ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Протокол защищенного обмена для индустриальных систем

Издание официальное

Москва

Стамдартмиформ

2020

Предисловие

1    РАЗРАБОТАНЫ Открытым акционерным обществом «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2019 г. Ne 1504-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

©Стандартинформ. оформление. 2020

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

И

ContextLength — сумма байтовых длин значений SN, Node и CS;

-    OutputLength = 512. где

OutputLength — необходимая битовая длина вырабатываемого ключевого материала;

-    oL - byte (OutputLength. 2).

Для какого числа / = 1.....8    вычисляют    64-битные величины:

К, = СМАС (Keybyte(iJ)\\Label\\aL\\SN\\Node\\by\e(CSJ)\\cL\\oL).

Ключи шифрования и и митоза щиты сообщения вычисляют как

Кмас = ^к111*211'<з11'<4;

^KENC^=K5H^K6ll^K7ll^K8

7.2 Набор MAGMA-NULL-CMAC: CS=2

Таблица 4 — Описание криптографического набора MAGMA-NULL-CMAC

Параметр Значение EncryptionAIg He используется MACAIg Блочный шифр «Магма* согласно ГОСТ Р 34 12—2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 MACLength 4 байта DerivelV Не используется DenveKey См описание далее

7.2.1    Имитовставка

Для вычисления имитовставки ICV, содержащейся в поле ICV CRISP-сообщения, используют блочный шифр «Магма» согласно ГОСТ Р 34.12-2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015. В качестве ключа используют ключ имитозащиты сообщения К_МАС. Значение входного параметра режима выработки имитовставки s = 32. Криптографическое дополнение данных для режима выработки имитовставки выполняют согласно ГОСТ Р 34.13-2015.

7.2.2    Ключ

Для выработки производного ключа имитозащиты сообщения используют функцию

СМАС (Key,Data),

которую реализуют с помощью блочного шифра «Магма» согласно ГОСТ Р 34.12-2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64. Криптографическое дополнение для режима выработки имитовставки выполняют согласно ГОСТ Р 34.13-2015.

Для выработки производного ключа имитозащиты сообщения вычисляют следующие величины:

-    Key— инициализируют базовым ключом К;

-    Label = binary (‘macmac’, 6);

-aL- byte (6.1);

-    SN= 0⁵\\MSB₃₅(byte(SeqNum, 6)). где

SeqNum инициализируют значением SeqNum CRISP-сообщения:

-    Node = Sourceldentifier, где

Sourceldentifier инициализируют значением идентификатора отправителя;

-    CS — инициализируют значением CS CRISP-сообщения;

-    cL = byle (Context Length, 2). где

ContextLength — сумма байтовых длин значений SN. Node и CS;

-    OutputLength = 256, где

OutputLength — необходимая битовая длина вырабатываемого ключевого материала;

-    oL - byte (OutputLength. 2).

Для каждого числа / = 1.....4 вычисляют 64-битные величины:

К/ - СМАС (Кеу.Ьу1е(/, mLabel\\aL\\SN\\Node\\by\e(CS, 1)||cL||oL).

Ключ имитозащиты сообщения вычисляют как

*мас = Killfyi/yiK*

Приложение A (справочное)

Контрольные примеры

Приводимые ниже значения Sourseldenlifter. Keyld. SeqNum и базового ключа К рекомендуется использовать только для проверки корректной работы конкретной реализации алгоритмов, описанных в настоящих рекомендациях Все числовые значения приведены в шестнадцатеричной системе счисления,

В данном приложении двоичные строки из У*, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации («||») опускается То есть строка а е V_4f будет представлена в виде а_г_ ,а_г_ ₂ а₀, где а₍€{0,1... ,9. a. b. с, d. a, /}, /' = 0,1,..., г- 1. Соответствие между двоичными строками длины 4 и шестнадцатеричными строками длины 1 задается естественным образом (таблица А 1)

Преобразование, ставящее в соответствие двоичной строке длины 4г шестнадцатеричную строку длины г, и соответствующее обратное преобразование для простоты записи опускается.

