allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.040. Наборы знаков и кодирование информации

ГОСТ 34.13-2018 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

Обозначение:
ГОСТ 34.13-2018
Наименование:
Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров
Статус:
Принят
Дата введения:
06/01/2019
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.040

Текст ГОСТ 34.13-2018 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ (МГС)

INTERSTATE COUNCIL FOR STANDARDIZATION. METROLOGY AND CERTIFICATION (ISC)

ГОСТ

34,13—

2018


МЕЖГОСУДАРСТВЕННЫЙ

СТАНДАРТ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Режимы работы блочных шифров

Издание официальное

Москва

Стандартимформ

2018


Предисловие

Цели, основные принципы и основной порядок проведения работ по межгосударственной стан* дартизации установлены в ГОСТ 1.0—2015 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2—2015 «Межгосударственная система стандартизации. Стандарты межгосударственные. правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия. обновления и отмены»

Сведения о стандарте

1 РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3 ПРИНЯТ Межгосударственным советом по метрологии, стандартизации и сертификации (протокол от 29 ноября 2018 г. № 54)

За принятие проголосовали:

Краткое наименование страны по МК {ИСО 31вв) 004-97

Ков страны по МК <ИСО31вв) 004-97

Соирашвнное наимекоммле национального органа по стандартизации

Армения

AM

Минэкономики Республики Армения

Киргизия

KG

Кыргыэсгандарт

Россия

RU

Россгандарт

Таджжистан

TJ

Таджиксгандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N? 1062-ст межгосударственный стандарт ГОСТ 34.13—2018 введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 г.

5 Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.13—2015

6 ВЗАМЕН ГОСТ 28147—89 в части раздела 2 «Режим простой замены»: раздела 3 «Режим гаммирования»: раздела 4 «Режим гаммирования с обратной связью»: раздела 5 «Режим выработки имитовставки»

Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ni)

© Стандартинформ. оформление. 2018


В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

1 Область применения..................................................................1

2 Термины, определения и обозначения...................................................1

2.1 Термины и определения...........................................................1

2.2 Обозначения.....................................................................3

3 Общие положения....................................................................3

4 Вспомогательные операции............................................................4

4.1 Дополнение сообщения............................................................4

4.2 Выработка начального значения.....................................................4

4.3 Процедура усечения...............................................................&

5 Режимы работы алгоритмов блочного шифрования........................................5

5.1 Режим простой замены............................................................ь

5.2 Режим гаммиро&ания..............................................................6

5.3 Режим гаммироеания с обратной связью по выходу.....................................(

5.4 Режим простой замены с зацеплением...............................................9

5.5 Режим гаммироеания с обратной связью по шифртексту................................11

5.6 Режим выработки имитоестаеки....................................................13

Приложение А (справочное) Контрольные примеры.........................................16

Библиография........................................................................22

Введение

Настоящий стандарт содержит описание режимов работы блочных шифров. Данные режимы работы блочных шифров определяют правила криптографического преобразования данных и выработки имитоеставки для сообщений произвольного размера.

Необходимость разработки настоящего стандарта вызвана потребностью в определении режимов работы блочных шифров, соответствующих современным требованиям к криптографической стойкости.

Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО/МЭК 9797-1 (1], ИСО/МЭК 10116 (2J. ИСО/МЭК 10118-1 [3], ИСО/МЭК 18033-1 [4]. ИСО/МЭК 14888-1 [5].

Примечание — Основная часть стандарта дополнена приложением А «Контрогъные примеры».

ГОСТ 34.13—2018

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Режимы работы блочных шифров

Information technology. Cryptographic data security. Modes of operation for block ciphers

Дата введения — 2019—06—01

1 Область применения

Настоящий стандарт распространяется на криптографическую защиту информации и определяет режимы работы блочных шифров.

Режимы работы блочных шифров, определенные е настоящем стандарте, рекомендуется использовать при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.

2 Термины, определения и обозначения

2.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1.1 алгоритм зашифрования (encryption algorithm): Алгоритм, реализующий зашифрование, т. е. преобразующий открытый текст в шифртекст.

Примечание — Адаптировано из ИСО/МЭК 18033-1 [4].

2.1.2 алгоритм расшифрования (decryption algorithm): Алгоритм, реализующий расшифрование, т. е. преобразующий шифртекст в открытый текст.

Примечание — Адаптировано из ИСО/МЭК 18033-1 [4].

2.1.3 базовый блочный шифр (basic block cipher): Блочный шифр, реализующий при каждом фиксированном значении ключа одно обратимое отображение множества блоков открытого текста фиксированной длины в блоки шифртекста такой же длины.

2.1.4 блок (Ыоск): Строка бит определенной длины.

Примечание — Адаптировано из ИСО/МЭК 18033-1 [4].

2.1.5 блочный шифр (block cipher): Шифр из класса симметричных криптографических методов, в котором алгоритм зашифрования применяется к блохам открытого текста для получения блоков шифр-текста.

Примечания

1 Адаптировано из ИСО/МЭК 18033-1 [4].

2 В настоящем стандарте установлено, что термины «блочный шифр» и «алгоритм блочного шифрования» являются синонимами.

Издание официальное

2.1.6 дополнение (padding): Приписывание дополнительных бит к строке бит.

Примечание — Адаптировано из ИСО/МЭК 10118-1 [3].

2.1.7 зацепление блоков (block chaining): Шифрование информации таким образом, что каждый блок шифртекста криптографически зависит от предыдущего блока шифртекста.

2.1.8 зашифрование (encryption): Обратимое преобразование данных с помощью шифра, который формирует шифртекст из открытого текста.

