МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ

(МГС)

INTERSTATE COUNCIL FOR STANDARDIZATION, METROLOGY AND CERTIFICATION

(ISC)

МЕЖГОСУДАРСТВЕННЫЙ

СТАНДАРТ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Режимы работы блочных шифров

Предисловие

Цели, основные принципы и основной порядок проведения работ по межгосударственной стандартизации установлены в ГОСТ 1.0-2015 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2-2015 «Межгосударственная система стандартизации. Стандарты межгосударственные. правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены»

Сведения о стандарте

1    РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    ПРИНЯТ Межгосударственным советом по метрологии, стандартизации и сертификации (протокол от 29 ноября 2018 г. № 54)

За принятие проголосовали:

Краткое наименование страны no МК (ИСО 3166)004—97 Код страны по МК (ИСО 3166)004—97 Сокращенное наименование национального органа по стандартизации Армения AM Минэкономики Республики Армения Киргизия KG Кыргызстандарт Россия RU Росстандарт Таджикистан TJ Таджикстандарт

4    Приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. № 1062-ст межгосударственный стандарт ГОСТ 34.13-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 г.

5    Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.13-2015

6    ВЗАМЕН ГОСТ 28147-89 в части раздела 2 «Режим простой замены»; раздела 3 «Режим гаммирования»; раздела 4 «Режим гаммирования с обратной связью»; раздела 5 «Режим выработки имитовставки»

Информация об изменениях к наатюящему стандарту публикуется в ежегодном информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (w\‘/w.gost.ru)

©Стандартинформ. оформление. 2018

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

5.2.3 Расшифрование

Шифртекст представляется в виде: С = С, || С₂| |C_q. С,е V_s. / = X 2.....q-X C_qeV_r. г < $.

Блоки открытого текста вычисляются по следующему правилу:

P_i = C_i®J_s(e_K(CTR_i)),i = XZ....q-X ^Pq-C_q® T_r(e_K(CTR_q)).

Исходный открытый текст имеет вид:

р=р,|р₂1 п

Расшифрование в режиме гаммирования показано на рисунке 4.

5.3 Режим гаммирования с обратной связью по выходу

5.3.1    Общие положения

Параметрами режима гаммирования с обратной связью по выходу являются целочисленные величины s и m. 0 < s < л. m-nz, z> 1 — целое число.

При использовании режима гаммирования с обратной связью по выходу не требуется применение процедуры дополнения сообщения.

При шифровании на одном ключе для кахадого отдельного открытого текста используется значение уникальной или непредсказуемой (случайной или псевдослучайной) синхропосылки IV е V_m

При шифровании в режиме гаммирования с обратной связью по выходу используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммирования с обратной связью по выходу заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование п разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования. Затем заполнение регистра сдвигается на п бит в сторону разрядов с ббльшими номерами, при этом в разряды с меньшими номерами записывается полученный выход базового алгоритма блочного шифрования. Блок гаммы вычисляется путем усечения выхода базового алгоритма блочного шифрования.

5.3.2    Зашифрование

Открытый текст Ре V^е представляется в виде Р ■ Р₁ hi ■lP_q.P_l^i.XZ...._q-XP_qeV_rr_iS. Блоки шифртекста вычисляются по следующему правилу:

Р, = IV.

Yj = e_K(MSB„ (/?;)), Y_q=e_K(MSB_n(R_q)).

V^p4®w

/?, = IV,

V/ = e_K(MSB„(R₍)),

Pi = Cf ®T_s(Vy),    /    =    12.(7)

«/₊₁ = LSB

Y_q = e_K(MSB_n(/?_q)).

P_q=^cq®T_r(Y_q).

Исходный открытый текст имеет вид:

p=p_y\p₂l-K

5.4 Режим простой замены с зацеплением

5.4.1    Общие положения

Параметром режима простой замены с зацеплением является целочисленная величина т. т = п z, z 2 1 — целое число.

Длина сообщений, зашифровываемых в режиме простой замены с зацеплением, должна быть кратна длине блока базового алгоритма блочного шифрования л. поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки IV е V_m.