Таблица А1 — Соответствие между двоичными и шестнадцатеричными строками

Двоичная запись	Шестнадцатеричная запись
0000	0
0001	1
0010	2
0011	3
0100	4
0101	5
0110	6
0111	7
1000	8
1001	9
1010	а
1011	Ь
1100	с
1101	d
1110	е
1111	f

Примечание — Символ «\\», приведенный в А 1 и А2, обозначает перенос числа на новую строку.

А.1 Набор MAGMA-CTR-CMAC: CS - 1

Для формирования сообщения используются следующие значения

ExtemalKeyldFlag = 1

Version = 0

CS = 01₁₆

Keyld = 30_1в

SeqNum = 04>76е6736001_1в Sourseldentifier = 303230353138303030303031_t6 К = 56509427153249653498524659324653W

04532945346593845073249576351290,₆ Исходное сообщение PayloadData 48692120546869732069732074657374W 20666/72204352495350206d65737361\\

6765730а03₁₆

На основе исходных данных получаются следующие значения ключа имитозащиты К^_с. ключа шифрова-ния K_ENC. зашифрованного сообщения и имитовставки ICV.

К_шс = eeb0f68‘\4257ad08984eabe5e0993d38\\

62afc2ada24e8362c*455d606951 /2d93,₆ ^KENC = «3316ad28c788c38datoe69388e2346d\\

30e5c901 еееб 1788cdc1 ec5d6315e1 a7_ie ICV= 887Юа32,₆ Зашифрованное сообщение 6324643аеЮ97693618Ф343а2Фэ477е\\ c704cd8d14ас1 cf7Aceb25577af8fc2c\\

25/а9050а1₁₆

Итоговое сообщение будет иметь следующий вид 800001300676е6736001 \\ d324643aefa9769361£k/343a2№a477a\\

C704cd8d1 4ec1 cf7Aceb25577af8fc2c\\

25fe9050e1\\

887Юа32₁₆

А.2 Набор MAGMA-NULL-CMAC: CS - 2

Для формирования сообщения используются следующие значения

ExtemalKeyldFtag = 1

Version = 0

CS = 02₁₆

Key Id = 30₁₆

SeqNum = 0676е66еа001_1в Sourseldenlifier = 303230353138303030303031₁₆ К = 56509427153249653498524659324653U 04532945346593845073249576351290_1в Исходное сообщение PaytoadData 48692120546869732069732074657374W 20666/72204352495350206d65737361\\

6765730а03,_в

На основе исходных данных получаются следующие значения ключа имитозащиты К_мАС и имитовставки ICV К_шс = c3e3780/87/2ca/539«ad56d9c60340\\

Ь1052c0ae8272ddc9601 с921 /81 а7са56, ₆ ICV= b97ade9A₁₆

Итоговое сообщение будет иметь следующий вид 80000230067 беббваО01 \\

48692120546869732069732074657374W 20666/72204352495350206d65737361\\

6765730в03\\

697ade94,₆

УДК 661.3.06:006.354    ОКС    35.    040

Ключевые слова: криптографические протоколы, аутентификация, шифрование, защита от навязывания повторных сообщений, ключ

Ю

Редактор Н В Таланова Технический редактор В Н. Прусакова Корректор О В Лазарева Компьютерная верстка Е О Асташина

Сдано в набор 14 01 2020. Подписано в печать 20 02 2020. Формат 60>84V₈. Гарнитура Ариал

Уел. печ л. 1.86. Уч -изд л. 1.68 Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении во ФГУП «СТАНДАРТИНФОРМ» для комплектования Федерального информационного фонда стандартов, 117418 Москва, Нахимовский пр-т, д 31, к 2.