Примечание — Адаптировано из ИСО/МЭК 18033-1 (4].

2.1.9 имитовставка (message authentication code): Строка бит фиксированной длины, полученная применением симметричного криптографического метода к сообщению, добавляемая к сообщению для обеспечения его целостности и аутентификации источника данных.

Примечание — Адаптировано из ИСО/МЭК 9797-1 [1].

2.1.10 ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

Примечания

1 Адаптировано из ИСО/МЭК 18033-1 [4].

2 В настоящем стандарте рассматриваются ключи только в виде последовательности двоичных символов (битов).

2.1.11 начальное значение (starting variable): Значение, возможно, полученное из синхропосылки и используемое для задания начальной точки режима работы блочного шифра.

Примечание — Адаптировано из ИСО/МЭК 10116 (2].

2.1.12 открытый текст (plaintext): Незашифрованная информация.

Примечание — Адаптировано из ИСО/МЭК 10116 [2].

2.1.13 расшифрование (decryption): Операция, обратная к зашифрованию.

Примечания

1 Адаптировано из ИСО/МЭК 18033-1 (4].

2 В настоящем стандарте в целях сохранения терминологической преемственности по отношению к нормативным документам, действующим на территории государства, принявшего настоящий стандарт, и опубликованным ранее на русском языке научно-техническим изданиям применяется термин «шифрование», объединяющий операции, определенные терминами «зашифрование» и «расшифрование». Конкретное значение термина «шифрование» определяется е зависимости от контекста упоминания.

2.1.14 симметричный криптографический метод (symmetric cryptographic technique): Криптографический метод, использующий один и тот же ключ для преобразования, осуществляемого отправителем. и преобразования, осуществляемого получателем.

Примечание — Адаптировано из ИСО/МЭК 16033-1 (4].

2.1.15 синхропосылка (initializing value): Комбинация знаков, передаваемая по каналу связи и предназначенная для инициализации алгоритма шифрования.

2.1.16 сообщение (message): Строка бит произвольной конечной длины.

Примечание — Адаптировано из ИСО/МЭК 14888-115].

2.1.17 счетчик (counter): Строка бит длины, равной длине блока блочного шифра, используемая при шифровании в режиме гаммирования.

Примечание — Адаптировано из ИСО/МЭК 10118 [2].

2.1.18 шифр (cipher): Криптографический метод, используемый для обеспечения конфиденциальности данных, включающий алгоритм зашифрования и алгоритм расшифрования.

Примечание — Адаптировано из ИСО/МЭК 16033-1 (4].

2.1.19 шифртекст (ciphertext): Данные, полученные в результате зашифрования открытого текста в целях скрытия его содержания.

Примечание — Адаптировано из ИСО/МЭК 10116 (2].

2.2 Обозначения

6 настоящем стандарте применены следующие обозначения:

V* — множество всех двоичных строк конечной длины, включая пустую строку;

Vs — множество всех двоичных строк длины s, где s — целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево, начиная с нуля;

|Д| — число компонент (длина) строки А € V* (если А — пустая строка, то |А| = 0);

А||В —конкатенация строк А. е. строка из в которой подстрока с большими номерами компонент из совладает со строкой А. а подстрока с меньшими номерами

компонент из У,в) совпадает со строкой В:

0' —строка, состоящая из г нулей;

Ф — операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины; 2^, — кольцо вычетов по модулю 2s: tbs — операция сложения в кольце Z?,;

х mod/ — операция вычисления остатка от деления целого числа х на целое положительное число А

MSBs.V\(JV<-> Vs — отображение, ставящее в соответствие строке mis, строку

г-о 2_ ,|...|г_ .-к., «. 2 е V../»0.1 ....т-1;

mill т-л1| ms iV

5-1

Vs —отображение, ставящее в соответствие строке 2Л.1|...|2,|^). mas. строку -о 2S ,| l^.z.eV,. /«0.1....m-1;

А«г —операция логического сдвига строки Д на г компонент е сторону компонент, имеющих ббльшие номера. Если Ае Vs, то А « re Vs, причем

A«r.{LSB’-'(A,l°'-ecmir<s<

(O’. если г as;

Potys: -> GF(2)[x] — отображение, ставящее в соответствие строке z« (ze , |..|2^) e Vs многочлен

S-1

Polys(z)»£z;x’;

г-0

Vto, Z2, -> Vs — биективное отображение, сопоставляющее элементу кольца Z21 его двоичное представление, т. е. для любого элемента г е Z2,. представленного в виде z • ^) + 2 2, + ... + 2s'’ zs v где z. е {0.1}. i «ОД..., s-1. выполнено равенство Vece(2)«2a.1|[..|21|20:

int/Vj-tZ?, — отображение, обратное к отображению Vecs, т. е. lnts«Vece’;

к — параметр алгоритма блочного шифрования, называемый длиной ключа;

п — параметр алгоритма блочного шифрования, называемый длиной блока;

Е: Vn х V* -> Vn — отображение, реализующее базовый алгоритм блочного шифрования и осуществляющее преобразование блока открытого текста Рь Vn с использованием ключа (шифрования) Ке в блок шифртекста С б V„: Е(Р. К) = С;

екп-» Vn —отображение, реализующее зашифрование с использованием ключа Кь Vk, т. е. ех(Р) = Е(Р. К) для всех Р ь Vn;

dK: Vn-*Vn —отображение, реализующее расшифрование с использованием ключа KeVk. т.е. dK = ex.

