Р 1323565.1.017-2018
Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования
23 страницы
Купить Р 1323565.1.017-2018 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Способы доставки
- Срочная курьерская доставка (1-3 дня)
- Курьерская доставка (7 дней)
- Самовывоз из московского офиса
- Почта РФ
Рекомендации предназначены для применения в информационных системах, использующих механизмы защиты данных, определенных в ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015, в общедоступных и корпоративных сетях для защиты информации, не содержащей сведений, составляющих государственную тайну.
Оглавление
1 Область применения
2 Нормативные ссылки
3 Обозначения
4 Режимы работы блочных шифров с преобразованием ключа
4.1 Режим шифрования CTR-ACPKM
4.2 Режим выработки имитовставки OMAC-ACPKM
5 Алгоритмы экспорта KExp 15 и импорта Klmp 15 ключа
Приложение А (справочное) Контрольные примеры для режимов работы блочных шифров с преобразованием ключа
Приложение Б (справочное) Контрольные примеры работы алгоритмов экспорта Exp 15 и импорта Klmp 15 ключ
Приложение В (рекомендуемое) Пример параметров режима шифрования CTR-ACPKM
Библиография
| Дата введения | 01.10.2018 |
|---|---|
| Добавлен в базу | 01.01.2019 |
| Актуализация | 01.01.2021 |
Этот документ находится в:
Организации:
| 24.04.2018 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 206-ст |
|---|---|---|---|
| Разработан | ООО КРИПТО-ПРО | ||
| Издан | Стандартинформ | 2018 г. |
Information technology. Cryptographic data security. Cryptographic algorithms accompanying the use of block ciphers
- ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры
- ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров
- Р 1323565.1.012-2017 Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
стр. 1
стр. 2
стр. 3
стр. 4
стр. 5
стр. 6
стр. 7
стр. 8
стр. 9
стр. 10
стр. 11
стр. 12
стр. 13
стр. 14
стр. 15
стр. 16
стр. 17
стр. 18
стр. 19
стр. 20
стр. 21
стр. 22
стр. 23
Р 1323565.1.017— 2018
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
Информационная технология
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования
Издание официальное
Стандартинформ
2018
Предисловие
1 РАЗРАБОТАНЫ Обществом с ограниченной ответственностью «КРИПТО-ПРО» (ООО «КРИПТО-ПРО»)
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 апреля 2018 г. № 206-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
© Стандартинформ, оформление, 2018
Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
P 1323565.1.017—2018
Приложение A (справочное)
Контрольные примеры для режимов работы блочных шифров с преобразованием ключа
В данном приложении представлены контрольные примеры работы режимов работы блочных шифров с преобразованием ключа, приведенных в разделе 4. Параметры s, т, N и Т* выбраны из соображений демонстрации особенностей работы алгоритмов.
А.1 Режим шифрования CTR-ACPKM для шифра «Магма»
В настоящем разделе приведены тестовые примеры работы режима шифрования CTR-ACPKM для шифра «Магма» со следующими входными данными:
- длина блока п — 64 бита;
- длина блока гаммы s — 64 бита;
- размер секции N— 128 бит;
- ключ К.
88 99 АА ВВ СС DD ЕЕ FF 00 11 22 33 44 55 66 77 FE DC ВА 98 76 54 32 10 01 23 45 67 89 АВ CD EF;
- вектор инициализации IV.
12 34 56 78;
- открытый текст М:
|
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
00 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
СО со |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
ОА |
|
11 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
ОА |
00 |
|
22 |
33 |
44 |
55 |
66 |
77 |
СО со |
99. |
Сообщение М разбивают на четыре секции М2, М3, М4, каждую из которых разбивают на блоки. Обработку данных производят в соответствии с таблицами А. 1.1—А. 1.4.
Таблица А. 1.1 — Обработка секции М1 в режиме CTR-ACPKM для шифра «Магма»
|
Секция М1 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
СО со |
|
Ключ К1 |
88 |
99 |
АА |
ВВ |
СС |
DD |
ЕЕ |
FF |
00 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
|
FE |
DC |
ВА |
98 |
76 |
54 |
32 |
10 |
01 |
23 |
45 |
67 |
89 |
АВ |
CD |
EF | |
|
Обработка |
1-го |
блока: | ||||||||||||||
|
Счетчик CTR.| |
12 |
34 |
56 |
78 |
00 |
00 |
00 |
00 | ||||||||
|
Блок гаммы |
ЗВ |
9А |
2Е |
АА |
BE |
78 |
ЗВ |
АВ | ||||||||
|
Блок открытого текста Р1 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 | ||||||||
|
Блок шифртекста С1 |
2А |
В8 |
1D |
ЕЕ |
ЕВ |
1Е |
4С |
АВ | ||||||||
|
Обработка |
2-го |
блока: | ||||||||||||||
|
Счетчик CTR2 |
12 |
34 |
56 |
78 |
00 |
00 |
00 |
01 | ||||||||
|
Блок гаммы |
97 |
OF |
D9 |
08 |
Об |
С1 |
0D |
62 | ||||||||
|
Блок открытого текста Р2 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 | ||||||||
|
Блок шифртекста С2 |
68 |
Е1 |
04 |
С4 |
BD |
6В |
94 |
ЕА | ||||||||
|
Таблица А. 1.2 — Обработка секции М2 в режиме CTR-ACPKM для шифра «Магма» | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Результатом зашифрования открытого текста М в режиме CTR-ACPKM в данном случае является строка q и с2 и... и су. 2А В8 1D ЕЕ ЕВ IE 4С АВ 68 Е1 04 С4 BD 6В 94 ЕА С7 2С 67 AF 6С 2Е 5В 6В 0Е AF Вб 17 70 F1 ВЗ 2Е А1 АЕ 71 14 9Е ED 13 82 АВ D4 67 18 06 72 ЕС 6F 84 А2 F1 5В 3F СА 72 С1. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
А.2 Режим шифрования CTR-ACPKM для шифра «Кузнечик»
В настоящем разделе приведены тестовые примеры работы режима шифрования CTR-ACPKM для шифра «Кузнечик» со следующими входными данными:
-длина блока п —128 бит;
-длина блока гаммы s — 128 бит;
- размер секции N — 256 бит;
- ключ К.
88 99 АА ВВ СС DD ЕЕ FF 00 11 22 33 44 55 66 77
FE DC ВА 98 76 54 32 10 01 23 45 67 89 АВ CD EF;
- вектор инициализации IV.
12 34 56 78 90 АВ СЕ F0;
8
P 1323565.1.017—2018
- открытый текст М:
11 22 33 44 55 66 77 00 FF ЕЕ DD СС ВВ АА 99 88
00 11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А
11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF ОА 00
22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF ОА 00 11
33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF ОА 00 11 22
44 55 66 77 88 99 АА ВВ СС ЕЕ FF ОА 00 11 22 33
55 66 77 88 99 АА ВВ СС ЕЕ FF ОА 00 11 22 33 44.
