Для наложения гаммы при зашифровании и ее снятия при расшифровании должны использоваться взаимно обратные бинарные операции, например, сложение и вычитание по модулю 2⁶⁴ для 64-битных блоков данных. В ГОСТе для этой цели используется операция побитного сложения по модулю 2, поскольку она является обратной самой себе и к тому же наиболее просто реализуется. Все элементы гаммы различны для реальных шифруемых массивов и, следовательно, результат зашифрования даже двух одинаковых блоков в одном массиве данных будет различным. Хотя элементы гаммы и вырабатываются одинаковыми порциями в 64 бита, использоваться может и часть такого блока с размером, равным размеру шифруемого блока.

Гамма для этого режима получается следующим образом: с помощью РГПЧ вырабатываются 64-битные блоки данных, которые далее подвергаются преобразованию по циклу 32-З, то есть зашифрованию в режиме простой замены, в результате получаются блоки гаммы. Благодаря тому, что наложение и снятие гаммы осуществляется при помощи одной и той же операции побитового исключающего или, алгоритмы зашифрования и расшифрования в режиме гаммирования идентичны.

РГПЧ, используемый для выработки гаммы, является рекуррентной функцией: Ʊ _{i +1}= f (Ʊ _i), где Ʊ _i – элементы рекуррентной последовательности, f – функция преобразования. Следовательно, неизбежно возникает вопрос о его инициализации, то есть об элементе Ʊ₀. В действительности, этот элемент данных является параметром алгоритма для режимов гаммирования, на схемах он обозначен как S, и называется в криптографии синхропосылкой, а в нашем ГОСТе – начальным заполнением одного из регистров шифрователя.

По определенным соображениям разработчики ГОСТа решили использовать для инициализации РГПЧ не непосредственно синхропосылку, а результат ее преобразования по циклу 32-З: Ʊ₀= Ц _32-З(S). Последовательность элементов, вырабатываемых РГПЧ, целиком зависит от его начального заполнения, то есть элементы этой последовательности являются функцией своего номера и начального заполнения РГПЧ: Ʊ _i = f _i (Ʊ₀), где f _i (X)= f (f _{i –1}(X)), f ₀(X)= X. С учетом преобразования по алгоритму простой замены добавляется еще и зависимость от ключа: Г _i = Ц _32-З(Ʊ _i)= Ц _32-З(f _i (Ʊ₀))= Ц _32-З(f _i (Ц _32-З(S)))=Ʊ _i (S, K), где Г _i – i -тый элемент гаммы, K – ключ.

Т.о., последовательность элементов гаммы для использования в режиме гаммирования однозначно определяется ключевыми данными и синхропосылкой. Для обратимости процедуры шифрования в процессах за- и расшифрования должна использоваться одна и та же синхропосылка. Из требования уникальности гаммы, невыполнение которого приводит к катастрофическому снижению стойкости шифра, следует, что для шифрования двух различных массивов данных на одном ключе необходимо обеспечить использование различных синхропосылок. Это приводит к необходимости хранить или передавать синхропосылку по каналам связи вместе с зашифрованными данными, хотя в отдельных особых случаях она может быть предопределена или вычисляться особым образом, если исключается шифрование двух массивов на одном ключе.

РГПЧ спроектирован исходя из необходимости выполнения следующих условий:

· период повторения последовательности чисел, не должен сильно отличаться от максимально возможного при заданном размере блока значения 2⁶⁴;

· соседние значения, вырабатываемые РГПЧ, должны отличаться друг от друга в каждом байте, иначе задача криптоаналитика будет упрощена;

· РГПЧ должен быть достаточно просто реализуем как аппаратно, так и программно на наиболее распространенных типах процессоров.

Исходя из перечисленных принципов спроектирован РГПЧ, имеющий характеристики:

· в 64-битовом блоке старшая и младшая части обрабатываются независимо друг от друга: , фактически, существуют два независимых РГПЧ для старшей и младшей частей блока.

· рекуррентные соотношения для старшей и младшей частей следующие:

, где C ₁=1010101₁₆;

, где C ₂=1010104₁₆;

· период повторения последовательности для младшей части составляет 2³², для старшей части 2³²–1, для всей последовательности период составляет 2³²(2³²–1).

Øàã 0.Определяет исходные данные для основного шага криптопреобразования:

T _о(ш)–массив открытых (зашифрованных) данных произвольного размера, подвергаемый процедуре зашифрования (расшифрования), по ходу процедуры массив подвергается преобразованию порциями по 64 бита;

S – синхропосылка, 64-битный элемент данных, необходимый для инициализации генератора гаммы;

Øàã 1.Начальное преобразование синхропосылки, выполняемое для ее «рандомизации», то есть для устранения статистических закономерностей, присутствующих в ней, результат используется как начальное заполнение РГПЧ;

Øàã 2.Один шаг работы РГПЧ, реализующий его рекуррентный алгоритм. В ходе данного шага старшая (S ₁) и младшая (S ₀) части последовательности данных вырабатываются независимо друг от друга;

Øàã 3.Гаммирование. Очередной 64-битный элемент, выработанный РГПЧ, подвергается процедуре зашифрования по циклу 32–З, результат используется как элемент гаммы для зашифрования (расшифрования) очередного блока открытых (зашифрованных) данных того же размера.

Øàã 4.Результат работы – зашифрованный (расшифрованный) массив данных.

Ниже перечислены особенности гаммирования как режима шифрования.

1. Одинаковые блоки в открытом массиве данных дадут при зашифровании различные блоки шифротекста, что позволит скрыть факт их идентичности.

2. Поскольку наложение гаммы выполняется побитно, шифрование неполного блока данных легко выполнимо как шифрование битов этого неполного блока, для чего используется соответствующие биты блока гаммы. Так, для зашифрования неполного блока в 1 бит можно использовать любой бит из блока гаммы.

3. Синхропосылка, использованная при зашифровании, каким-то образом должна быть передана для использования при расшифровании. Это может быть достигнуто следующими путями:

· хранить или передавать синхропосылку вместе с зашифрованным массивом данных, что приведет к увеличению размера массива данных при зашифровании на размер синхропосылки, то есть на 8 байт;

· использовать предопределенное значение синхропосылки или вырабатывать ее синхронно источником и приемником по определенному закону;

Режим гаммирования имеет еще одну интересную особенность. В этом режиме биты массива данных шифруются независимо друг от друга. Таким образом, каждый бит шифротекста зависит от соответствующего бита открытого текста и, естественно, порядкового номера бита в массиве: . Т.о. изменение бита шифротекста на противоположное значение приведет к аналогичному изменению бита открытого текста на противоположный: , где обозначает инвертированное по отношению к t значение бита ().

Данное свойство дает злоумышленнику возможность воздействуя на биты шифротекста вносить предсказуемые и даже целенаправленные изменения в соответствующий открытый текст, получаемый после его расшифрования, не обладая при этом секретным ключом. Т.о. «секретность и аутентичность суть различные свойства шифров». Сказанное означает, что существуют криптографические алгоритмы, обеспечивающие определенную секретность зашифрованных данных и при этом никак не защищающие от внесения изменений и наоборот, обеспечивающие аутентичность данных и никак не ограничивающие возможность ознакомления с ними.

Дата добавления: 2015-04-23; Просмотров: 797; Нарушение авторских прав?; Мы поможем в написании вашей работы!