3 Общие положения

Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования: « режим простой замены (ЕСВ. англ. Electronic Codebook);

- режим гаммирования (CTR. англ. Counter):

- режим гаммирования с обратной связью по выходу (OFB. англ. Output Feedback);

« режим простой замены с зацеплением (СВС. англ. Cipher Block Chaining);

- режим гаммирования с обратной связью по шифртексту (CFB. англ. Cipher Feedback);

- режим выработки имитовставки (англ. Message Authentication Code algorithm).

Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока п.

4 Вспомогательные операции

4.1 Дополнение сообщения

4.1.1 Общие положения

Отдельные из описанных ниже режимов работы (режим гаммирования. режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту) могут осуществлять криптографическое преобразование сообщений произвольной длины. Для других режимов (режим простой замены, режим простой замены с зацеплением) требуется, чтобы длина сообщения была кратна некоторой величине /. в последнем случае при работе с сообщениями произвольной длины необходимо применение процедуры дополнения сообщения до требуемой длины. Ниже приведены три процедуры дополнения.

Пусть Ре V* исходное сообщение, подлежащее зашифрованию.

4.1.2 Процедура 1

Пусть r*|P|mod/. Положим

Р. если г ■ 0, р|0’ иначе.


P’s


Примечание — Описанная процедура в некоторых случаях не обеспечивает однозначного восстановления исходного сообщения. Например, результаты дополнения сообщений Pv такого что |pJ=/ <J -1 для некоторого q. и Р2 в Pt || 0 будут одинаковы. В этом случае для однозначного восстановления необходимо дополнительно знать длину исходного сообщения.

4.1.3 Процедура 2 Пусть z«|P|mod/. Положим

Р’вР||1|0- ' \


Примечание — Данная процедура обеспечивает однозначное восстановление исходного сообщения. При этом если длина исходного сообщения кратна /. то длина дополненного сообщения будет увеличена.

4.1.4 Процедура 3 Пусть т «|P|mod/.

В зависимости от значения г возможны случаи:

• если г = Л то последний блок не изменяется Р“ - Р~,

• если г < I, то применяется процедура 2.

Примечания

1 Данная процедура обязательна для режима выработки имитоастзвки (5.6) и не рекомендуется для использования в других режимах (5.1—5.5).

2 Выбор конкретной процедуры дополнения предоставляется разработчику информационной системы и^или регламентируется другими нормативными документами.

4.2 Выработка начального значения

В некоторых режимах работы используются величины, начальное значение которых вычисляется на основании синхропосылки /И обозначим через m суммарную длину указанных величин. Будем обозначать процедуру выработки начального значения через »Vm и называть процедурой инициализации.

Будем называть процедуру инициализации тривиальной, если ^ж IV. Если не оговорено иное, будем считать, что используется тривиальная процедура инициализации на основе синхропосылки необходимой длины.

Во всех описываемых е настоящем стандарте режимах работы не требуется обеспечение конфиденциальности синхропосылки. Вместе с тем процедура выработки синхропосылки должна удовлетворять одному из следующих требований:

- значения синхропосылки для режимов простой замены с зацеплением и гаммирования с обратной связью по шифртексту необходимо выбирать случайно, равновероятно и независимо друг от друга из множества всех допустимых значений. В этом случае значение каждой используемой синхропосылки IVдолжно быть непредсказуемым (случайным или псевдослучайным): зная значения всех других используемых синхролосылок. значение IV нельзя определить с вероятностью большей, чем 2'<м:

* все значений синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования. должны быть уникальными, т. е. попарно различными. Для выработки значений синхропосылок может быть использован детерминированный счетчик;

* значение синхропосылки для режима гаммирования с обратной связью по выходу должно быть либо непредсказуемым (случайным или псевдослучайным), либо уникальным.

Примечание — Режим простой замены не предусматривает использования синхропосылки.

4.3 Процедура усечения

8 некоторых режимах используется усечение строк длины п до строк длины s.ssn.c использованием функции I s - MSBs, т. е. в качестве операции усечения используется операция взятия бит с бблыиими номерами.

5 Режимы работы алгоритмов блочного шифрования

5.1 Режим простой замены

5.1.1 Общие положения

Длина сообщений, зашифровываемых в режиме простой замены, должна быть кратна длине блока базового алгоритма блочного шифрования л. поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.

Зашифрование (расшифрование) в режиме простой замены заключается в зашифровании (расшифровании) каждого блока текста с помощью базового алгоритма блочного шифрования.

5.1.2 Зашифрование

Открытый и при необходимости дополненный текст Pt/( |Р|»л q. представляется в виде: p-p.hi к . Р е / в 12.....q. Блоки шифртекста вычисляют по следующему правилу:

С, =eK(P,)./ = tZП)

Результирующий шифртекст имеет вид:

с-с,|с2|..|с„.

Зашифрование в режиме простой замены показано на рисунке 1.

*1 Р2 Р,

Рисунок 1 — Зашифрование 8 режиме простой замены


С, ц» С,

5.1.3 Расшифрование

Шифртекст представляется в виде: С - С,||С2Ц...||С „ С.ь Vn,i- 1.2.... q. Блоки открытого текста вычисляются по следующему правилу:

p.edK(C,)./«1.2.....q. (2)

Исходный (дополненный) открытый текст имеет вид:

Р=Р1||Р2||...||Р,.

Примечание — Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.

Расшифрование в режиме простой замены показано на рисунке 2.

с» At Аг

Рисунок 2 — Расшифрование в режиме простой замены

5.2 Режим гаммирования

5.2.1 Общие положения

Параметром режима гаммирования является целочисленная величина ь, 0 < *• s о. При испольэо-еании режима гаммирования не требуется применение процедуры дополнения сообщения.

Для зашифрования (расшифрования) каждого отдельного открытого текста на одном ключе ис-пользуется значение уникальной синхропосылки IV е Vn.