Сообщение М разбивают на четыре секции М^, М2, М3, М4, каждую из которых разбивают на блоки. Обработку данных производят в соответствии с таблицами А.2.1—А.2.4.
Таблица А.2.1 — Обработка секции М1 в режиме CTR-ACPKM для шифра «Кузнечик»
|
Секция М1 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
СО со |
|
00 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А | |
|
Ключ К”1 |
88 |
99 |
АА |
ВВ |
СС |
DD |
ЕЕ |
FF |
00 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
|
FE |
DC |
ВА |
98 |
76 |
54 |
32 |
10 |
01 |
23 |
45 |
67 |
89 |
АВ |
CD |
EF | |
|
Обработка |
1-го |
блока: | ||||||||||||||
|
Счетчик СТЯ?1 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
|
Блок гаммы |
Е0 |
В7 |
ЕВ |
FA |
94 |
68 |
Аб |
DB |
2А |
95 |
82 |
6Е |
FB |
17 |
38 |
30 |
|
Блок открытого текста Р1 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
Блок шифртекста С1 |
F1 |
95 |
D8 |
BE |
С1 |
0Е |
D1 |
DB |
D5 |
7В |
5F |
А2 |
40 |
BD |
А1 |
В8 |
|
Обработка |
2-го |
блока: | ||||||||||||||
|
Счетчик CTR2 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
01 |
|
Блок гаммы |
85 |
FF |
С5 |
00 |
В2 |
F4 |
58 |
2А |
7В |
А5 |
4Е |
08 |
F0 |
АВ |
21 |
ЕЕ |
|
Блок открытого текста Р2 |
00 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
|
Блок шифртекста С2 |
85 |
ЕЕ |
Е7 |
33 |
F6 |
А1 |
ЗЕ |
5D |
F3 |
ЗС |
Е4 |
ВЗ |
ЗС |
45 |
DE |
Е4 |
|
Таблица А.2.2 — Обработка секции М2 в |
режиме |
CTR-ACPKM для шифра « |
Кузнечик» | |||||||||||||
|
Секция М2 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
|
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 | |
|
Ключ К2 |
26 |
66 |
ED |
40 |
АЕ |
68 |
78 |
11 |
74 |
5С |
АО |
В4 |
48 |
F5 |
7А |
7В |
|
39 |
0А |
DB |
57 |
80 |
30 |
7Е |
8Е |
96 |
59 |
АС |
40 |
ЗА |
Е 6 |
ОС |
60 | |
|
Обработка |
3-го |
блока: | ||||||||||||||
|
Счетчик CTR3 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
02 |
|
Блок гаммы |
5А |
ЕС |
D8 |
СВ |
31 |
09 |
ЗВ |
DD |
99 |
BD |
BD |
ЕВ |
ВО |
7А |
Е2 |
00 |
|
Блок открытого текста Р3 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
|
Блок шифртекста С3 |
4В |
СЕ |
ЕВ |
8F |
64 |
6F |
4С |
55 |
00 |
17 |
Об |
27 |
5Е |
85 |
Е8 |
00 |
|
Обработка |
4-го |
блока: | ||||||||||||||
|
Счетчик CTR4 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
03 |
|
Блок гаммы |
7А |
4F |
09 |
АО |
0Е |
А7 |
1C |
АО |
94 |
F3 |
F8 |
41 |
2F |
8А |
50 |
57 |
|
Блок открытого текста Р4 |
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
|
Блок шифртекста С4 |
58 |
7С |
4D |
F5 |
68 |
D0 |
94 |
39 |
ЗЕ |
48 |
34 |
AF |
D0 |
80 |
50 |
46 |
|
Таблица А.2.3 — Обработка секции М3 в |
режиме |
CTR-ACPKM для шифра « |
Кузнечик» | |||||||||||||
|
Секция М3 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
|
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
33 | |
|
Ключ К3 |
ВВ |
3D |
D5 |
40 |
2Е |
99 |
9В |
7А |
3D |
ЕВ |
ВО |
DB |
45 |
44 |
8Е |
С5 |
|
30 |
F0 |
73 |
65 |
DF |
ЕЕ |
ЗА |
ВА |
84 |
15 |
F7 |
7А |
С8 |
F3 |
4С |
Е8 | |
|
Обработка |
5-го |
блока: | ||||||||||||||
|
Счетчик CTR5 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
04 |
Окончание таблицы А. 2.3
|
Блок гаммы |
FC |
74 |
АО |
10 |
F1 |
26 |
75 |
4В |
А7 |
30 |
82 |
СЕ |
61 |
8А |
98 |
4С |
|
Блок открытого текста Р5 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
|
Блок шифртекста С5 |
CF |
30 |
F5 |
76 |
86 |
АЕ |
ЕС |
Е1 |
1C |
FC |
6С |
31 |
6В |
8А |
89 |
6Е |
|
Обработка |
6-го |
блока: | ||||||||||||||
|
Счетчик CTR6 |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
05 |
|
Блок гаммы |
9В |
А8 |
61 |
9В |
09 |
AF |
9С |
FD |
со |
А1 |
С4 |
7Е |
34 |
32 |
34 |
0D |
|
Блок открытого текста Р6 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
33 |
|
Блок шифртекста С6 |
DF |
FD |
07 |
ЕС |
81 |
36 |
36 |
46 |
ОС |
4F |
ЗВ |
74 |
34 |
23 |
16 |
ЗЕ |
|
Т а б л и ц а А.2.4 — Обработка секции М4 в |
режиме |
CTR-ACPKM для шифра « |
Кузнечик» | |||||||||||||
|
Секция М4 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
33 |
44 |
|
Ключ К4 |
23 |
36 |
2F |
D5 |
53 |
СА |
D2 |
17 |
82 |
99 |
А5 |
В5 |
А2 |
D4 |
72 |
2Е |
|
ЗВ |
В8 |
ЗС |
73 |
0А |
8В |
F5 |
7С |
Е2 |
DD |
00 |
40 |
17 |
F8 |
С5 |
65 | |
|
Обработка |
7-го |
блока: | ||||||||||||||
|
Счетчик CTRj |
12 |
34 |
56 |
78 |
90 |
АВ |
СЕ |
F0 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
Об |
|
Блок гаммы |
31 |
6F |
DE |
4А |
1В |
50 |
73 |
18 |
87 |
2D |
2В |
Е7 |
ЕА |
F4 |
ED |
19 |
|
Блок открытого текста Р7 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
33 |
44 |
|
Блок шифртекста С7 |
64 |
09 |
А9 |
С2 |
82 |
FA |
С8 |
D4 |
69 |
D2 |
21 |
Е7 |
FB |
D6 |
DE |
5D |
Результатом зашифрования открытого текста М в режиме CTR-ACPKM в данном случае является строка
q и с2 и... и с7\
F1 95 D8 BE Cl 0Е D1 DB D5 7В 5F А2 40 BD A1 В8
85 ЕЕ Е7 33 F6 А1 ЗЕ 5D F3 ЗС Е4 ВЗ ЗС 45 DE Е4
4В СЕ ЕВ 8F 64 6F 4С 55 00 17 Об 27 5Е 85 Е8 00
58 7С 4D F5 68 D0 94 39 ЗЕ 48 34 AF D0 80 50 46
CF 30 F5 76 86 АЕ ЕС El 1C FC 6С 31 6В 8А 89 6Е
DF FD 07 ЕС 81 36 36 46 ОС 4F ЗВ 74 34 23 16 ЗЕ
64 09 А9 С2 82 FA С8 D4 69 D2 21 Е7 FB D6 DE 5D.