WWW goslinfo ru mfo@goslinto ru

Содержание

1    Область применения....................................................................................................................................1

2    Нормативные ссылки....................................................................................................................................1

3    Термины, определения и обозначения.......................................................................................................1

3.1    Термины и определения........................................................................................................................1

3.2    Обозначения............................................................................................................................................2

4    Состав CRISP-сообщения............................................................................................................................2

4.1    ExternalKeyldFlag....................................................................................................................................3

4.2    Version.....................................................................................................................................................3

4.3    CS............................................................................................................................................................3

4 .4 Key Id........................................................................................................................................................4

4.5    SeqNum...................................................................................................................................................4

4.6    PayloadData..............................................................................................................................................4

4.7    ICV...........................................................................................................................................................4

5    Ограничения..................................................................................................................................................4

6    Обработка CRISP-сообщения.....................................................................................................................5

6.1    Инициализация порядкового номера сообщения и окна принятых сообщений...............................5

6.2    Защита исходного сообщения отправителем.......................................................................................5

6.3    Восстановление исходного сообщения получателем..........................................................................5

7    Криптографические наборы.........................................................................................................................6

7.1    Набор МAGMA-CTR-CMAC: CS=1.........................................................................................................6

7.2    Набор MAGMA-NULL-CMAC: CS=2.......................................................................................................7

Приложение А (справочное) Контрольные примеры....................................................................................8

Введение

Настоящие рекомендации содержат описание протокола CRISP — CRyptographic Industrial Security Protocol — неинтерактивного протокола защищенной передачи данных, разработанного для применения в индустриальных системах. Протокол CRISP может быть использован для обеспечения конфиденциальности и имитозащиты сообщений и для защиты от навязывания повторных сообщений.

Протокол CRISP реализует защиту исходных сообщений путем их опционального шифрования, а также снабжения дополнительными данными, в частности, для обеспечения имитозащиты сообщений и для защиты от навязывания повторных сообщений с использованием криптографических методов.

Протокол CRISP не предназначен для встраивания в какой-либо определенный протокол передачи данных. Он представляет собой совокупность набора полей, правил их формирования и обработки. При этом на защищаемую систему возлагается задача доставки сформированных данных посредством используемых протоколов. В частности, адресация и маршрутизация данных возлагается на защищаемую систему.

Примечание —Настоящие рекомендации дополнены приложением А

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Протокол защищенного обмена для индустриальных систем

Information technology Cryptographic data security Cryptographic industrial secunty protocol

Дата введения — 2020—09—01

1    Область применения

Областью применения протокола CRISP являются системы с жесткими ограничениями на длину передаваемых данных, требующие использования неинтерактивных протоколов.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры

ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку

3 Термины, определения и обозначения

3.1    Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1.1    CRISP-сообщение: Сообщение, защищенное с помощью протокола CRISP.

3.1.2    базовый ключ: Секретный ключ, известный только отправителю и получателю.

3.1.3    идентификатор ключа: Информация, использующаяся при определении ключа обработки CRISP-сообщения.

3.1 4 исходное сообщение: Сообщение до защиты его протоколом CRISP.

3.1.5 криптографический набор: Совокупность криптографических алгоритмов и параметров, используемых в протоколе CRISP.

Издание официальное

Таблица 1 — Перечень полей CRISP-сообщения

Номер поля Наименование поля Длина поля в битах 1 ExternalKeyldFlag 1 2 Version 15 3 1 CS 8 4 со Keyld От 8 до 1024. конкретное значение определяется значением старших битов Keyld 5 SeqNum 48 6 Payload Data Переменная 7 ICV Переменная, определяется значением CS

4.1    ExternalKeyldFlag

Признак необходимости внешней информации для однозначного определения ключа обработки входящего CRISP-сообщения. Длина поля — 1 бит.