2

Зашифрование в режиме гаммирования заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины ь- путем зашифрования последовательности значений счетчика CTR, 6 V , i = 1.2..... базовым алгоритмом блочного шифрования с последующим

Л

усечением. Начальным значением счетчика является CTRy *1л(/У) = /У||02. Последующие значения счетчика вырабатываются с помощью функции Add: Vn — Ул следующим образом:

AddtCTR,)» Vecfl(lntJJ(CTR|)ffi/|1). (3)

5.2.2 Зашифрование

Открытый текст Ра V* представляется в виде Р ■ Рп2|-|^. / ■t2t....q-lPqeV'f.rSs.

Блоки шифртекста вычисляются по следующему правилу:

(CJ.^©T5(eK(C7-RJ)./-lZ....Q-l

Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования показано на рисунке 3.

Рисунок 3 — Зашифрование в режиме гаммирования

5.2.3 Расшифрование

Шифртекст представляется в виде: С в Ct || С21.|С' , С,е Vs. /«1,2. ....g-1 CQe V,. г £ s. Блоки открытого текста вычисляются по следующему правилу:

( ФТ5к(СП?(», I. t г.... <j-t P'.C'QT^CTR')).

(5)


Исходный открытый текст имеет вид:

p’p.hLjp,'

Расшифрование е режиме гаммирования показано на рисунке 4.

Рисунок 4 — Расшифрование в режиме гаммирования


5.3 Режим гаммирования с обратной связью по выходу

5.3.1 Общие положения

Параметрами режима гаммирования с обратной связью по выходу являются целочисленные величины $и m. Q<sin, m * л - г, г 21 — целое число.

При использовании режима гаммирования с обратной связью ло выходу не требуется применение процедуры дополнения сообщения.

При шифровании на одном ключе для каждого отдельного открытого текста используется эначе* ние уникальной или непредсказуемой (случайной или псевдослучайной) синхропосылки /Ve Vm.

При шифровании в режиме гаммирования с обратной связью по выходу используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммирования с обратной связью ло выходу заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины ь. При вычислении очередного блока гаммы выполняется зашифрование л разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования. Затем заполнение регистра сдвигается на а бит в сторону разрядов с большими номерами, при зтом в разряды с меньшими номерами записывается полученный выход базового алгоритма блочного шифрования. Блок гаммы вычисляется путем усечения выхода базового алгоритма блочного шифрования.

5.3.2 Зашифрование

Открытый текст Рь V* представляется в виде Р в Р1 |м к- P,bVs, г-12..... Q-1, PqbVt,r*s. Блоки шифртекста вычисляются по следующему правилу:

Я, = IV,

V,BeK(MS8n(RJ).

(6)


Ц»,>.ФТ,(УД /-1,г....<7-1


Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования с обратной связью по выходу показано на рисунке 5.

Рисунок 5 — Зашифрование в режиме гаммирования с обратной связью по выходу


Д—I

I- -g-

ЛТ-rt }

«к



5.3.3 Расшифрование

Шифртекст представляется в виде: С ■ С^СД. |CQ. C-<=.\/s, /«12.....Q-1,

Блоки открытого текста вычисляются по следующему правилу:

R, - IV.

^-eK(MSB„{R,)).

VeK<MSB„(Rq)),

^-c,eTr(yg).

ИОЗДНЫЙ СТфЬЛЫЙ TMSCT ИММГТ ВМД!

p=p,hi h

Рисунок 6 — Расшифрование в режиме гаммироеания с обратной связью по выходу

5.4 Режим простой замены с зацеплением

5.4.1 Общие положения

Параметром режима простой замены с зацеплением является целочисленная величина т. та п-2. 2 £ 1 — целое число.

Длина сообщений, зашифровываемых в режиме простой замены с зацеплением, должна быть кратна длине блока базового алгоритма блочного шифрования л. поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки /Ve Vm.

При шифровании в режиме простой замены с зацеплением используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV

В режиме простой замены с зацеплением очередной блок шифртекста получается путем зашифрования результата покомпонентного сложения значения очередного блока открытого текста со значением п разрядов регистра сдвига с большими номерами. Затем регистр сдвигается на один блок в сторону разрядов с большими номерами. В разряды с меньшими номерами записывается значение блока шифртекста.

5.4.2 Зашифрование

Открытый и при необходимости дополненный текст PbV*. |Р|вл q. представляется в виде: р-ЧМ г,- P^Vn. /«12.....q. Блоки шифртекста вычисляются по следующему правилу:

Р, - IV.

Результирующий шифртекст имеет вид:

Зашифрование в режиме простой замены с зацеплением показано на рисунке 7.

Cl


Рисунок 7 — Зашифрование в режиме простой замены с зацеплением


5.4.3 Расшифрование

Шифртекст представляется в виде С ■ CjC^I- |С9. С{еУ„, ( = 12,....q. Блоки открытого текста вычисляются по следующему правилу:

Я, - IV,

f-lZ....q-l

Исходный (дополненный) открытый текст имеет вид:

p-p,hi h

Примечание — Если к исходному открытому тексту была применена процедура допогыения. то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.


Рисунок 8 — Расшифрование в режиме простой замены с зацепление*!


5.5 Режим гаммироеания с обратной связью по шифртексту

5.5.1 Общие положения

Параметрами режима гаммироеания с обратной связью по шифртексту являются целочисленные величины s и т, 0 < s s л, п s т.

8 конкретной системе обработки информации на длину сообщения Р может как накладываться ограничение |Р| в s • q. так и не накладываться никаких ограничений. 8 случае если такое ограничение накладывается, к исходному сообщению при необходимости должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки IV е Vm.

