Режим выработки имитовставки

Режим гаммирования с обратной связью

Принцип работы алгоритма в режиме гаммирования с обратной связью отличается от принципа работы предыдущего режима тем, что если на первом шаге при формировании гамма-шифра используется синхропосылка, то на всех последующих шагах — предыду­щий блок зашифрованных данных. За счет этого достигается сцепление блоков шифруе­мых данных: каждый блок данных при шифровании зависит от всех предыдущих.

Шифрование открытых данных в этом режиме происходит по той же схемной реа­лизации, что и в режиме гаммирования, и отличается лишь введением дополнительной обратной связи с выхода сумматора СМЗ на входы накопителей HI и Н2.

Для пояснения процесса шифрования данных в режиме гаммирования с обратной свя­зью вновь обратимся к рис. 4.16 и приведем последовательность выполняемых процедур.

В ключевое запоминающее устройство вводится ключевая последовательность дли­ной 256 бит, после чего формируется синхропосылка S, записываемая в накопители HI и Н2, содержимое которых шифруется в режиме простой замены. Результат шиф­рования в накопителях HI и Н2 представляет собой первый 64-разрядный блок гамма-шифра П.

Полученный гамма-шифр Г1 суммируется поразрядно по модулю 2 с первым 64-раз­рядным блокойГЬткрытых данных Т01 в сумматоре СМ5. Результат суммирования—пер­вый 64-разрядный блок зашифрованных данных Тш1. Первый блок зашифрованных данных Тш1 по обратной связи поступает на накопители HI и Н2 и является исходной информацией для формирования второго блока гамма-шифра Г2.

Содержимое накопителей HI и Н2 шифруется в режиме простой замены. Резуль­тат шифрования в накопителях HI и Н2 представляет второй 64-разрядный блок гам­ма-шифра Г2. Этот гамма-шифр суммируется по модулю 2 поразрядно со вторым 64-разрядным блоком открытых данных Т02 в сумматоре СМ5. В результате получается второй 64-разрядный блок зашифрованных данных Тш2 и т. д. Если в последнем m блоке открытых данных Тот число двоичных разрядов меньше 64, неиспользованная часть гамма-шифра отбрасывается.

Расшифровка данных происходит в обратном порядке на основе знания ключевой последовательности и синхропосылки S.

Режим выработки имитовставки предназначен для обнаружения случайных и пред­намеренных ошибок при передаче шифрованных данных потребителям и одинаков для любого из режимов шифрования открытых данных.

Имитовставка представляет собой дополнительный блок данных U из L бит, кото­рый формируется либо перед шифрованием всего сообщения, либо совместно с шиф­рованием по блокам. Число двоичных разрядов L в имитовставке определяется крип­тографическими требованиями с учетом вероятности возникновения ложной имитовставки:

Ро = 2 -L.

Первые блоки открытых данных, которые участвуют в формировании имитовстав­ки, как правило, содержат служебную информацию (адресную часть, время, синхро-посылку) и не зашифровываются.

Процесс формирования имитовставки поясним также с помощью рис. 4.16.

Как и в рассмотренных выше режимах, в ключевое запоминающее устройство вво­дится ключевая последовательность длиной 256 бит. Далее первый 64-разрядный блок открытых данных ТЫ поступает в накопители HI и Н2, содержимое которых подвер­гается преобразованию, соответствующему первым 16-и циклам итеративного про­цесса шифрования в режиме простой замены. Результат шифрования в режиме про­стой замены с накопителей HI и Н2 суммируется по модулю 2 со вторым блоком открытых данных То2 в сумматоре СМ5.

Результат суммирования из сумматора СМ5 поступает в накопители HI и Н2 и после 16-и циклов шифрования в режиме простой замены суммируется по модулю 2 с третьим блоком открытых данных в сумматоре СМ 5 и т. д.

Последний 64-разрядный блок открытых данных ТОт, дополненный при необхо­димости до полного 64-разрядного числа нулями, суммируется по модулю 2 с резуль­татом работы алгоритма на (m-1) шаге в сумматоре СМ5 и снова зашифровывается по первым 16-и циклам режима простой замены.

Из полученного таким образом последнего заполнения накопителей Н1 и Н2 выби­рается имитовставка U длиной L бит. В большинстве практических случаев в качестве имитовставки используется содержимое накопителя HI (32 младших бита последнего блока зашифрованных данных).

Имитовставка U передается по каналам связи в конце зашифрованных данных или после каждого шифрованного блока. Поступившие данные расшифруются и из полу­ченных блоков открытых данных TOi вырабатывается имитовставка U, которая срав­нивается с имитовставкой, полученной по каналу связи. В случае несовпадения ими-товставок расшифрованные данные считают ложными.