При шифровании в режиме простой замены с зацеплением используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV.

В режиме простой замены с зацеплением очередной блок шифртекста получается путем зашифрования результата покомпонентного сложения значения очередного блока открытого текста со значением л разрядов регистра сдвига с ббльшими номерами. Затем регистр сдвигается на один блок в сторону разрядов с ббльшими номерами. В разряды с меньшими номерами записывается значение блока шифртекста.

5.4.2    Зашифрование

Открытый и при необходимости дополненный текст Ре\Л, |Р| = л q. представляется в виде: p=p,|p₂ijp,. Р, eV_n, /' = 12.....q. Блоки шифртекста вычисляются по следующему правилу:

Я, = IV

^ci =e_K(P_/®MSB_n(«_/)). _f    i

4₊1=LSB^_rt(*,)|C,..    -•*"

C_q~e_K(P_q*MSB_n(R_q)).

5.4.3 Расшифрование

Шифртекст представляется в виде С = С,| С₇1| |С_, C_t е V_n, i = 1,2,.... q. Блоки открытого текста вычисляются по следующему правилу:

Я, = IV,

(Я, =d_K(C_/)eMSB„(R.)_>

<    .    I    =    1.2.....о - X

lK,n=LSB_m__n<R,)||C,,

P_q=d_K(C_g)®MSB_n(R_Q).

Исходный (дополненный) открытый текст имеет вид:

^p=^pihii^p.

Примечание — Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения

5.5 Режим гаммирования с обратной связью по шифртексту

5.5.1    Общие положения

Параметрами режима гаммирования с обратной связью по шифртексту являются целочисленные величины s и т, 0 < sS п, п< т.

В конкретной системе обработки информации на длину сообщения Р может как накладываться ограничение \Р\ ~s q. так и не накладываться никаких ограничений. В случае если такое ограничение накладывается, к исходному сообщению при необходимости должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для кахщого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки IVе V_m.

При шифровании в режиме гаммирования с обратной связью по шифртексту используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммирования с обратной связью по шифртексту заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование п разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования с последующим усечением. Затем заполнение регистра сдвигается на $ разрядов в сторону разрядов с ббльшими номерами, при этом в разряды с меньшими номерами записывается полученный блок шифртекста, являющийся результатом покомпонентного сложения гаммы шифра и блока открытого текста.

5.5.2    Зашифрование

Открытый текст Ре V представляется в виде Р = Р_у ык P,eV_s. / = 12.....q-X P_qeV_rr*s.

Блоки шифртекста вычисляются по следующему правилу:

Я, = IV.

jC_<=f’®T_s(e_K(MSB_rt(R_/))). ⁼ LSB_m__n(R, )||С₍,

C_q = P_q®T_r(e_K(MSB_n(R_q)))-

5.5.3 Расшифрование

Шифртекст представляется в виде: С = С₁ |С₂1..,|C_q, C,eV_s, i = \2.....q-X C_qeV_r г< s. Блоки

открытого текста вычисляются по следующему правилу:

Я, = IV,

Pj = С/ ©T_s(e_K(MSB_n(fl,))). */*i = LSB_m__n(R,)I С₍. P_q=C_q®T_f(e_K(MSB_n(R_q))).

Исходный открытый текст имеет вид:

р=р₁|р_г|.|р.

Примечание — Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения

5.6 Режим выработки имитовставки

5.6.1    Общие положения

Режим выработки имитовставки, описание которого представлено ниже, реализует конструкцию ОМАС1 (стандартизован в ISO под названием СМАС (11).

Параметром режима является длина имитовставки (в битах) 0 < s й п.

5.6.2    Выработка вспомогательных ключей

При вычислении значения имитовставки используются вспомогательные ключи, которые вычисляются с использованием ключа К. Длины вспомогательных ключей равны длине блока п базового алгоритма блочного шифрования.

Процедура выработки вспомогательных ключей может быть представлена в следующем виде:

* = е_к(0 ");

R «1, если MSB,(R) = 0.