При шифровании е режиме гаммироеания с обратной связью по шифртексту используется двоичный регистр сдвига R длины т. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммироеания с обратной связью по шифртексту заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины в. При вычислении очередного блока гаммы выполняется зашифрование л разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования с последующим усечением. Затем заполнение регистра сдвигается на $ разрядов в сторону разрядов с большими номерами, при этом в разряды с меньшими номерами записывается полученный блок шифртекста. являющийся результатом покомпонентного сложения гаммы шифра и блока открытого текста.

5.5.2 Зашифрование

Открытый текст Ре V* представляется в виде Р» Р,|Р2| |р„. Р;е V*. I ■ 12..... Q-1. Р^е rss. Блоки шифртекста вычисляются по следующему правилу:

R, = IV.

C,«P>©T,(eK<MSB„<R,)>),

/»1.2.....Д-1


(Ю)


aLSB-

C^eTJe^MSBJR,)».

Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования с обратной связью по шифртексту показано на рисунке 9.

Рисунок 9 — Зашифрование е режиме гаммирования с обратной связью по шифртексту



5.5.3 Расшифрование

Шифртекст представляется в виде: С в С,|С2|...|С , C,£VS, /«1,2,....д-t С„ е V,, г s s. Блоки открытого текста вычисляются по следующему правилу:

Я, = IV,

Я, «С, ®Te(eK(MSB„(R())), «... = LSB„ „<«, •

(11)


PQ»C9®T,(eK(MSB„(R4))).

Исходный открытый текст имеет вид:

p=p,hi-ip«-

Примечание — Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.

Рисунок 10 — Расшифрование в режиме гаммирования с обрагной связью по шифртексту



5.6 Режим выработки имитовставки

5.6.1 Общие положения

Режим выработки имитовставки. описание которого представлено ниже, реализует конструкцию ОМАС1 (стандартизован в ISO под названием СМАС [1]).

Параметром режима является длина имитовставки (в битах) 0 < s £ л.

5.6.2 Выработка вспомогательных ключей

При вычислении значения имитовставки используются вспомогательные ключи, которые вычисляются с использованием ключа К. Длины вспомогательных ключей равны длине блока п базового алгоритма блочного шифрования.

Процедура выработки вспомогательных ключей может быть представлена в следующем виде: R«eK<0'’);

если MSB,(R) =0,

1 *|(/?«1)Ф8„. иначе;

если MSB,(K1)»0,

*2 “ {(К, <1)©0„. иначе.

где Вв4«0и|11011. В12в«012°|10000111.

Если значение п отлично от 64 и 128. необходимо использовать следующую процедуру определения значения константы Вп. Рассмотрим множество примитивных многочленов степени п над полем GF(2) с наименьшим количеством ненулевых коэффициентов. Упорядочим это множество лексикографически по возрастанию векторов коэффициентов и обозначим через f„{x) первый многочлен в этом упорядоченном множестве.

Рассмотрим поле ОГ(2л)[х]/(/л(х)}, зафиксируем в нем степенной базис и будем обозначать операцию умножения в этом поле символом ®. Вспомогательные ключи К1 и К2 вычисляются следующим образом:

(12)


^oly^PolyJPISx),

rPoly^Poly^PJSx2).

Примечание — Вспомогательные ключи К, и К.г и промежуточное значение R наряду с ключом К являются секретными параметрами. Компрометация какого-либо из этих значений приводит к возможности построения эффективных методов анализа всего алгоритма.

5.6.3 вычисление значения имитовставки

Процедура вычисления значения имитовставки похожа на процедуру зашифрования в режиме простой замены с зацеплением при т-п и инициализации начального заполнения регистра сдвига значением 0": на вход алгоритму шифрования подается результат покомпонентного сложения очередного блока текста и результата зашифрования на предыдущем шаге. Основное отличие заключается в процедуре обработки последнего блока: на вход базовому алгоритму блочного шифрования подается результат покомпонентного сложения последнего блока, результата зашифрования на предыдущем шаге и одного из вспомогательных ключей. Конкретный вспомогательный ключ выбирается в зависимости от того, является ли последний блок исходного сообщения полным или нет. Значением имигов-ставки MAC является результат применения процедуры усечения к выходу алгоритма шифрования при обработке последнего блока.

Исходное сообщение Рь V*. для которого требуется вычислить имитовставку. представляется в

виде:

p=p.hi h

где Pj^Vn, z' = lZ....g-1 Pqe V,. rin.

Процедура вычисления имитовставки описывается следующим образом:

С0еО".

.....g-l (13)

MAC = Ts(eK(P(;©C(f_1©K‘».

где . .

К,, если |Pq|» п.

К2, иначе,

Pq‘ — последний блок сообщения, полученного в результате дополнения исходного сообщения с помощью процедуры 3.

Примечание — Настоятельно рекомендуется не использовать ключ режима выработки имитовстаахи в других криптографических алгоритмах, в том числе в режимах, обеспечивающих конфиденциальность, описанных в 5.1—5.5.

Процедуре вычислений имитовставки показана на рисунках 11—13.



Рисунок 11 — Вычисление значения имиговставки — общий вид



Рисунок 12 — Вычисление значения имиговставки — случай полного последнего блока


MAC


Рисунок 13— Вычисление «мнения ямпоеспнп— случай с дополнением поаодиего 8лев


Приложение А (справочное)

Контрольные примеры

А.1 Общие положения

Настоящее приложение носит справочный характер и не является частью нормативных положений настоящего стандарта.