А.З Режим выработки имитовставки ОМАС-АСРКМ для шифра «Магма»
В настоящем разделе приведены тестовые примеры работы режима выработки имитовставки ОМАС-АСРКМ для шифра «Магма» со следующими входными данными: длина блока п — 64 бита; длина блока гаммы s — 64 бита; размер секции N— 128 бит; частота смены ключа Т* — 640 бит; ключ К.
88 99 АА ВВ СС DD ЕЕ FF 00 11 22 33 44 55 66 77
FE DC ВА 98 76 54 32 10 01 23 45 67 89 АВ CD EF.
А.3.1 Пример работы режима ОМАС-АСРКМ для шифра «Магма» с открытым текстом длины 1,5 блока
Открытый текст М длины 1,5 блока:
11 22 33 44 55 66 77 00 FF ЕЕ DD СС.
Сообщение М состоит из одной секции М^, которую разбивают на блоки.
При формировании ключевого материала вырабатывается строка К1 || К\ = ACPKM-Master (К, V, 1):
0D F2 F5 27 3D АЗ 28 93 2А С4 9D 81 D3 6В 25 58
А5 0D BF 9В ВС АС 74 Аб 14 В2 СС В2 F1 СВ CD 8А
70 63 8Е 3D Е8 ВЗ 57 1Е.
Обработку данных производят в соответствии с таблицей А.З. 1.1.
Т а б л и ц а А.З. 1.1 — Обработка секции М1 в режиме ОМАС-АСРКМ для шифра «Магма»
|
Секция М1 |
11 22 33 44 55 66 77 00 FF ЕЕ DD СС |
|
Ключ К1 |
0D F2 F5 27 3D АЗ 28 93 2А С4 9D 81 D3 6В 25 58 А5 0D BF 9В ВС АС 74 Аб 14 В2 СС В2 F1 СВ CD 8А |
|
Ключ К\ |
70 63 8Е 3D Е8 ВЗ 57 1Е |
|
Обработка 1-го блока: | |
|
Блок открытого текста Р1 |
11 22 33 44 55 66 77 00 |
|
Входной блокР1 ® С0 |
11 22 33 44 55 66 77 00 |
|
Выходной блок С1 |
АО 2В DO ID 04 5А 9Е 45 |
|
Обработка 2-го блока: | |
|
Ключ К' |
Е0 С7 1C 7В D1 66 АЕ ЗС |
|
Блок открытого текста Р2 |
FF ЕЕ DD СС 80 00 00 00 |
|
Входной блокР2 © С-| © К |
BF 02 11 АА 55 ЗС 30 79 |
|
Выходной блок С2 |
АО 54 0Е 37 30 АС ВС F3 |
Результатом вычисления имитовставки сообщения М в режиме ОМАС-АСРКМ в данном случае является строка С2:
АО 54 0Е 37 30 АС ВС F3.
А.3.2 Пример работы режима ОМАС-АСРКМ для шифра «Магма» с открытым текстом длины 5 блоков
Открытый текст М длины 5 блоков:
11 22 33 44 55 66 77 00 FF ЕЕ DD СС ВВ АА 99 88
00 11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А
11 22 33 44 55 66 77 88.
Сообщение М разбивают на три секции Mv М2, М3, каждую из которых разбивают на блоки.
При формировании ключевого материала вырабатывается строка К”1 || К\ || К2 || К|| К3 || К\ = АСРКМ-Master {К, Т, 3):
0D F2 F5 27 3D АЗ 28 93 2А С4 9D 81 D3 6В 25 58
А5 0D BF 9В ВС АС 74 Аб 14 В2 СС В2 F1 СВ CD 8А
70 63 8Е 3D Е8 ВЗ 57 IE 8D 38 26 D5 5Е 63 А1 67
Е2 40 66 40 54 7В 9F IF 5F 2В 43 61 2А АЕ AF DA
18 0В АС 86 04 DF Аб FE 53 С2 СЕ 27 0Е 9С 9F 52
68 DO FD BF El АЗ BD D9 BE 5В 96 DO A1 20 23 48
6Е FI 71 OF 92 4A E0 31 30 52 CB 5F CA 0B 79 IE
IB AB E8 57 6D OF ЕЗ A8.
Обработку данных производят в соответствии с таблицами А.3.2.1—А.3.2.3.
Таблица А.3.2.1 — Обработка секции М1 в режиме ОМАС-АСРКМ для шифра «Магма»
|
Секция М1 |
11 22 33 44 55 66 77 00 FF ЕЕ DD СС ВВ АА 99 88 |
|
Ключ К1 |
0D F2 F5 27 3D АЗ 28 93 2А С4 9D 81 D3 6В 25 58 А5 0D BF 9В ВС АС 74 Аб 14 В2 СС В2 FI СВ CD 8А |
|
Обработка 1-го блока: | |
|
Блок открытого текста Р1 |
11 22 33 44 55 66 77 00 |
|
Входной блокР1 ® С0 |
11 22 33 44 55 66 77 00 |
|
Выходной блок С1 |
АО 2В DO ID 04 5А 9Е 45 |
|
Обработка 2-го блока: | |
|
Блок открытого текста Р2 |
FF ЕЕ DD СС ВВ АА 99 88 |
|
Входной блок Р2 © С1 |
5F С5 0D D1 BF F0 07 CD |
|
Выходной блок С2 |
ID 61 FD 38 6F Е5 8Е 2F |
Таблица А.3.2.2 — Обработка секции М2 в режиме ОМАС-АСРКМ для шифра «Магма»
|
Секция М2 |
00 11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А |
|
Ключ К2 |
8D 38 26 D5 5Е 63 А1 67 Е2 40 66 40 54 7В 9F 1F 5F 2В 43 61 2А АЕ AF DA 18 0В АС 86 04 DF Аб FE |
|
Обработка 3-го блока: | |
|
Блок открытого текста Р3 |
00 11 22 33 44 55 бб 77 |
|
Входной блок Р3 ® С2 |
1D 70 DF 0В 2В ВО Е8 58 |
|
Выходной блок С3 |
Е7 9А Е5 A1 8F 11 24 6В |
|
Обработка 4-го блока: | |
|
Блок открытого текста Р4 |
88 99 АА ВВ СС ЕЕ FF 0А |
|
Входной блок Р4 ® С3 |
6F 03 4F 1А 43 FF DB 61 |
|
Выходной блок С4 |
АЗ IE 9В 72 1F 64 88 Е8 |
|
Т а б л и ц а А.3.2.3 — Обработка секции М3 в режиме ОМАС-АСРКМ для шифра «Магма» | ||||||||||||||||
| ||||||||||||||||
Результатом вычисления имитовставки сообщения М в режиме ОМАС-АСРКМ в данном случае является строка С5:
34 00 8D AD 54 96 ВВ 8Е.