¹ {R <£ 1)© 8_Л. иначе:

если MSB₁(K₁) = 0. (К, «1)Ф8_П, иначе,

где b_G4=o⁵⁹||iioii. b₁₂₈=o¹²⁰||iooooiii.

Если значение п отлично от 64 и 128, необходимо использовать следующую процедуру определения значения константы 8„. Рассмотрим множество примитивных многочленов степени л над полем GF(2) с наименьшим количеством ненулевых коэффициентов. Упорядочим это множество лексикографически по возрастанию векторов коэффициентов и обозначим через f_n(x) первый многочлен в этом упорядоченном множестве.

Рассмотрим поле GF(2ⁿ)[x)/(f_n(x)), зафиксируем в нем степенной базис и будем обозначать операцию умножения в этом поле символом ®. Вспомогательные ключи К, и К₂ вычисляются следующим образом:

' К, = Poly^Poly^R) ® х),

/<2=Poly_n¹(Poly_r,(R)®x2).

Примечание — Вспомогательные ключи К, и К₂ и промежуточное значение R наряду с ключом К являются секретными параметрами Компрометация какого-либо из этих значений приводит к возможности построения эффективных методов анализа всего алгоритма

5.6.3 Вычисление значения имитовставки

Процедура вычисления значения имитовставки похожа на процедуру зашифрования в режиме простой замены с зацеплением при т = п и инициализации начального заполнения регистра сдвига значением 0^Л: на вход алгоритму шифрования подается результат покомпонентного сложения очередного блока текста и результата зашифрования на предыдущем шаге. Основное отличие заключается в процедуре обработки последнего блока: на вход базовому алгоритму блочного шифрования подается результат покомпонентного сложения последнего блока, результата зашифрования на предыдущем шаге и одного из вспомогательных ключей. Конкретный вспомогательный ключ выбирается в зависимости от того, является ли последний блок исходного сообщения полным или нет. Значением имитовставки MAC является результат применения процедуры усечения к выходу алгоритма шифрования при обработке последнего блока.

Исходное сообщение Pel/*, для которого требуется вычислить имитовставку. представляется в

виде:

Р-Р₁|Р₂|...|Р_Г

где PjS V_n, 1 = 12.....q -1. P_qe V_r, r < n.

Процедура вычисления имитовставки описывается следующим образом:

С₀=0".

С, = е_к (р. Ф / = X 2,.....q-1.    (13)

MAC = T_s{e_K{P‘ eCg., ©К*)),

где    , ,

.    К.,    если    \Р„ = п,

К=    ¹    \я\    •

К₂, иначе.

Р’ — последний блок сообщения, полученного в результате дополнения исходного сообщения с помощью процедуры 3.

Примечание — Настоятельно рекомендуется не использовать ключ режима выработки имитовставки в других криптографических алгоритмах, в том числе в режимах, обеспечивающих конфиденциальность, описанных в 51—5.5

Приложение А (справочное)

Контрольные примеры

А.1 Общие положения

Настоящее приложение носит справочный характер и не является частью нормативных положений настоящего стандарта.

В настоящем приложении содержатся примеры для зашифрования и расшифрования сообщений, а также выработки имитоеставки с использованием режимов работы шифра, определенных в настоящем стандарте Параметр s выбран равным п в целях упрощения проводимых вычислений, а параметр т выбирался из соображений демонстрации особенностей каждого режима шифрования Двоичные строки из \Л, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации (*|П опускается Таким образом, строка а е убудет

представлена в виде а_г__ха_г_₂... Аз- ^гД^е ai^€ 1.....⁹-^а-b.^с-®- О. I = 0. X.... г-1.

В А 2 приведены примеры для блочного шифра с длиной блока п = 128 бит («Кузнечик») ВАЗ приведены примеры для блочного шифра с длиной блока п = 64 бит («Магма»),

А.2 Блочный шифр с длиной блока п ■ 128 бит А.2.1 Параметры процессов

Примеры используют следующие параметры Ключ

К = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef Открытый текст — четыре 128-битных блока Р_у = 1122334455667700ffeeddccbbaa9988.