Познакомившись с принципом работы криптографического алгоритма ТОСТ 28147-89, рассмотрим его эффективность и практическую реализацию.

Российский стандарт шифрования ГОСТ 28147-89 удобен как для аппаратной, так и для программной реализации. При размере блока данных 64 бита основная работа ведется с половинками этого блока — 32-битными словами, что позволяет эффектив­но реализовать российский стандарт шифрования на большинстве современных ком­пьютеров. При реализации на 32-битных машинах наиболее трудоемка операция заме­ны. Предусмотренные ГОСТом подстановки в 4-битных группах при программной

реализации дают возможность попарно объединить и выполнить замену в 8-битных группах, что существенно эффективнее. Надлежащая организация замены позволяет также избежать вращения слова на выходе функции шифрования, если хранить узлы замены как массивы 4-байтовых слов, в которых уже выполнено вращение.

Такая «раздутая» таблица замен потребует для своего хранения 4*28*4 = 212 байт или 4К оперативной памяти. Указанные шаги оптимизации позволяют реализовать раунд шифрования по ГОСТу за 10 машинных команд, включая выделение и загрузку в регистры отдельных байтов из 4-байтовых слов. С учетом способности процессоров Intel Pentium параллельно выполнять команды, раунд ГОСТа может быть реализован за 6 тактов работы процессора, а весь процесс шифрования — за 32*6 =192 такта. Добавляя еще 8 тактов на различные внутрипроцессорные задержки, получим оценку затрат процессорного времени на реализацию цикла шифрования по алгоритму ГОСТ 28147-89 в 200 тактов. На процессоре Pentium Pro 200 это позволит достичь предела быстродействия шифрования миллион блоков в секунду, или 8 Мбайт/с (на самом деле эта величина будет меньше).

Рассматриваемый алгоритм шифрования может быть также эффективно реализован и на 8-битных микроконтроллерах, поскольку составляющие его элементарные опера­ции входят в систему команд большинства наиболее распространенных контроллеров. При этом суммирование по модулю 232 придется разделить на одну операцию сложения без переноса и три операции сложения с переносом, выполняемые каскадно. Все ос­тальные операции также легко могут быть представлены в виде 8-байтовых операндов.

При аппаратной реализации ГОСТа один раунд предполагает последовательное выполнение трех операций над 32-битными аргументами: суммирование, замена, вы­полняемая одновременно во всех восьми 4-битных группах, и побитовое суммирова­ние по модулю 2. Циклический сдвиг не является отдельной операцией, так как обес­печивается простой коммутацией проводников. Таким образом, при аппаратной реализации цикл шифрования требует выполнения 106 элементарных операций, и эту работу нельзя распараллелить.

Характеристики быстродействия программных реализаций, выполненных по алго­ритму ГОСТ 28147-89 и новому американскому стандарту шифрования — шифру Rijndael, представлены в табл. 4.5.

Таблица 4.5. Показатели быстродействия реализаций алгоритмов шифрования

Из табл. 4.5 видно, что рассмотренные алгоритмы обладают сопоставимыми ха­рактеристиками быстродействия при реализации на 32-битных платформах. При ис­пользовании 8-битных платформ картина будет примерно такой же.

Что касается аппаратной реализации, то, в отличие от алгоритмов шифрования ГОСТа, Rijnael позволяет достичь высокой степени параллелизма при выполнении шифрования, оперирует блоками меньшего размера и содержит меньшее число раун­дов, в силу чего его аппаратная реализация на базе одной и той же технологии теоре­тически может быть более быстродействующей (примерно в 4 раза).

Проведенное выше сопоставление параметров алгоритмов шифрования ГОСТ28147-89 и Rijndael показывает, что, несмотря на существенное различие архитектурных принципов, на которых базируются шифры, их основные рабочие параметры пример­но одинаковы. Исключением является то, что, по всей вероятности, Rijnael будет иметь определенное преимущество в быстродействии перед ГОСТом при аппаратной реали­зации на базе одной и той же технологии. По ключевым параметрам криптостойкости для алгоритмов такого рода ни один из них не обладает значительным преимуществом; примерно одинаковы и скорости оптимальной программной реализации для процес­соров Intel Pentium, что можно экстраполировать на все современные 32-разрядные процессоры. Таким образом, можно сделать вывод, что отечественный стандарт шиф­рования соответствует требованиям, предъявляемым к современным шифрам, и мо­жет оставаться стандартом еще достаточно долгое время. Очевидным шагом в его опти­мизации может стать переход от замен в 4-битных группах к байтовым заменам, за счет чего должна возрасти устойчивость алгоритма к известным видам криптоанализа.

Дата добавления: 2014-01-07; Просмотров: 1193; Нарушение авторских прав?; Мы поможем в написании вашей работы!