А.4 Режим выработки имитовставки ОМАС-АСРКМ для шифра «Кузнечик»
В настоящем разделе приведены тестовые примеры работы режима выработки имитовставки ОМАС-АСРКМ для шифра «Кузнечик» со следующими входными данными:
-длина блока п — 128 бит;
- длина блока гаммы s — 128 бит;
- размер секции N — 256 бит;
- частота смены ключа Т* — 768 бит;
- ключ К.
88 99 АА ВВ СС DD ЕЕ FF 00 11 22 33 44 55 66 77
FE DC ВА 98 76 54 32 10 01 23 45 67 89 АВ CD EF.
А.4.1 Пример работы режима ОМАС-АСРКМ для шифра «Кузнечик» с открытым текстом длины 1,5 блока
Открытый текст М длины 1,5 блока:
11 22 33 44 55 66 77 00 FF ЕЕ DD СС ВВ АА 99 88
00 11 22 33 44 55 66 77.
Сообщение М состоит из одной секции М^, которую разбивают на блоки.
При формировании ключевого материала вырабатывается строка К1 || К\ = ACPKM-Master (К, V, 1):
ОС АВ FI F2 EF ВС 4А С1 60 48 DF 1А 24 Сб 05 В2
СО D1 67 3D 75 86 А8 ЕС 0D D4 2С 45 А4 F9 5В АЕ
OF 2Е 26 17 Е4 71 48 68 OF СЗ Еб 17 8D F2 С1 37.
Обработку данных производят в соответствии с таблицей А.4.1.1.
Т а б л и ц а А.4.1.1 — Обработка секции М1 в режиме ОМАС-АСРКМ для шифра «Кузнечик»
|
Секция M1 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
00 |
FF |
EE |
DD |
CC |
BB |
AA |
99 |
88 |
|
Ключ |
oc |
AB |
FI |
F2 |
EF |
BC |
4A |
Cl |
60 |
48 |
DF |
1A |
24 |
C6 |
05 |
B2 |
|
CO |
D1 |
67 |
3D |
75 |
CO |
A8 |
EC |
0D |
D4 |
2C |
45 |
A4 |
F9 |
5B |
AE | |
|
Ключ K\ |
OF |
2E |
26 |
17 |
E4 |
71 |
48 |
68 |
OF |
C3 |
E 6 |
17 |
8D |
F2 |
Cl |
37 |
|
Обработка 1-го блока: | |||||||||||||||
|
Блок открытого текста Р1 |
11 |
22 |
33 |
44 |
55 66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
Входной блокР1 ® С0 |
11 |
22 |
33 |
44 |
55 66 |
77 |
00 |
FF |
ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
Выходной блок С1 |
DD |
01 |
38 |
F4 |
86 С7 |
07 |
DA |
F7 |
F4 |
57 |
76 |
6D |
А4 |
78 |
ВО |
|
Обработка 2-го блока: | |||||||||||||||
|
Ключ К |
1Е |
5С |
4С |
2F |
С8 Е2 |
90 |
D0 |
IF |
87 |
СС |
2F |
1В |
Е5 |
82 |
6Е |
|
Блок открытого текста Р£ |
00 |
11 |
22 |
33 |
44 55 |
66 |
77 |
80 |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
|
Входной блок Р£ ® С1 ® К |
СЗ |
4С |
56 |
Е8 |
0А 70 |
F1 |
7D |
68 |
73 |
9В |
59 |
76 |
41 |
FA |
DE |
|
Выходной блок С2 |
В5 |
36 |
7F |
47 |
Вб 2В |
99 |
5Е |
ЕВ |
2А |
64 |
8С |
58 |
43 |
14 |
5Е |
Результатом вычисления имитовставки сообщения М в режиме ОМАС-АСРКМ в данном случае является строка С2:
В5 36 7F 47 Вб 2В 99 5Е ЕВ 2А 64 8С 58 43 14 5Е.
А.4.2 Пример работы режима ОМАС-АСРКМ для шифра «Кузнечик» с открытым текстом длины 5 блоков
Открытый текст М длины 5 блоков:
11 22 33 44 55 66 77 00 FF ЕЕ DD СС ВВ АА 99 88
00 11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А
11 22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А 00
22 33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А 00 11
33 44 55 66 77 88 99 АА ВВ СС ЕЕ FF 0А 00 11 22.
Сообщение М разбивают натри секции М^, М2, М3, каждую из которых разбивают на блоки. При формировании ключевого материала вырабатывается строка К”1 || К\ || К2 || К|| К3 || К\ = ACPKM-Master (К, V, 3):
ОС АВ FI F2 EF ВС 4А С1 60 48 DF 1А 24 Сб 05 В2
СО D1 67 3D 75 86 А8 ЕС 0D D4 2С 45 А4 F9 5В АЕ
OF 2Е 26 17 Е4 71 48 68 OF СЗ Еб 17 8D F2 С1 37
С9 DD А8 9С FF А4 91 FE AD D9 ВЗ ЕА В7 03 ВВ 31
ВС 7Е 92 7F 04 94 72 9F 51 В4 9D 3D F9 С9 46 08
00 FB ВС F5 ED ЕЕ 61 0Е АО 2F 01 09 ЗС 7В С7 42
D7 D6 27 15 01 В1 77 77 52 63 С2 АЗ 49 5А 83 18
А8 1C 79 АО 4F 29 66 0Е АЗ FD А8 74 Сб 30 79 9Е
14 2С 57 79 14 FE А9 0D ЗВ С2 50 2Е 83 36 85 D9.
Обработку данных производят в соответствии с таблицами А.4.2.1—А.4.2.3.