Р₂ = 00112233445566778899aabbcceeff0a,

Р₃ = 112233445566778899aabbcceeff0a00,

Р_А = 2233445566778899aabbcceeff0a0011 А.2.2 Режим простой замены

Таблица А1 — Зашифрование в режиме простой замены

Открытый текст Шмфртекст 1122334455667700tfeeddccbbaa9988 7f679d90bebc24305a468d42b9d4edcd 00112233445566778899aabboceeff0a Ь429912c6e0032f9285452d76718d08b 112233445566778899aabbcceeff0a00 roca33549d247ceef3f5a5313bd4b157 2233445566778899aabbcceeff0a0011 d0b09ccde830b9eb3a02c4c5aa8ada98

А.2.3 Режим гаммирования

А 2.3.1 Зашифрование s = п = 128,

IV = 1234567890abcef

Таблица А2 — Зашифрование в режиме гаммирования

i 1 2 Pi 1122334455667700ffeeddccbbaa9988 00112233445566778899aabbcceeff0a Входной блок 1234567890abcero0000000000000000 1234567890abcef00000000000000001 Выходной блок e0b7ebfa9468a6db2a95826efb 173830 85ffc500b2f4582a7ba54e08roab21ee С, fl 95d8bec10ed1dbd57b5fa240bda 1Ь8 85eee733f6a13e5df33ce4b33c45dee4

Содержание

1    Область применения..................................................................1

2    Термины, определения и обозначения...................................................1

2.1    Термины и определения...........................................................1

2.2    Обозначения.....................................................................3

3    Общие положения....................................................................3

4    Вспомогательные операции............................................................4

4.1    Дополнение сообщения............................................................4

4.2    Выработка начального значения.....................................................4

4.3    Процедура усечения...............................................................5

5    Режимы работы алгоритмов блочного шифрования........................................5

5.1    Режим простой замены............................................................5

5.2    Режим гаммирования..............................................................6

5.3    Режим гаммирования с обратной связью по выходу.....................................7

5.4    Режим простой замены с зацеплением...............................................9

5.5    Режим гаммирования с обратной связью по шифртексту................................11

5.6    Режим выработки имитовставки....................................................13

Приложение А (справочное) Контрольные примеры.........................................16

Библиография........................................................................22

Окончание таблицы А 2

1 3 4 р, 112233445566778899aabbcceeff0a00 2233445566778899aabbcceeff0a0011 Входной блок 1234567890abcef00000000000000002 1234567890abcef00000000000000003 Выходной блок b4c8dbcfb353195b4c42cc3ddb9ba9a5 e9a2bee4947b322f7b7d 1 db6dfb7ba62 С, a5eae88be6356ed3d5e877f13564a3a5 cb91 fabl f20cbab6d 1 c6d 15820bdba 73

А 2 3 2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения P_v Р₂. Ру Р₄

А.2.4 Режим гаммирования с обратной связью по выходу

А 2 4 1 Зашифрование s = п = 128. т = 2п = 256.

IV- 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

Таблица АЗ — Зашифрование в режиме гаммирования с обратной связью по выходу

/ 1 2 P, 1122334455667700ffeeddccbbaa9988 00112233445566778899aabbcceeff0a Входной блок 1234567890аЬсеГОа 1 b2c3d4e5ro0112 23344556677889901213141516171819 Выходной блок 90а2391 de4e25c2400f 1 a49232d0241 d ed4a659440d99cc3072c8b8d517dd9b5 С, 81800a59b1842b24ff1 f795e897abd95 ed5b47a7048cfab48fb521369d9326bf

Окончание таблицы А З

I 3 4 P, 112233445566778899aabbcceeff0a00 2233445566778899aabbcceeff0a0011 Входной блок 90э2391 de4e25c2400f 1 a49232d0241 d ed4a659440d99cc3072c8b8d517dd9b5 Выходной блок 778064e869c6cf3951a55c30fed78013 020dff9500640ef90a92eead099a3141 С/ 66a257ac3ca0b8b1c80fe7fc10288a13 203ebbc066138660a0292243f6903150