В настоящем приложении содержатся примеры для зашифрования и расшифрования сообщений, а также вьфаботки имигоаставхи с использованием режимов работы шифра, определенных в настоящем стандарте. Параметр s выбран равным л в целях упрощения проводимых вычислений, а параметр пт выбирался из соображений демонстрации особенностей каждого режима шифрования. Двоичные строки из V*. длина которых кратка 4. записываются в шестнадцатеричном виде, а символ конкатенации (*|)*) опускается. Таким образом. строка а е будет представлена в виде в, Д). где а;е {0.1.....9, a. b. c.d.e.f}. i ■ 0.1 ...,r-1.

В А.2 приведены примеры для блочного шифра с длиной блока л = 128 биг («Кузнечик»), В А.З приведены примеры для блочного шифра с длиной блока п - 64 бит («Магма»).

А.2 Блочный шифр с длиной блока л = 128 бит

AJ.1 Параметры процессов

Примеры используют следующие параметры:

Ключ

К = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcde(.

Открытый текст — четыре 128-битных блока:

Р, = 1122334455667700ffeeddccbbaa9988.

Р2 - 00112233445566778899а abbcceeffOa,

Р-л- 11223344556677&899ааЬЬоове(ГОа00.

Р4 = 2233445566778899aabbcceeff0a0011.

А.2.2 Режим простой замены

Таблица А.1 — Зашифрование в режиме простой замены

Открытый текст

Шмфртекст

1122334455667 700ffeeddccbbaa9988

71679d90bebc24305a468d42b9d4edod

00112233445566778899ааЬЬссееГЮа

b429912c6e0032f9285452d76718d08b

112233445566778899ааЬЬссвеКОаОО

(0ca33549d247ceef3f5a5313bd4b157

2233445566778899aabbcceeff0a0011

d0b09ccde830b9eb3a02c4c5aa8ada98

А.2.3 Режим гаммировамия А.2.3.1 Зашифрование s-n- 128.

IV- 1234567890abcef.

Таблица А.2 — Зашифрование в режиме гаммирования

1

1

2

p,

11223344556677OOffeeddec ЬЪаа9988

00112233445566778899aabbcceeff0a

Входной блок

1234567890аЬсв»00000000000000000

1234567890abcefOOOOOOOOOOOOOOOOl

Выходной блок

e0b7ebfa9468a6db2a95826efb173830

85fTc500b2f4582a7ba54e08f0ab21 ее

С,

1195d8bec10ed1dbd57b5fa240bda1b8

85eee733f6a13e5df33ce4b33c45dee4

Окончание таблицы А.2

t

3

4

р,

112233445566778899ааЬЬссееЯ0а00

2233445566778899aabbcceeff0a0011

Входной блок

1234567890аЬсеЮ 00 00000000000002

1234567890abcef00000000000000003

Выходной блок

Mc8dbcfb353195b4c42cc3ddb9ba9a5

e9a2bee4947b32217b7d1db6dfb7ba62

С,

a5eae88be6356ed3d5e877f 13564аЗаб

cb91 faM f20cbab6d 1 c6d15820bdba73

А.2.Э.2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения Р,. Р%. Р3. Р+.

А.2.4 Режим гаммирования с обратной связью по выходу А.2.4.1 Зашифрование s = n=128, гп = 2л = 256.

IV = 12345в7890аЬсеГОа1Ь2сЗб4е5Ю011223344556677889901213141516171819.

Таблица А.З— Зашифрование е режиме гаммирования с обратной связью по выходу

r

1

2

p>

1122334455667700Reeddccbbaa9988

00112233445566778899aabbcceeR0a

Входной блок

1234567890abcef0a1b2c3d4e5f00112

23344556677889901213141516171819

Выходной блок

90a2391de4e25c2400f1a49232d0241d

ed4a659440d99cc3072c8b8d517dd9b5

С,

81800a59b1842b24R1f795e897abd95

ed5b47a7048cfab48fb521369d9326bf

Окончание таблицы А.З

i

3

4

P,

112233445566778899aabbcceeR0a00

2233445566778899aabbcceeROaOO11

Входной блок

90a2391de4e25c2400f1a49232d0241d

ed4a659440d99cc3072c8b8d517dd9b5

Выходной блок

778064e869c6cf3951 a55c30fed78013

020dff9500640ef90a92eead099a3141

С,

66a257ac3ca0b8b1c80fe7fc10288a13

203ebbc066138660a0292243f6903150

А.2.4.2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения Р,. Р2. Р3. Р+.

А.2.5 Режим простой замены с зацеплением А.2.5.1 Зашифрование т = 2п = 256,

IV = 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

Таблица А.4 — Зашифрование в режиме простой замены с зацеплением

r

1

2

p,

1122334455667700Reeddccbbaa9988

00112233445566778899aabbcceeR0a

Входной блок

0316653cc5cdb9f05e5c1e185e5a989a

23256765232defe79a8abeaedaf9e713

Выходной блок

689972d4a085fa4d90e52e3d6d7doc27

2826e661 b4 78eca6af 1 e8e448d5ea5ac

С,

689972d4a085fa4d90e52e3d6d7dcc27

2826e661 b4 78eca6af 1 e8e448d5ea5ac

Окончание таблицы А. 4

i

3

4

P,

112233445566778899aabbcceeff0a00

2233445566778699aabbcceelT0a0011

Входной блок

79bb419015e38dc5 094f95f18382c627

0a16a234d20f643f05a542aa7254a5bd

Выходной блок

fe7babf 1e91999e85640e8b«49d90d0

167688O65a895c631 a2d9a1560b63970

С,

1e7babf1e91999e85640e8b0f49d90d0

167688065aB95c631a2d9a1560b63970

А.2.5.2 Расшифрование

С использованием привешенных значений К, IV и С с помощью операции расшифрования воспроизводятся исходные значения Pv Р2, Р3, Р4.