Таблица А.4.2.1 — Обработка секции М1 в режиме ОМАС-АСРКМ для шифра «Кузнечик»
|
Секция М1 |
11 |
22 |
33 |
44 |
55 66 77 |
00 |
FF ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
СО со |
|
00 |
11 |
22 |
33 |
44 55 66 |
77 |
88 99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А | |
|
Ключ К1 |
ОС |
АВ |
F1 |
F2 |
EF ВС 4А |
С1 |
60 48 |
DF |
1А |
24 |
Сб |
05 |
В2 |
|
со |
D1 |
67 |
3D |
75 86 А8 |
ЕС |
0D D4 |
2С |
45 |
А4 |
F9 |
5В |
АЕ | |
|
Обработка 1-го блока: | |||||||||||||
|
Блок открытого текста Р1 |
11 |
22 |
33 |
44 |
55 66 77 |
00 |
FF ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
Входной блокР1 © С0 |
11 |
22 |
33 |
44 |
55 66 77 |
00 |
FF ЕЕ |
DD |
СС |
ВВ |
АА |
99 |
88 |
|
Выходной блок С1 |
DD |
01 |
38 |
F4 |
86 С7 07 |
DA |
F7 F4 |
57 |
76 |
6D |
А4 |
78 |
ВО |
|
Обработка 2-го блока: | |||||||||||||
|
Блок открытого текста Р2 |
00 |
11 |
22 |
33 |
44 55 66 |
77 |
88 99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
|
Входной блок Р2 © С1 |
DD |
10 |
1А |
С7 |
С2 92 61 |
AD |
7F 6D |
FD |
CD |
А1 |
4А |
87 |
ВА |
|
Выходной блок С2 |
9С |
23 |
7F |
18 |
85 F8 07 |
64 |
0В 32 |
5В |
50 |
16 |
АВ |
ЕС |
AF |
Таблица А.4.2.2 — Обработка секции М2 в режиме ОМАС-АСРКМ для шифра «Кузнечик»
|
Секция М2 |
11 |
22 |
33 |
44 |
55 |
66 |
77 |
СО со |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
|
22 |
33 |
44 |
55 |
66 |
77 |
88 |
99 |
АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 | |
|
Ключ К2 |
С9 |
DD |
А8 |
9С |
FF |
А4 |
91 |
FE |
AD |
D9 |
ВЗ |
ЕА |
В7 |
03 |
ВВ |
31 |
|
ВС |
7Е |
92 |
7F |
04 |
94 |
72 |
9F |
51 |
В4 |
9D |
3D |
F9 |
С9 |
46 |
08 |
|
Обработка 3-го блока: | ||||||||||||
|
Блок открытого текста Р3 |
11 |
22 |
33 |
44 |
55 66 77 |
88 99 АА |
ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
|
Входной блок Р3 ® С2 |
8D |
01 |
4С |
5С |
DO 9Е 70 |
ЕС 92 98 |
Е0 |
9С |
F8 |
54 |
Еб |
AF |
|
Выходной блок С3 |
2F |
08 |
DE |
89 |
F1 34 1В |
F9 1F 24 |
2F |
88 |
94 |
Е5 |
4Е |
6F |
|
Обработка 4-го блока: | ||||||||||||
|
Блок открытого текста Р4 |
22 |
33 |
44 |
55 |
66 77 88 |
99 АА ВВ |
СС |
ЕЕ |
FF |
0А |
00 |
11 |
|
Входной блок Р4 ® С3 |
0D |
ЗВ |
9А |
DC |
97 43 93 |
60 В5 9F |
ЕЗ |
66 |
6В |
EF |
4Е |
7Е |
|
Выходной блок С4 |
80 |
2С |
DF |
АС |
40 FA 27 |
С2 FB 9В |
2Е |
70 |
22 |
39 |
1D |
84 |
|
Т а б л и ц а А.4.2.3 — Обработка секции М3 |
в режиме ОМАС-АСРКМ для шифра « |
Кузнечик» | ||||||||||
|
Секция М3 |
33 |
44 |
55 |
66 |
77 88 99 |
АА ВВ СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
|
Ключ К3 |
D7 |
D6 |
27 |
15 |
01 В1 77 |
77 52 63 |
С2 |
АЗ |
49 |
5А |
83 |
18 |
|
А8 |
1C |
79 |
АО |
4F 29 66 |
0Е АЗ FD |
А8 |
74 |
Сб |
30 |
79 |
9Е | |
|
Ключ К~{ |
14 |
2С |
57 |
79 |
14 FE А9 |
0D ЗВ С2 |
50 |
2Е |
83 |
36 |
85 |
D9 |
|
Обработка 5-го блока: | ||||||||||||
|
Ключ К |
14 |
2С |
57 |
79 |
14 FE А9 |
0D ЗВ С2 |
50 |
2Е |
83 |
36 |
85 |
D9 |
|
Блок открытого текста Р5 |
33 |
44 |
55 |
66 |
77 88 99 |
АА ВВ СС |
ЕЕ |
FF |
0А |
00 |
11 |
22 |
|
Входной блок Яд © С4 ® К |
А7 |
44 |
DD |
ВЗ |
23 8С 17 |
65 7В 95 |
90 |
А1 |
АВ |
0F |
89 |
7F |
|
Выходной блок С5 |
FB |
В8 |
DC |
ЕЕ |
45 BE Аб |
7С 35 F5 |
8С |
57 |
00 |
89 |
8Е |
5D |
Результатом вычисления имитовставки сообщения М в режиме ОМАС-АСРКМ в данном случае является строка С5:
FB В8 DC ЕЕ 45 BE Аб 7С 35 F5 8С 57 00 89 8Е 5D.
14
P 1323565.1.017—2018
Приложение Б (справочное)
Контрольные примеры работы алгоритмов экспорта КЕхр15 и импорта К1тр15 ключа
В данном приложении представлены контрольные примеры работы алгоритмов экспорта и импорта ключей, приведенных в разделе 5, со следующими входными данными:
- ключ К.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Б.1 Алгоритмы экспорта КЕхр15 и импорта К1тр15 ключа для шифра «Магма» Вектор инициализации IV. 67 BE D6 54. KEY MAC'. 75 А7 66 18 Е9 OF 49 73. KEXP = КЕхрЩК, KE^fc, K^c, IV)'. CF D5 A1 2D 5В 81 B6 El E9 9C 91 6D 07 90 ОС 6A Cl 27 03 FB ЗА BD ED 55 56 7B F3 74 2C 89 9C 75 5D AF E7 B4 2E ЗА 8B D9. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Б.2 Алгоритмы экспорта KExp15 и импорта Klnip15 ключа для шифра «Кузнечик»
Вектор инициализации IV.
09 09 47 2D D9 F2 6В Е8.