А 2 4.2 Расшифрование

С использованием приведенных значений К, IV и С с помощью операции расшифрования воспроизводятся исходные значения P_v Р₂, Ру Р₄

А.2.5 Режим простой замены с зацеплением

А 2 5.1 Зашифрование т = 2п = 256,

IV = 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819

Таблица А4 — Зашифрование в режиме простой замены с зацеплением

/ 1 2 P, 1122334455667700ffeeddccbbaa9988 00112233445566778899aabbcceeff0a Входной блок 0316653cc5cdb9f05e5c1e185e5a989a 23256765232defe79a8abeaedaf9e713 Выходной блок 689972d4a085fa4d90e52e3d6d7dcc27 2826e661 b4 78eca6af 1 e8e448d5ea5ac С, 689972d4a085fa4d90e52e3d6d7dcc27 2826e661b478eca6af1e8e448d5ea5ac

Введение

Настоящий стандарт содержит описание режимов работы блочных шифров. Данные режимы работы блочных шифров определяют правила криптографического преобразования данных и выработки имитовставки для сообщений произвольного размера.

Необходимость разработки настоящего стандарта вызвана потребностью в определении режимов работы блочных шифров, соответствующих современным требованиям к криптографической стойкости.

Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО/МЭК 9797-1 [1]. ИСО/МЭК 10116 [2]. ИСО/МЭК 10118-1 [3]. ИСО/МЭК 18033-1 (4], ИСО/МЭК 14888-1 [5].

Примечание — Основная часть стандарта дополнена приложением А «Контрольные примеры»

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Режимы работы блочных шифров

Information technology Cryptographic data security Modes of operation for block ciphers

Дата введения — 2019—06—01

1    Область применения

Настоящий стандарт распространяется на криптографическую защиту информации и определяет режимы работы блочных шифров.

Режимы работы блочных шифров, определенные в настоящем стандарте, рекомендуется использовать при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.

2    Термины, определения и обозначения

2.1    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1.1    алгоритм зашифрования (encryption algorithm): Алгоритм, реализующий зашифрование, т. е. преобразующий открытый текст в шифртекст.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4)

2.1.2    алгоритм расшифрования (decryption algorithm): Алгоритм, реализующий расшифрование, т. е. преобразующий шифртекст в открытый текст.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4)

2.1.3    базовый блочный шифр (basic block cipher): Блочный шифр, реализующий при каждом фиксированном значении ключа одно обратимое отображение множества блоков открытого текста фиксированной длины в блоки шифртекста такой же длины.

2.1.4    блок (block): Строка бит определенной длины.

Примечание — Адаптировано из ИСО/МЭК 18033-1 [4]

2.1.5    блочный шифр (block cipher): Шифр из класса симметричных криптографических методов, в котором алгоритм зашифрования применяется к блокам открытого текста для получения блоков шифр-текста.

Примечания

1    Адаптировано из ИСО/МЭК 18033-1 (4).

2    В настоящем стандарте установлено, что термины «блочный шифр» и «алгоритм блочного шифрования» являются синонимами

Издание официальное

2.1.6    дополнение (padding): Приписывание дополнительных бит к строке бит.

Примечание — Адаптировано из ИСО/МЭК 10118-1 (3].

2.1.7    зацепление блоков (block chaining): Шифрование информации таким образом, что каждый блок шифртекста криптографически зависит от предыдущего блока шифртекста.

2.1.8    зашифрование (encryption): Обратимое преобразование данных с помощью шифра, который формирует шифртекст из открытого текста.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4)

2.1.9    имитовставка (message authentication code): Строка бит фиксированной длины, полученная применением симметричного криптографического метода к сообщению, добавляемая к сообщению для обеспечения его целостности и аутентификации источника данных.

Примечание — Адаптировано из ИСО/МЭК 9797-1 [1].

