allgosts.ru35.040 Кодирование информации35 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

ГОСТ Р 71252-2024 Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем

Обозначение:
ГОСТ Р 71252-2024
Наименование:
Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем
Статус:
Действует
Дата введения:
01.04.2024
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.040

Текст ГОСТ Р 71252-2024 Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем

        ГОСТ Р 71252-2024


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


Информационная технология


КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ


Протокол защищенного обмена для индустриальных систем


Information technology. Cryptographic data security. Cryptographic industrial security protocol

ОКС 35.040

Дата введения 2024-04-01


Предисловие


1 РАЗРАБОТАН Акционерным обществом "Информационные технологии и коммуникационные системы" (АО "ИнфоТеКС")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 февраля 2024 г. № 235-ст

4 ВЗАМЕН Р 1323565.1.029-2019

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)


Введение

Настоящий стандарт содержит описание протокола CRISP - CRyptographic Industrial Security Protocol - неинтерактивного протокола защищенной передачи данных, разработанного для применения в индустриальных системах. Протокол CRISP может быть использован для обеспечения конфиденциальности и аутентификации сообщений и для защиты от навязывания повторных сообщений.

Протокол CRISP реализует защиту исходных сообщений путем их опционального шифрования, а также вычисления имитовставки, в частности, для аутентификации сообщений и для защиты от навязывания повторных сообщений с использованием криптографических методов.

Протокол CRISP представляет собой совокупность набора полей, правил их формирования и обработки и может использоваться с любым протоколом передачи данных, способным доставить сформированные данные адресатам. При этом на защищаемую систему возлагается задача доставки сформированных данных посредством используемых протоколов. В частности, адресация и маршрутизация данных возлагается на защищаемую систему.

Примечание - Настоящий стандарт дополнен приложением А.


1 Область применения

Настоящий стандарт описывает протокол CRISP, который применяется в системах с жесткими ограничениями на длину передаваемых данных, требующих использования неинтерактивных протоколов.


2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры

ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.


3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 CRISP-сообщение: Сообщение, защищенное с помощью протокола CRISP.

3.2 базовый ключ: Секретный ключ, известный только отправителю и получателю.

3.3 идентификатор ключа: Информация, использующаяся при определении ключа обработки CRISP-сообщения.

3.4 индустриальная система: Комплекс средств, обеспечивающий полный цикл функционирования производства или отдельного технологического процесса в различных областях экономики.

3.5 имитовставка: Строка бит фиксированной длины, полученная применением симметричного криптографического метода к сообщению, добавляемая к сообщению для обеспечения его целостности и аутентификации источника данных.

3.6 исходное сообщение: Сообщение до защиты его протоколом CRISP.

3.7 криптографический набор; криптонабор: Совокупность криптографических алгоритмов и параметров, используемых в протоколе CRISP.

3.8 неинтерактивный протокол: Протокол, не требующий взаимного обмена сообщениями.

3.9 окно принятых сообщений: Диапазон допустимых порядковых номеров CRISP-сообщений, в котором помечены порядковые номера принятых CRISP-сообщений.

Примечание - Максимальным номером окна принятых сообщений является максимальный номер среди принятых CRISP-сообщений; минимальный номер окна принятых сообщений определяется максимальным номером окна принятых сообщений и размером окна принятых сообщений.

3.10 отправитель: Сторона, создающая CRISP-сообщение из исходного сообщения.

3.11 получатель: Сторона, восстанавливающая исходное сообщение из CRISP-сообщения.

3.12 производный ключ: Ключ шифрования сообщения или ключ вычисления имитовставки.


4 Обозначения

В настоящем стандарте использованы следующие обозначения:


V*

- множество всех двоичных строк конечной длины, включая пустую строку;


|x|

- длина (число компонент) строки
;

- множество всех двоичных строк длины s, где s - целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево, начиная с нуля;


x||y

- конкатенация двоичных строк
x
и
y
из
V
*, т.е. строка из
, в которой подстрока с большими номерами компонент из
, совпадает со строкой
x
, а подстрока с меньшими номерами компонент из
, совпадает со строкой
y
;

- множество всех байтовых строк длины
l
,
1; имеет место соответствие между элементами множеств
и
, задаваемое равенством
, где
,
,
,
i
= 0, 1, ..., 8
I
-1;

- двоичная строка, состоящая из r нулей;



- отображение, ставящее в соответствие строке
,
, строку
,
,
i
= 0, 1, ...,
m
-1,
1;


- отображение, ставящее в соответствие строке
,
, строку
,
,
i
= 0, 1, ...,
m
- 1,
1;

binary(’string’,l)

- представление символьной строки
string
, состоящей из
m
символов,
1, в виде байтовой строки длины
l
,
, при котором сначала осуществляется посимвольный (с сохранением порядка следования символов) перевод исходной строки в байтовую строку (
, ...,
,
) длины
m
в соответствии с ASCII-представлением каждого символа, после чего в случае
l=m
в качестве результата выдается байтовая строка (
, ...,
,
), а в случае
l>m
- байтовая строка (0x00, ..., 0x00,
, ...,
,
) длины
l
;

byte(X,l)

- представление целого числа
X
,
, в виде байтовой строки длины
I
,
1, при котором соответствующая итоговой байтовой строке двоичная строка
,
,
i
= 0, 1, ..., 8
l
-1 есть бинарное представление числа
X
, т.е.
;


- ключ шифрования сообщения;



- ключ вычисления имитовставки;


K

- базовый ключ;


Size

- размер окна принятых сообщений.