KEYMAC'.
|
10 |
02 |
2А |
DE |
94 |
ЕЕ |
55 |
В4 |
34 |
D2 |
07 |
7F |
5А |
13 |
AF |
F4 |
|
КЕХР-- |
= КЕхрЩК, |
, IV) | |||||||||||||
|
ЕЗ |
61 |
84 |
Е8 |
4Е |
8D |
73 |
6F |
F3 |
6С |
С2 |
Е5 |
АЕ |
Об |
5D |
С6 |
|
56 |
В2 |
ЗС |
20 |
F5 |
49 |
ВО |
2F |
DF |
F8 |
8Е |
1F |
3F |
30 |
D8 |
С2 |
|
9А |
53 |
F3 |
СА |
55 |
4D |
ВА |
D8 |
0D |
Е1 |
52 |
В9 |
А4 |
62 |
5В |
32 |
15
Приложение В (рекомендуемое)
Пример параметров режима шифрования CTR-ACPKM
В принятых в настоящее время в Российской Федерации принципах разработки средств криптографической защиты информации содержатся рекомендации по использованию дополнительных мер по защите криптографически опасной информации. Данные меры должны противостоять атакам, использующим каналы распространения информативных сигналов (см. приложение А Р 1323565.1.012—2017). Ктаким мерам относительно рассматриваемых в настоящих рекомендациях режимов работы блочных шифров могут быть отнесены, в частности, ограничение числа блоков, которые могут быть преобразованы на одном секретном ключе, и ограничение количества сообщений, обрабатываемых с использованием одного секретного ключа.
Перечисленные ограничения необходимо устанавливать в соответствии с определяемым в Р 1323565 классом средства криптографической защиты, с учетом используемых криптографических механизмов, условий эксплуатации и возможностей, которые могут быть использованы для проведения атак на средство защиты. При этом ограничения целесообразно устанавливать согласованным образом для каждого класса криптографических механизмов.
Кроме того, приводятся возможные значения параметров режима шифрования CTR-ACPKM при его реализации в криптографических протоколах, в том числе и в протоколе безопасности транспортного уровня (TLS).
Для средств криптографической защиты информации классов КС1, КС2 и КСЗ (см. раздел 4 Р 1323565.1.012—2017), а также средств, которые не подпадают под действие [1], допустимым является использование следующих ограничений:
- при использовании алгоритма блочного шифрования «Магма» объем преобразованной на одном секретном ключе информации не должен превышать 4 Мбайт (524 288 блоков);
- размер N одной секции режима CTR-ACKPM полагается равным 1 Кбайт (128 блоков).
Из указанных ограничений следует, что число сообщений, которые могут быть обработаны на одном секретном ключе К, не должно превышать 4096. При этом длины сообщений дополнительно не ограничены.
Для средств криптографической защиты информации классов КВ и КА допустимым является использование следующих ограничений:
- при использовании алгоритма блочного шифрования «Кузнечик» объем обработанной на одном секретном ключе информации не должен превышать 256 Кбайт (16 384 блока);
- размер N одной секции режима CTR-ACKPM полагается равным 4 Кбайт (256 блоков).
Из указанных ограничений следует, что число сообщений, которые могут быть преобразованы на одном секретном ключе К, не должно превышать 64. При этом длины сообщений дополнительно не ограничены.
16
P 1323565.1.017—2018Содержание
1 Область применения....................................................................................................................................1
2 Нормативные ссылки....................................................................................................................................1
3 Обозначения.................................................................................................................................................1
4 Режимы работы блочных шифров с преобразованием ключа..................................................................2
4.1 Режим шифрования CTR-ACPKM.........................................................................................................3
4.2 Режим выработки имитовставки ОМАС-АСРКМ..................................................................................4
5 Алгоритмы экспорта КЕхр15 и импорта К1тр15 ключа.............................................................................5
Приложение А (справочное) Контрольные примеры для режимов работы блочных
шифров с преобразованием ключа.....................................................................................7
Приложение Б (справочное) Контрольные примеры работы алгоритмов экспорта
КЕхр15 и импорта К1тр15 ключа.......................................................................................15
Приложение В (рекомендуемое) Пример параметров режима шифрования CTR-ACPKM....................16
Библиография................................................................................................................................................17
Библиография
[1] Приказ ФСБ России от 9 февраля 2005 г. № 66 (в редакции приказа ФСБ России от 12 апреля 2010 г. № 173) «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005)»
17
Введение
Настоящие рекомендации содержат описание двух режимов работы блочных шифров с внутренним преобразованием ключа и алгоритмов импорта и экспорта ключей, сопутствующих применению алгоритмов блочного шифрования по ГОСТ Р 34.12-2015 и режимов их работы согласно ГОСТ Р 34.13-2015.
Необходимость разработки настоящих рекомендаций вызвана потребностью в обеспечении совместимости криптографических протоколов, использующих алгоритмы ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015.
Примечание — Основная часть настоящих рекомендаций дополнена приложениями А—В.
IV
Р 1323565.1.017—2018
ПО СТАНДАРТИЗАЦИИ
РЕКОМЕНДАЦИИ
Информационная технология
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Криптографические алгоритмы, сопутствующие применению алгоритмов
блочного шифрования
Information technology. Cryptographic data security.
Cryptographic algorithms accompanying the use of block ciphers
Дата введения — 2018—10—01
1 Область применения
Настоящие рекомендации предназначены для применения в информационных системах, использующих механизмы защиты данных, определенных в ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015, в общедоступных и корпоративных сетях для защиты информации, не содержащей сведений, составляющих государственную тайну.
2 Нормативные ссылки
В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры
ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров
Р 1323565.1.012—2017 Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации
Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Обозначения
В настоящих рекомендациях используют следующие обозначения:
V* — множество всех двоичных строк конечной длины, включая пустую строку;
\/s — множество двоичных строк длины s, s > 0; нумерация подстрок и компонент
строки осуществлена справа налево начиная с единицы;
Издание официальное
'>s
Bs
‘2s
множество всех двоичных строк длины / > s, где s — целое неотрицательное
s—1
число: V>s = V \ У V/ ;
/=о
множество байтовых строк длины s, s > 0; нумерация компонент строки осуществлена слева направо начиная с единицы. Строка b = (b^ bs)
принадлежит множеству Bs, если компоненты ft.,, bs е {0, 255}. При s = 0
множество Bs состоит из единственной пустой строки длины 0;
конкатенация двоичных строк; если а = (а1,..., е \/s , р = (|31,..., Ps) е \/s ,тоих конкатенацией а || р называется строка у = (оц, ..., о,, Ps , ..., р.,) е Vs +s^
операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины;
кольцо вычетов по модулю 2s;
Ш
s
операция сложения в кольце Z2S;
а < г
М
Гх1
операция логического сдвига двоичной строки а на г компонент в сторону компонент, имеющих большие номера;
длина битовой строки а;
наименьшее целое число, большее или равное х;
Ек-Vn^Vn
п
к
ar
отображение, реализующее базовый алгоритм блочного шифрования на ключе К;
параметр алгоритма блочного шифрования, называемый длиной блока. В рамках настоящих рекомендаций измеряется в битах;
параметр алгоритма блочного шифрования, называемый длиной ключа. В рамках настоящих рекомендаций измеряется в битах и принимает значение 256;
строка, состоящая из г элементов а е {0,1};
lnts- Vs -> Z2S
\/ecs: Z2S -> Vs lncsVs^Vs
MSBf. vis -> vt
Bytes: VQs —> Bs
отображение, ставящее в соответствие двоичной строке а = (а5, ..., е \/s число lnts(а) = 2s-1 as + ... + 2°^;
отображение, обратное к отображению lnts;
отображение, ставящее в соответствие двоичной строке a = (as,..., е \/s строку Vecs(lnts(n) ffls1);
отображение, ставящее в соответствие двоичной строке a = (as, ..., a.|) е \/s строку MSBt(n) = (as, ..., as_f+1) е Vt, 1 < t < s;
отображение, ставящее в соответствие двоичной строке a = (a8s, ..., е \/8s байтовую строку b = {bv...,b^e BSJ где b;= /nf8((a8(s+1_i},..., a8(s+1_i}_7)), / = 1,.... s. При этом строка b называется байтовым представлением двоичной строки а, а ее элементы Ь1, ..., bs — байтами.