А.2.6 Режим гаммироеания с обратной связью по шифртексту А.2.6.1 Зашифрование 5 = Л = 128. m = 2л =256,

IV- 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

Таблица А.5 — Зашифрование в режиме гаммироеания с обратной связью по шифртексту

i

1

2

P,

1122334455667700ffeed dec bbaa9988

00112233445566778899aabbcceeff0a

Входной блок

1234567890abcef0a1b2c3d4e5f00112

23344556677889901213141516171819

Выходной блок

90a2391de4e25c2400f 1a49232d0241d

ed4a659440d99cc3072c8b8d517dd9b5

С,

81800a59M842b241T1f795e897abd95

ed5b47a7O48cfab481b521369d9326bf

Окончание таблицы А.5

i

3

4

P.

112233445566778899aabbcceeff0a00

2233445566778899aabbcceeff0a0011

Входной блок

81800a59M842b241T1f795e897abd95

ed5b47a7O48cfab48fb521369d9326W

Выходной блок

68d09baf09a0fab01 d879d82795d32b5

6dcdfa9828e5a57(6de01533bbf 114c0

с,

79f2a8eb5cc68d38842d264e97a238b5

4ffebeod4e922de6c75bd9dd441bf4d1

А.2.6.2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения Я,. Р2. Р2, РЛ.

А.2Л Режим выработки имитовставки А.2.7.1 Выработка вспомогательных ключей R-94bec15e269cf1e506f02b994c0a8ea0.

MSB,(R)=t

К, »R<ieSA = 297d82bc4d39e3ca0de0573298151dc7.

MSB,(K,) = 0,

K2 = K1«1 = 297d82bc4d39e3ca0de0573298151dc <1 = 52fb05789a73c7941bc0ae65302a3b8e.

|P,| = n. K'= Kr

A.2.7.2 Вычисление имитовставки s = 64.

Таблица А.6— Вычисление имитовставки

i

1

2

р,

1122334455667700ffeeddccbbaa9988

00112233445566778899aabbcceeff0a

Входной блок

1122334455667700ffeeddccbbaa9988

7f76Wa3fae94247d2df2719753a12c7

Выходной блок

7f679d90t»bc24305a468d42b9d4edcd

1ac9d976f83636f55ae9ef305e7c90d2

Окончание таблицы А.6

r

3

4

p,

112233445566778899aabbcceeff0a00

2233445566778899aabbcceeffOaOO11

Входной блок

0beba32ad50417dc34354fcb0839ad2

1 e2a9c1 d8cc03bfa0cb340971252fe24

Выходной блок

15645af4a78e50a9abe8db4b754de3f2

33614d296059fbe34ddeb35b37749c67

MAC - 336f4d2960591be3.

А.З Блочный шифр с длиной блока л = 64 бит

А.3.1 Используемые параметры

Примеры испогьзухл следующие параметры:

Ключ

K=ffeeddccbbaa9988776655443322110CM0f1f2f3f4f5{6f7f8f9fafbfc1dfefl. Открытый текст — четыре 64-битных блока:

Р, = 92def06b3c130a59.

P2 = db54c704(8189d20.

Р3 = 4a98fb2e67a8024c.

Р4 = 8912409Ь17Ь57е41.

А.3.2 Режим простой замены

Таблица А.7 — Зашифрование в режиме простой замены

Открытый текст

Шифртекст

92def06b3c130a59

2b073f0494f372a0

db54c704IB189d20

6e70e715d3556e48

4a98fb2e67a8024c

11 d8d9e9eacfbc1 e

8912409b17b57e41

7c68260996c67efb

А.3.3 Режим гэммирования А.З.3.1 Зашифрование S = П - 64.

IV- 12345678.

Таблица А.8— Зашифрование в режиме гэммирования

r

1

2

p,

92def06b3c130a59

db54c704f8189d20

Входной блок

1234567800000000

1234567800000001

Выходной блок

dc46e167aba4b365

e571ca972ef0c049

С,

4е98110с97Ь7Ь93с

3e250d93d6e85d69

Окончание таблицы А. 8

i

э

4

Р'

4a98fb2e67a8024c

8912409М7Ь57е41

Входной блок

1234567800000002

1234567800000003

Выходной блок

59fS7da6601ad9a3

d(9cf61bbce7df6c

С,

136d868807b2dbef

568eb6B0ab52a12d

А.3.3.2 Расшифрование

С использованием приведенных значений К. fV и С с помощью операции расшифрования воспроизводятся исходные значения Я,, Р2. Р$, РЛ.

А.3.4 Режим гаммирования с обратной связью по выходу А.3.4.1 Зашифрование s = n = 64, т = 2л = 128.

IV - 1234567890abcdef234567890abcdef1.

Таблица А.9 — Зашифрование в режиме гаммирования с обратной связью

>

т

2

Р'

92def06b3c130a59

db54c704f8189d20

Входной блок

1234567890abcdef

234567890abcdef1

Выходной блок

49e910895a8336da

d612a348e78295bc

с,

<Jb37e0e266903c83

0d46644c1f9a089c

Окончание таблицы А.9

i

3

4

P'

4а98<Ь2е67а8024с

8912409М7Ь57е41

Входной блок

49e910895a8336da

d612a348e78295bc

Выходной блок

еа60сЬ4с24а63032

4136af23aafaa544

с,

a0f83062430e327e

c824e(b8bd4fdb05

А.3.4.2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения Ру Р3, Р$, РЛ.