2.1.10    ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

Примечания

1    Адаптировано из ИСО/МЭК 18033-1 (4)

2    В настоящем стандарте рассматриваются ключи только в виде последовательности двоичных символов (битов)

2.1.11    начальное значение (starting variable): Значение, возможно, полученное из синхропосылки и используемое для задания начальной точки режима работы блочного шифра.

Примечание — Адаптировано из ИСО/МЭК 10116 (2)

2.1.12    открытый текст (plaintext): Незашифрованная информация.

Примечание — Адаптировано из ИСО/МЭК 10116 (2J

2.1.13    расшифрование (decryption): Операция, обратная к зашифрованию.

Примечания

1    Адаптировано из ИСО/МЭК 18033-1 (4J

2    В настоящем стандарте в целях сохранения терминологической преемственности по отношению к нормативным документам, действующим на территории государства, принявшего настоящий стандарт, и опубликованным ранее на русском языке научно-техническим изданиям применяется термин «шифрование», объединяющий операции, определенные терминами «зашифрование» и «расшифрование» Конкретное значение термина «шифрование* определяется в зависимости от контекста упоминания

2.1.14    симметричный криптографический метод (symmetric cryptographic technique): Криптографический метод, использующий один и тот же ключ для преобразования, осуществляемого отправителем. и преобразования, осуществляемого получателем.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4)

2.1.15    синхропосылка (initializing value): Комбинация знаков, передаваемая по канапу связи и предназначенная дпя инициализации алгоритма шифрования.

2.1.16    сообщение (message): Строка бит произвольной конечной длины.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (5)

2.1.17    счетчик (counter): Строка бит длины, равной длине блока блочного шифра, используемая при шифровании в режиме гаммирования.

Примечание — Адаптировано из ИСО/МЭК 10116 (2)

2.1.18    шифр (cipher): Криптографический метод, используемый для обеспечения конфиденциальности данных, включающий алгоритм зашифрования и алгоритм расшифрования.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4).

2.1.19    шифртекст (ciphertext): Данные, полученные в результате зашифрования открытого текста в целях скрытия его содержания.

Примечание — Адаптировано из ИСО/МЭК 10116(2)

2.2 Обозначения

В настоящем стандарте применены следующие обозначения:

V* — множество всех двоичных строк конечной длины, включая пустую строку;

V₅ — множество всех двоичных строк длины s. где s — целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево, начиная с нуля;

|А| — число компонент (длина) строки А е V* (если А — пустая строка, то |А| = 0);

А\\В — конкатенация строк A, Be V. т. е. строка из V,_A|,_|8|, в которой подстрока с большими номерами компонент из У|_А| совладает со строкой А, а подстрока с меньшими номерами компонент из V|₈ совпадает со строкой В;

(У — строка, состоящая из г нулей;

Ф — операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины;

— кольцо вычетов по модулю 2^s;

Ш₅ — операция сложения в кольце 2^;

х mod/ — операция вычисления остатка от деления целого числа х на целое положительное число /;

S-1

MSB_s: V \(JV" -» V_s —отображение, ставящее в соответствие строке г_т1|| . Milk»- т > s, строку

¹⁼⁰    *m-11- • Um-ш* 1 fcn-s •    ^VV ' = 0. г • •1

s-1

LSB_s:V*\|J\/} -» V_s — отображение, ставящее в соответствие строке z_m_^\.\Zy\z_Q, m>s. строку

'-°    *,-il    \\^zA^z0-^zi^€Vv    /"ОД....m-1;

A-z:r —операция логического сдвига строки Л на г компонент в сторону компонент, имеющих ббльшие номера. Если А е V₉ то А « г е V_a, причем

А<£_Г = J^LSB_s__r(-A)|0". если г <s.