ExternalKeyldFlag = 0 означает, что ключ обработки входящего CRISP-сообщения однозначно определяется значением Keyld. ExternalKeyldFlag = 1 означает, что для однозначного определения ключа обработки входящего CRISP-сообщения требуется дополнительная информация.

4.2    Version

Версия CRISP-сообщения Беззнаковое целое число. Длина поля — 15 битов.

Текущий документ описывает CRISP-сообщение. для которого Version = 0.

4.3    CS

Идентификатор криптографического набора. Беззнаковое целое число. Длина поля — 8 битов.

Идентификатор определяет криптографический набор, используемый для создания CRISP-сообщения или восстановления исходного сообщения из CRISP-сообщения. Всего может существовать не более 256 различных криптонаборов, исходя из 8-битной длины поля CS CRISP-сообщения.

Список механизмов и параметров, определяемых и/или описываемых в криптографическом наборе, приведен в таблице 2.

Таблица 2 — Состав криптографического набора

Параметр Описание Правила задания Назначение EncryptionAIg Алгоритм шифрования данных Описание блочного шифра (или ссылка на такое описание); описание режима работы блочного шифра (или ссылка на такое описание), включая задание всех необходимых параметров Алгоритм используется при шифровании сообщения MACAIg Алгоритм выработки имитовставки Описание алгоритма (или ссылка на такое описание), включая задание всех необходимых параметров Алгоритм используется при выработке имитовставки сообщения MAC Length Длина имитовставки Длина имитовставки задается в байтах — DenvelV Алгоритм формирования синхропосылки Описание алгоритма (или ссылки на такое описание), алгоритм должен быть согласован со спецификациями шифров и режимами их работы Алгоритм используется для формирования синхропосылки при шифровании сообщения

Окончание таблицы 2

Параметр Описание Правила задания Назначение DenveKey Алгоритмы выработки производных ключей из базового ключа Описание алгоритмов, включая задание всех необходимых параметров Алгоритмы используются для формирования производных ключей шифрования сообщения и производных ключей имитозащиты сообщения

4.4    Keyld

Идентификатор ключа. Двоичная строка.

Keyld = 1000 0000₂ означает, что поле Keyld не используется. В остальных случаях:

-    если MSB, (Keyld) = 0. то длина поля Keyld составляет 1 байт и оставшиеся 7 битов содержат значение идентификатора ключа;

-    если MSB, (Keyld) = 1. то оставшиеся 7 битов первого байта интерпретируются как беззнаковое целое число и определяют количество дополнительных байтов (от 1 до 127). Дополнительные байты содержат значение идентификатора ключа.

4.5    SeqNum

Порядковый номер сообщения. Беззнаковое целое число. Длина поля — 48 битов.

Для протокола CRISP версии 1.0 используется также для формирования синхропосылки алгоритма шифрования.

4.6    PayloadData

Исходное сообщение или зашифрованное исходное сообщение. Поле переменной длины.

Применение шифрования при обработке сообщения определяется использованным криптографическим набором (значением поля CS). Для конкретного значения CS шифрование либо используется при обработке любого сообщения, либо не используется при обработке любого сообщения.

4.7    ICV

Имитовставка. Двоичная строка. Длина поля определяется использованным криптографическим набором (значением поля CS). Для конкретного значения CS длина поля ICV может принимать только одно фиксированное значение.

Поле содержит значение имитовставки, рассчитанной для полей 1—6 CRISP-сообщения.

5 Ограничения

Максимальный размер CRISP-сообщения (суммарная длина всех полей CRISP-сообщения) — 2048 байтов.

Предполагается следующее:

-отправитель и получатель имеют общий базовый ключ;

-с каищым базовым ключом ассоциирован идентификатор ключа, который может быть использован при определении ключа обработки CRISP-сообщения;

-    с каждым базовым ключом ассоциирован идентификатор отправителя Sourceldentifier, который может быть как внешней по отношению к Keyld информацией, так и частью Keyld, идентификатор отправителя является уникальным, т. е. у разных отправителей в системе Sourceldentifier различны;

-отправитель и получатель имеют общие криптографические наборы;

-    задача определения базового ключа обработки сообщения отправителем и получателем находится за рамками протокола CRISP;

-для отправителя и получателя настроен размер окна принятых сообщений.