A.3.S Режим простой замены с зацеплением А.3.5.1 Зашифрование гл = 3п=192,

IV = 1234567890abcdef234567890abcde(134567890abcdef 12.

Таблица А.10 — Зашифрование в режиме простой замены с зацеплением

>

т

2

Р'

92def06b3c130a59

db54c704f8189d20

Входной блок

80еаа61ЗасЬ8с7Ь6

f811a08df2a443d1

Выходной блок

96d1b05eea683919

а«76129аЬЬ937Ь9

с,

96d1b05eea683919

аН76129аЬЬ937Ь9

Окончание таблицы А. 10

i

3

4

Pt

4а98<Ь2е67а8024с

8912409М7Ь57е41

Входной блок

7ece83beoc65ed5e

1fc3f0c5fddd4758

Выходной блок

5058b4a1c4bc0019

20b78b1a7od7e667

с,

5058b4a1c4bc0019

20b78b1a7od7e667

А.3.5.2 Расшифрование

С испогъзованивм приведенных значений К, /V и С с помощью операции расшифрования воспроизводятся исходные значения Р,. Р2. Р$. Рл.

А.3.6 Режим гаммирования с обратной связью по шифртехсту А.3.6.1 Зашифрование s = л = 64, гл = 2п = 128.

IV = 1234567890abcdef234567890abcdeFt

Таблица А.11 —Зашифрование в режиме гаммирования с обратной связью по шифртексгу

i

1

2

р,

92def06b3c130a59

db54c704fS189020

Входной блок

1234567890abcdef

234567890abcdef1

Выходной блок

49e910895a8336da

d612a348e78295bc

С,

db37e0e266903c83

0646644c1f9a089c

Окончание таблицы А.11

i

3

4

P>

4a98fb2e67a8024c

8912409Ы7Ь57е41

Входной блок

db37e0e266903c83

0d46644c1f9a089c

Выходной блок

6e25292d34bdd1c7

35d2728f36b22b44

С,

24bdd2035315d38b

bcc0321421075505

А.3.6.2 Расшифрование

С использованием приведенных значений К. IV и С с помощью операции расшифрования воспроизводятся исходные значения Р,. Р%. Р3. Р4.

А.3.7 Режим выработки имитовставки А.3.7.1 Выработка вспомогательных ключей P = 2fa2cd99a129Oa12.

MSB,(«) « 0. X, = R < 1 = 51459b3342521424,

MSB,(Kn) = 0. следовательно K2= К, < 1= Ье8Ь366684э42848.

|фл. К' =Kt.

А.3.7.2 Вычисление имитовставки s-32.

Таблица А.12— Вычисление имитовставки

t

1

2

p,

92def06b3c130a59

db54c70418189d20

Входной блок

92def0€b3c130a59

1053f8006cebef80

Выходной блок

2b073f0494f372a0

c89ed814fd5e18e9

Окончание таблицы А.12

r

3

4

p,

4a98fb2e67a8024c

8912409Ь17Ь57е41

Входной блок

8206233a9af61aa5

216e6a2561cff165

Выходной блок

1739M8d34289b00

154e72102030c5bb

MAC - 154е7210.

Библиография

Примечание — Оригиналы международных стандартов ИСО/МЭК находятся в национальных (государственных) органах по стандартизации1 государств, принявших настоящий стандарт.

(11 ИСО/МЭК 9797-1:2011 (ISO/IEC 9797-1^011)


(2J ИСО/МЭК 10116:2017 (ISO/IEC 10116:2017)

[3] ИСО/МЭК 10118-1:2016 (ISO/IEC 10118-1:2016)

[4] ИСО/МЭК 18033-1:2015 (ISO/IEC 18033-1:2005)

[5] ИСО/МЭК 14888-1:2008 (ISO/IEC 14888-1:2008)


Информационные технологии. Методы защиты. Коды аутентификации сообщений (MAC). Часгь 1. Механизмы. использующие блочный шифр (Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher)

Информационная технология. Методы и средства обеспечения безопасности. Режимы работы для алгорига л-разрядного блочного шифрования (Information technology — Security techniques — Modes of operation for an л-bit block cipher) Информационная технология. Методы защиты информации. Хэш-функции. Часть 1. Общие положения (Information technology— Security techniques — Hash-functions — Part 1: General)

Информационная технология. Технология обеспечения защиты. Алгоритмы кодирования. Часгь 1. Общие положения (Information technology— Security techniques — Encryption algorithms — Pari 1: General)

Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 1. Общие положения (Information technology — Security techniques — Digital signatures with appendix — Part 1: General)

УДК 681.3.06:006.354

МКС 35.040


Ключевые слова: информационная технология, криптографическая защита информации, блочный шифр, режимы работы блочного шифра, конфиденциальность, целостность, имитовставка. гаммиро* Вание.зацепление

БЗ 1—2019/64

Редактор Л. В. Коретникова Технический редактор В.Н. Прусакова Корректор Е.Р. Ароян Компьютерная верстка Ю.В. Поповой

Сдано в набор 05.12 2018. Подписано а печать М.01.2019. Формат 60 » в^'/g. Гарнитура Ариал.

Усл. пом. л. 3.26 Уч-изд. л. 2.95.

Подготовлено на основе электронном версии, предоставленной разработчиком стандарта

ИД «Юриспруденция», 115419. Москва, ул. Орджоникидзе. 11. www.jurietzdal.ru y-book@mailnj

Создано а единичном исполнении . 117416 Москва. Нахимовский пр-т, д. 31. я. 2.

1

В Российской Федерации оригиналы международных стандартов ИСО/МЭК находятся в Федеральном информационном фонде стандартов.