0^s.    если г £ s;

Poly_s: V_s -* GF(2)(x] — отображение, ставящее в соответствие строке z = (z_s_J...|z₀)€ V_s многочлен

Ро1у₅(г)=^х';

/•о

Vec^Z^ -» V_s —биективное отображение, сопоставляющее элементу кольца 2^ его двоичное представление, т. е. для любого элемента ze Z₂,, представленного в виде

z = z₀+2 z₁ +„. + 2^s-1 z_s__v где z,e {0,1}. i = 0.1.....s-i выполнено равенство

Vec_s(z)= z_s_₁|...|z₁||z₀; lnt_s: V_s-> Z^ — отображение, обратное к отображению Vec_s, т. е. lnt_s=Vecj¹; к — параметр алгоритма блочного шифрования, называемый длиной ключа; п — параметр алгоритма блочного шифрования, называемый длиной блока;

Е :V_nx V_A -» V„ —отображение, реализующее базовый алгоритм блочного шифрования и осуществляющее преобразование блока открытого текста PeV_nc использованием ключа (шифрования) KeV_k в блок шифртекста С € V_n: Е(Р, К) = С; е_к: V_n->V_n — отображение, реализующее зашифрование с использованием ключа К € V_k. т. е.

е_к(Р) = Е(Р. К) для всех Р е V_n: d_K: V_n-*V_n —отображение, реализующее расшифрование с использованием ключа Ке V_k. т. е. d_K = е*¹.

3 Общие положения

Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования:

-    режим простой замены (ЕСВ. англ. Electronic Codebook);

-    режим гаммирования (CTR, англ. Counter);

-    режим гаммирования с обратной связью по выходу (OFB, англ. Output Feedback);

-    режим простой замены с зацеплением (СВС, англ. Cipher Block Chaining);

-    режим гаммирования с обратной связью по шифртексту (CFB. англ. Cipher Feedback);

-    режим выработки имитовставки (англ Message Authentication Code algorithm).

Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока п.

4 Вспомогательные операции

4.1 Дополнение сообщения

4.1.1    Общие положения

Отдельные из описанных ниже режимов работы (режим гаммирования, режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту) могут осуществлять криптографическое преобразование сообщений произвольной длины. Для других режимов (режим простой замены, режим простой замены с зацеплением) требуется, чтобы длина сообщения была кратна некоторой величине /. В последнем случае при работе с сообщениями произвольной длины необходимо применение процедуры дополнения сообщения до требуемой длины. Ниже приведены три процедуры дополнения.

Пусть Ре V* исходное сообщение, подлежащее зашифрованию.

4.1.2    Процедура 1

Пусть r = |P|mod/. Положим

Р‘=

Примечание — Описанная процедура в некоторых случаях не обеспечивает однозначного восстановления исходного сообщения Например, результаты дополнения сообщений Р₁. такого что |f^|=/ • q -1 для некоторого q. и Р₂ = Р^ 10 будут одинаковы В этом случае для однозначного восстановления необходимо дополнительно знать длину исходного сообщения

4.1.3 Процедура 2

Пусть г = |P|mod/. Положим

Р‘=Р|1|(У-'-1

Примечание — Данная процедура обеспечивает однозначное восстановление исходного сообщения При этом если длина исходного сообщения кратна /. то длина дополненного сообщения будет увеличена

4.1.4 Процедура 3

Пусть г = |P|mod/.

В зависимости от значения г возможны случаи:

-    если г = /. то последний блок не изменяется Р* = Р,

-    если г < I, то применяется процедура 2.

Примечания

1    Данная процедура обязательна для режима выработки имитовставки (5.6) и не рекомендуется для использования в других режимах (5.1—5.5)

2    Выбор конкретной процедуры дополнения предоставляется разработчику информационной системы и/или регламентируется другими нормативными документами

4.2 Выработка начального значения

В некоторых режимах работы используются величины, начальное значение которых вычисляется на основании синхропосылки IV, обозначим через т суммарную длину указанных величин. Будем обозначать процедуру выработки начального значения через \_т. V^ —> V_m и называть процедурой инициализации. Будем называть процедуру инициализации тривиальной, если l_/V|= IV. Если не оговорено иное, будем считать, что используется тривиальная процедура инициализации на основе синхропосылки необходимой длины.