Примечания

1    Способ установки на отправителе и получателе общих базового клкма, его идентификатора, криптографических наборов и Sourceldentifier находится за рамками протокола CRISP

2    Под определением базового ключа обработки сообщения отправителем или получателем понимается поиск нужного ключа среди установленных на отправителе или получателе на основании Keyld и, при необходимости, дополнительной информации, например Sourceldentifier

3    Размер идентификатора отправителя Sourceldentifier должен быть в пределах от 4 до 32 байтов

4    Размер окна принятых сообщений Size должен быть в пределах от 1 до 256 (включительно) сообщений

6 Обработка CRISP-сообщения

6.1    Инициализация порядкового номера сообщения и окна принятых сообщений

Перед первым использованием конкретного базового ключа с целью защиты сообщений отправитель устанавливает начальное значение (инициализирует) SeqNum. Инициализация SeqNum может потребоваться также для восстановления после сбоев в нумерации сообщений.

Настоящие рекомендации не специфицируют конкретный алгоритм инициализации SeqNum. При этом алгоритм инициализации совместно с правилом формирования порядкового номера исходящих сообщений должны обеспечивать нахождение значения SeqNum в диапазоне от 0 до 2⁴⁸ - 1 (включительно) и строгое возрастание значения SeqNum для каждого сообщения, создаваемого одним отправителем с использованием одного базового ключа.

Перед первым использованием конкретного базового ключа с целью восстановления сообщений получатель устанавливает максимальный и минимальный номера окна принятых сообщений равными 0.

6.2    Защита исходного сообщения отправителем

Предполагается, что определен базовый ключ, его идентификатор и криптонабор для формирования CRISP-сообщения данному получателю.

Для создания CRISP-сообщения выполняют следующую последовательность действий:

а)    формируют порядковый номер сообщения SeqNum — текущее значение SeqNum увеличивают на 1;

б)    из базового ключа вырабатывают ключи шифрования (в случае, если криптографическим набором предусмотрено шифрование) и имитозащиты;

в)    формируют поля заголовка CRISP-сообщения — поля 1—5 таблицы 1;

г)    если криптографическим набором предусмотрено шифрование, то зашифровывают исходное сообщение;

д)    вычисляют значение имитовставки /СУ для заголовка CRISP-сообщения и исходного сообщения (в случае, если криптографическим набором не предусмотрено шифрование) или заголовка CRISP-сообщения и зашифрованного сообщения (в случае, если криптографическим набором предусмотрено шифрование) — поля 1—6 таблицы 1.

6.3    Восстановление исходного сообщения получателем

Для восстановления исходного сообщения из CRISP-сообщения выполняют следующую последовательность действий:

а)    если версия протокола CRISP, указанная в заголовке CRISP-сообщения. не поддерживается получателем, то сообщение блокируют;

б)    согласно значению Keyld и, в случае ExtemalKeyldFlag = 1, дополнительной информации определяют базовый ключ;

в)    проверяют допустимость значения SeqNum входящего CRISP-сообщения:

-если значение SeqNum входящего CRISP-сообщения меньше минимального номера окна принятых сообщений, то CRISP-сообщение блокируют и процедуру восстановления исходного сообщения прекращают;

-если значение SeqNum входящего CRISP-сообщения принадлежит окну принятых сообщений и данный порядковый номер CRISP-сообщения помечен как принятый в окне принятых сообщений, то CRISP-сообщение блокируют и процедуру восстановления исходного сообщения прекращают.