Примечание — В настоящих рекомендациях при записи байтовой строки каждый байт представлен в шестнадцатеричном виде и отделен от соседних пробелами. Предполагается, что двоичной строке а е V8s соответствует байтовая строка b = Bytes(а) и наоборот. Например, двоичная строка 1100101100011000 соответствует байтовой строке св 18.
4 Режимы работы блочных шифров с преобразованием ключа
Настоящие рекомендации определяют следующие режимы работы алгоритмов блочного шифрования, которые используют в процессе своей работы функции АСРКМ и ACPKM-Master.
- режим шифрования CTR-ACPKM;
- режим выработки имитовставки ОМАС-АСРКМ.
Данные режимы можно использовать в качестве режимов для блочных шифров «Магма» или «Кузнечик», определенных в ГОСТ Р 34.12-2015. В первом случае подразумевается, что в качестве отображения Ек использован блочный шифр «Магма» с длиной блока п = 64; во втором случае подразумевается, что в качестве отображения Ек использован блочный шифр «Кузнечик» с длиной блока п = 128.
2
P 1323565.1.017—2018
Использование двух разных блочных шифров в рамках одного режима работы алгоритма блочного шифрования не допускается. Использование двух одинаковых ключей для режима шифрования CTR-ACPKM и режима выработки имитовставки ОМАС-АСРКМ в рамках одной криптосистемы не допускается, при этом должна быть обеспечена независимость данных ключей.
4.1 Режим шифрования CTR-ACPKM
При обработке сообщений в режиме CTR-ACPKM каждое сообщение разбивают на секции, где под секцией понимается строка, состоящая из данных, обрабатываемых на одном секционном ключе до применения к нему функции АСРКМ, определенной в 4.1.1.
Параметром, определяющим порядок функционирования режима CTR-ACPKM, является длина секции N. Значение N выражено в битах и фиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и нагрузке на ключ. Длина секции N должна быть кратна длине блока п используемого блочного шифра. Дополнительный параметр режима CTR-ACPKM — это длина блока гаммы s, 0 < s < п, выраженная в битах. Величина s должна делить длину блока п.
Процесс обработки сообщений в режиме CTR-ACPKM схематично представлен на рисунке 1.
^АСРКМ^^-
к2
^АСРКМ^
к' =к
к1™
м'
Л/Г
ми
|
ft max |
|
обозначена максимальная длина сообщения, |
Рисунок 1 — Обработка сообщений в режиме CTR-ACPKM
При
битах, /тах
мечание — На рисунке 1 через т
= Гттах/Л/1.
max
выраженная в
При обработке каждого сообщения М= MJ,j =1,2, ..., в режиме CTR-ACPKM сообщение разбивают на / = Г|Л4|/Л/1 секций и представляют в виде М = М1 || М2 || ... || Mh где Mi е VN, / = 1,2, ..., / - 1, M, е Vw, w< N. Первую секцию каждого сообщения обрабатывают на секционном ключе К1, который равен начальному ключу К. Для обработки /'-ой секции каждого сообщения, / = 2, ..., /, используют секционный ключ К, который вычисляют из значения ключа Км с помощью функции АСРКМ.
Результатом зашифрования сообщения М длины т в режиме CTR-ACPKM на начальном ключе К с длиной секции N и вектором инициализации /(/является строка С, |С| = |М|, которая формируется по следующей схеме:
q = Г mis, /1= Гт/Л/1;
М=Р) || Р2 || ... || Pq, Pi eVsJ= 1,2, ..., q- 1, P Vr r< s;
CTR, = IV || 0n/2;
CTRj = lncn{CTRj_y), / = 2,3, ..., q; ...
К1 = K; (1)
K^ACPKMCKH^v^, 3, ...,/;
C( = Pi ф MSB^iE^iCTRi)), /=1,2, ..., q, j = i ■ s/N;
' C= С) || ... || C^.
При использовании режима CTR-ACPKM не требуется применение процедуры дополнения сообщения.
Длина т сообщения, обрабатываемого в режиме CTR-ACPKM, не должна превышать значения 2п12~] ■ s бит.
Для обработки каждого отдельного сообщения в режиме CTR-ACPKM на одном начальном ключе К использовано значение уникальной синхропосылки IV е Vn/2.
3
4.1.1 Функция ACPKM
Функция ACPKM принимает на вход ключ К*-1 длины к бит и преобразует его в ключ К! той же длины. Функция ACPKM определяется в зависимости от используемого блочного шифра «Магма» или «Кузнечик», определенного в ГОСТ Р 34.12-2015, следующим образом:
К = АСРКМ(К~1 ) = EK,_i(D1)||... || EK/_i(Dj) , (2)
где J = kin, D1 || ... || Dj = D, D1, ..., Dj e Vn, а константа D e Vk задана следующим образом:
D= 80 81 82 83 84 85 86 87 88 89 8A 8B 8C 8D 8E 8F 90 91 92 93 94 95 96 97 98 99 9A 9B 9C 9D 9E 9F.
4.2 Режим выработки имитовставки ОМАС-АСРКМ
При вычислении имитовставки сообщения в режиме ОМАС-АСРКМ каждое сообщение разбивают на секции, где под секцией понимается строка, состоящая из данных, обрабатываемых на одном секционном ключе до применения к нему функции ACPKM-Master, определенной в 4.2.1.
При формировании имитовставки в режиме ОМАС-АСРКМ начальный ключ К не используют непосредственно для обработки данных и задействуют только для порождения последовательности секционных ключей. Параметрами, определяющими порядок функционирования режима ОМАС-АСРКМ, является длина секции N и частота Т смены мастер-ключей, обозначенных на рисунке 2 К*, К£, ..., К* Параметры N и 7* выражены в битах. Значения N и Г фиксируют в рамках каждого конкретного протокола исходя из требований к производительности системы и нагрузке на ключ. Длина секции N должна быть кратна длине блока п используемого блочного шифра. Частота смены ключа Т должна быть кратна к + п. Дополнительный параметр режима ОМАС-АСРКМ — это длина имитовставки s, 0 < s < п, выраженная в битах.