Во всех описываемых в настоящем стандарте режимах работы не требуется обеспечение конфиденциальности синхропосылки. Вместе с тем процедура выработки синхропосылки должна удовлетворять одному из следующих требований:

- значения синхропосылки для режимов простой замены с зацеплением и гаммирования с обратной связью по шифртексту необходимо выбирать случайно, равновероятно и независимо друг от друга из множества всех допустимых значений. В этом случае значение каждой используемой синхропосылки IV должно быть непредсказуемым (случайным или псевдослучайным): зная значения всех других используемых синхропосылок, значение IV нельзя определить с вероятностью большей, чем

-    все значения синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования. должны быть уникальными, т. е. попарно различными. Для выработки значений синхропосылок может быть использован детерминированный счетчик;

-    значение синхропосылки для режима гаммирования с обратной связью по выходу должно быть либо непредсказуемым (случайным или псевдослучайным), либо уникальным.

Примечание — Режим простой замены не предусматривает использования синхропосылки

4.3 Процедура усечения

В некоторых режимах используется усечение строк длины п до строк длины s, s< п, с использованием функции T_s = MSB_s, т. е. в качестве операции усечения используется операция взятия бит с большими номерами.

5 Режимы работы алгоритмов блочного шифрования

5.1    Режим простой замены

5.1.1    Общие положения

Длина сообщений, зашифровываемых в режиме простой замены, должна быть кратна длине блока базового алгоритма блочного шифрования п, поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.

Зашифрование (расшифрование) в режиме простой замены заключается в зашифровании (расшифровании) каждого блока текста с помощью базового алгоритма блочного шифрования.

5.1.2    Зашифрование

Открытый и при необходимости дополненный текст Ре V, \P\ = nq, представляется в виде;

thin P_t е V_n, i = 12,.....q. Блоки шифртекста вычисляют по следующему правилу:

с_/=е_к(р__/)./ = гг....<7.    о)

Результирующий шифртекст имеет вид:

с=с,|с₂г..|с,.

Зашифрование в режиме простой замены показано на рисунке 1.

р2 pQ

С,    С2    С„ Рисунок 1 — Зашифрование в режиме простой замены

5.1.3 Расшифрование

Шифртекст представляется в виде; С = С,||С₂||.--I|C_Q. С,е V_n. /=1.2.... q. Блоки открытого текста вычисляются по следующему правилу:

Р, = d_K(С_д-). / = 1.2. ....Q.    (2)

Исходный (дополненный) открытый текст имеет вид:

Примечание — Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения

Расшифрование в режиме простой замены показано на рисунке 2.

С,    С*    Cq

ру    р2    ря Рисунок 2 — Расшифрование в режиме простой замены

5.2 Режим гаммирования

5.2.1    Общие положения

Параметром режима гаммирования является целочисленная величина s, 0 < s < п. При использовании режима гаммирования не требуется применение процедуры дополнения сообщения.

Для зашифрования (расшифрования) каждого отдельного открытого текста на одном ключе используется значение уникальной синхропосылки IV е V_n.

2

Зашифрование в режиме гаммирования заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s путем зашифрования последовательности значений счетчика CTR_t е V_n, i = 12..... базовым алгоритмом блочного шифрования с последующим

П

усечением. Начальным значением счетчика является C7R, = \_n(lV)~ IV ||02. Последующие значения счетчика вырабатываются с помощью функции Add: V_n — V_n следующим образом:

C7R_W- Add (С 77?.) = Vec„(lnt_n(C7/?_|.)    1).    (3)

5.2.2    Зашифрование

Открытый текст Р е V представляется в виде Р = Р_л |Р₂1..\P_q, Р_} е . / = X 2,.....q - \ P_qeV_r, г < s.

Блоки шифртекста вычисляются по следующему правилу:

С, = Pj <BT_s(e_K(CTR')). / = 12.....<7-1.

'C_q=Pq®Tr(e_K(CTRq)).    ⁽⁾

Результирующий шифртекст имеет вид:

с=с,|с₂| |С,

Зашифрование в режиме гаммирования показано на рисунке 3.

Рисунок 3 — Зашифрование в режиме гаммирования