В остальных случаях значение SeqNum входящего CRISP-сообщения является допустимым и осуществляют переход к следующему пункту;

г)    из базового ключа вырабатывают ключи шифрования (если криптографическим набором предусмотрено шифрование) и имитозащиты;

д)    выполняют контроль целостности CRISP-сообщения путем проверки имитовставки. Если ими-товставка не верна, то сообщение блокируют и процедуру восстановления исходного сообщения прекращают; если имитовставка верна, то переходят к следующему пункту;

е)    обновляют окно принятых сообщений:

-если значение SeqNum входящего CRISP-сообщения принадлежит окну принятых сообщений, то порядковый номер SeqNum помечают в окне принятых сообщений как принятый;

-если значение SeqNum входящего CRISP-сообщения больше максимального номера окна принятых сообщений, то новым максимальным номером окна принятых сообщений становится значение

SeqNum, порядковый номер SeqNum помечают в окне принятых сообщений как принятый, а новым минимальным номером окна принятых сообщений становится значение SeqNum — Size +1 или 0. если значение SeqNum — Size + 1 меньше 0;

ж) если криптографическим набором предусмотрено шифрование, то выполняется расшифрование значения поля PayloadData. восстанавливают исходное сообщение.

7 Криптографические наборы

7.1 Набор MAGMA-CTR-CMAC: CS=1 Таблица 3 — Описание криптографического набора MAGMA-CTR-CMAC

Параметр Значение EncryptionAJg Блочный шифр «Магма» согласно ГОСТ Р 34.12-2015 в режиме гаммирования согласно ГОСТ Р 34 1 3—2015 MACAIg Блочный шифр «Магма» согласно ГОСТ Р 34.12-2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 MACLength 4 байта DenvelV См. описание далее DenveKey См описание далее

7.1.1    Алгоритм шифрования

Для шифрования данных используют блочный шифр «Магма» согласно ГОСТ Р 34.12-2015 в режиме гаммирования согласно ГОСТ Р 34.13-2015. В качестве ключа используют ключ шифрования сообщения K_ENC. Значение входного параметра режима гаммирования s = 64. В качестве синхропосылки используют значение, определенное в 7.1.3. Криптографическое дополнение данных для режима гаммирования не предусмотрено.

7.1.2    Имитовставка

Для вычисления имитовставки ICV, содержащейся в поле ICV CRISP-сообщения, используют блочный шифр «Магма» согласно ГОСТ Р 34.12-2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015. В качестве ключа используют ключ имитозащиты сообщения К_МАС. Значение входного параметра режима выработки имитовставки s = 32. Криптографическое дополнение данных для режима выработки имитовставки выполняют согласно ГОСТ Р 34.13-2015.

7.1.3    Синхропосылка

Для формирования из 48-битного порядкового номера сообщения SeqNum, содержащегося в поле SeqNum CRISP-сообщения, 32-битной синхропосылки IV используют 32 младших бита SeqNum:

IV = LSB₃₂(byte(Seq/Vum. 6)).

7.1.4    Ключи

Для выработки производных ключей шифрования и имитозащиты сообщения используют функцию

С MAC (Key, Data).

которую реализуют с помощью блочного шифра «Магма» согласно ГОСТ Р 34.12-2015 в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64 Криптографическое дополнение для режима выработки имитовставки выполняют согласно ГОСТ Р 34.13-2015.

Для выработки производного ключа шифрования сообщения и производного ключа имитозащиты сообщения вычисляют следующие величины:

-    Key — инициализируют базовым ключом К,

-    Label = binary ( macenc', 6);

-    aL = byte (6.1);

-    SN = 0⁵||MSB₃₅ (byte(SeqNum, 6)). где

SeqNum инициализируют значением SeqNum CRISP-сообщения;

-    Node = Sourceldentifier, где

Source Identifier инициализируют значением идентификатора отправителя;

-    CS — инициализируют значением CS CRISP-сообщения;

-    cL = by\e(ContextLength. 2). где