ACPKM
f
|
К[1] K[t] K[f + 1] K[2f] KKW-^f-M] K[lmax-t] |
|
Рисунок 2 — Обработка сообщений в режиме ОМАС-АСРКМ |
Процесс обработки сообщений в режиме ОМАС-АСРКМ схематично представлен на рисунке 2.
Примечание — На рисунке 2 через mmax обозначена максимальная длина сообщения, выраженная в битах, /тах = Гттах/Л/ ■ t],t= ТЧ{к + п).
При обработке сообщения Mi длины m в режиме ОМАС-АСРКМ на начальном ключе К сообщение разбивают на / = Г\MI\IN\секций и представляют в виде Mi = М/ || Mj ... || М/, где М/е VN, / = 1,2, ..., ...,/-1, Mjie Vw, w< N. Для обработки секции из начального ключа К с помощью функции ACPKM-Master вырабатывается последовательность ключевого материала секций К[1] = {К1, К^}, К[2] = {К2, К^}, ..., ..., Щ = {К1, К\}. Каждая /-я секция, / = 1,2, ..., / - 1, обрабатывается на ключе К. Для обработки последней 1-й секции использованы ключ К1 и вспомогательный ключ К^.
4
P 1323565.1.017—2018
Результатом вычисления имитовставки сообщения М длины т в режиме ОМАС-АСРКМ на начальном ключе К с длиной секции N и частотой смены ключа Т является строка MAC длины s, которая формируется по следующей схеме:
q = Г min], 1 = Гт/Л/1;
M = Pi ||Р2||...||Рс?,Р/е Vn, / = 1,2, q-*\, Рqe Vpr<n-
С=С! || ... || С К1 II К\ II ... II К1 II К\ = ACPKM-Master (К, 7*, /);
\к[ « 1, если MSB, [к[) = 0 \К\ < 11©ВП, иначе
где В64 = О59 11 11011, В128 = О120 || 10000111;
(3)
\к{, если г = п к' = \ ; уК2, если г < п
п/Л/1;
п/Л/1;
Cq - 0л'
Cj = ЕК>(Р, © См), / = 1,2, ..., q- 1, j = i ■ \Pq! если г = n
4 ~ [Pq IИI|0n“1“^ если r <n
MAC = MSBs(EKi(P*q 0 Cq_^ © K’)).
Длина m сообщения, обрабатываемого в режиме ОМАС-АСРКМ, не должна превышать значения
2^-1. 6ит
к + п
Очередная часть ключевого материала секции K[i\ может быть вычислена по мере необходимости при поступлении данных на вход (может обеспечиваться потоковый режим обработки данных).
4.2.1 Функция ACPKM-Master
Функция ACPKM-Master принимает на вход начальный ключ К длины к бит, параметр частоты смены мастер-ключа Т и количество элементов / в последовательности ключевого материала секций, которые необходимо выработать. Функция ACPKM-Master задана в соответствии с выбранным блочным шифром «Магма» или «Кузнечик», определенным в ГОСТ Р 34.12-2015, следующим образом:
ACPKM-Master (К, Г, I) = К1 || К\ || ... || К11| К\ = CTR-ACPKM (К, Г, 1п/2, 0/ (/с+'7)), (4)
где е Vk, К\ е Vn, / е {1,2, ..., /}, CTR-ACPKM (К, Л/, IV, М) является функцией зашифрования в режиме CTR-ACPKM, которая принимает на вход ключ К, размер секции Л/, значение вектора инициализации IV е Vnl2 и сообщение М.
5 Алгоритмы экспорта КЕхр15 и импорта К1тр15 ключа
В данном разделе приведены алгоритмы экспорта и импорта ключа, использующие в своей работе один из блочных шифров, определенных в ГОСТ Р 34.12-2015 («Магма» или «Кузнечик»).
Входными параметрами алгоритма экспорта ключа КЕхр15 являются экспортируемый ключ К е V*, ключ вычисления имитовставки ^ЕмЛс е Vk, ключ шифрования К^с е Vk и значение IV е Vn/2. При этом должна быть обеспечена независимость ключей кЕмДс и Экспортное представление
ключа К формируется по следующей схеме:
- вычисляют значение имитовставки KEYMAC длины п бит:
KEYMAC = ОМАС (КЕ^С, IV || К), (5)
где ОМАС (К, М) — функция выработки имитовставки, описанная в ГОСТ Р 34.13-2015, на ключе К от данных М;
- вычисляют значение КЕХР\
КЕХР = епсКеу || епсКеуМАС = CTR (К^с, IV, К || KEYMAC), (6)
5
где \encKey\ = \К\, \епсКеуМАС\ = \KEYMAC\, CTR (К, IV, М) — функция зашифрования в режиме гамми-рования с длиной блока гаммы s = п, представленном в ГОСТ Р 34.13-2015, принимающая на вход ключ К, вектор инициализации IVи данные М
- результат работы алгоритма экспорта ключа К называется экспортным представлением ключа К, обозначается через КЕхр)5(К, КЕМЬ’ К1з$С’ IV) и полагается равным строке КЕХР:
КЕхр15(К, КЕ^С, Kffib, IV) = КЕХР. (7)
Импорт ключа по алгоритму К1тр15 (получение ключа К по экспортному представлению КЕХР с помощью ключей КЕ^С, К^с е Vk и значения IV е Vn/2) осуществляется по следующей схеме:
- строка КЕХР расшифровывается на ключе К^с в соответствии с режимом гаммирования с длиной блока гаммы s = п, приведенным в ГОСТ Р 34.13-2015, при этом вектор инициализации полагается равным IV. Строка К || KEYMAC полагается равной результату расшифрования;
- вычисляют значение имитовставки длины п бит в соответствии с режимом выработки имитов-ставки, указанным в ГОСТ Р 34.13-2015, от данных IV || К на ключе КЕ^С. Если результат отличен от KEYMAC, возвращается ошибка;
- результат работы алгоритма импорта ключа от его экспортного представления КЕХР обозначается через Klmp15(КЕХР, kEmJ?C’ ^е(/С’ IV) и полагается равным строке К:
Klmp15(КЕХР, КЕ^С, К^с, IV) = К. (8)
В рамках применения одной и той же пары ключей (КЕ^С, К^с) значения IV, используемые в качестве входных параметров алгоритма экспорта ключа КЕхр15, должны быть уникальными. Для выработки этих значений может быть использован детерминированный счетчик. Для осуществления импорта ключа в соответствии с алгоритмом К1тр15 каждое значение IVдолжно либо передаваться вместе с экспортным представлением ключа, либо являться предварительно распределенным значением.
Допускается применение алгоритмов экспорта KExpl 5 и импорта Klmpl 5 к ключу К произвольного криптографического алгоритма.
6