5 Структура CRISP-сообщения


5.1 Перечень полей CRISP-сообщения

Здесь и далее названия полей сообщений выделяют прямым полужирным шрифтом. При указании конкретного значения поля используют курсив.

Для записи чисел используется сетевой порядок байтов (Big-endian).

Перечень полей CRISP-сообщения приведен в таблице 1.

Таблица 1 - Перечень полей CRISP-сообщения


Номер поля

Наименование поля

Длина поля в битах

1

Заголовок

ExternalKeyldFlag

1

2

Version

15

3

CS

8

4

Keyld

От 8 до 1024

5

SeqNum

48

6

PayloadData

Переменная

7

ICV

Переменная, определяется значением CS


5.2 ExternalKeyldFlag

Признак необходимости внешней информации для однозначного определения базового ключа для обработки входящего CRISP-сообщения. Длина поля - 1 бит.

ExternalKeyldFlag = 0 означает, что базовый ключ для обработки входящего CRISP-сообщения однозначно определяется значением Keyld. ExternalKeyldFlag = 1 означает, что для однозначного определения базового ключа для обработки входящего CRISP-сообщения требуется дополнительная информация.


5.3 Version

Версия протокола CRISP. Беззнаковое целое число. Длина поля - 15 бит.

Текущий документ описывает протокол CRISP, для которого Version = 0.


5.4 CS

Идентификатор криптографического набора. Беззнаковое целое число. Длина поля - 8 бит.

Идентификатор определяет криптографический набор, используемый для создания CRISP-сообщения или восстановления исходного сообщения из CRISP-сообщения. Всего может использоваться не более 256 различных криптонаборов, исходя из 8-битной длины поля CS CRISP-сообщения.

Список механизмов и параметров, определяемых и/или описываемых в криптографическом наборе, приведен в таблице 2.

Таблица 2 - Состав криптографического набора


Параметр

Описание

Правила задания

Назначение

EncryptionAlg

Алгоритм шифрования данных

Описание блочного шифра (или ссылка на такое описание); описание режима работы блочного шифра (или ссылка на такое описание), включая задание всех необходимых параметров

Алгоритм используется при шифровании сообщения (поля PayloadData)

MACAIg

Алгоритм выработки имитовставки

Описание алгоритма (или ссылка на такое описание), включая задание всех необходимых параметров

Алгоритм используется при выработке имитовставки для полей 1-6 CRISP-сообщения

MACLength

Длина имитовставки

Длина имитовставки задается в байтах

-

DerivelV

Алгоритм формирования синхропосылки

Описание алгоритма (или ссылки на такое описание); алгоритм должен быть согласован со спецификациями шифров и режимами их работы

Алгоритм используется для формирования синхропосылки при шифровании сообщения

DeriveKey

Алгоритмы выработки производных ключей из базового ключа

Описание алгоритмов, включая задание всех необходимых параметров

Алгоритмы используются для формирования ключей шифрования сообщения и ключей вычисления имитовставки


5.5 Keyld

Идентификатор ключа. Двоичная строка.

означает, что поле
Keyld
не используется. В остальных случаях:
- если
(
Keyld
) = 0, то длина поля
Keyld
составляет 1 байт и оставшиеся 7 бит содержат значение идентификатора ключа;
- если
(
Keyld
) = 1, то оставшиеся 7 бит первого байта интерпретируются как беззнаковое целое число и определяют количество дополнительных байтов (от 1 до 127). Дополнительные байты содержат значение идентификатора ключа.

5.6 SeqNum

Порядковый номер сообщения. Беззнаковое целое число. Длина поля - 48 бит.

Используется также для формирования синхропосылки алгоритма шифрования.


5.7 PayloadData

Исходное сообщение или зашифрованное исходное сообщение. Поле переменной длины.

Применение шифрования при обработке сообщения определяется использованным криптографическим набором (значением поля CS).


5.8 ICV

Имитовставка. Двоичная строка. Длина поля определяется использованным криптографическим набором (значением поля CS). Для конкретного значения CS длина поля ICV может принимать только одно фиксированное значение.

Поле содержит значение имитовставки, рассчитанной для полей 1-6 CRISP-сообщения.


6 Ограничения

Максимальный размер CRISP-сообщения (суммарная длина всех полей CRISP-сообщения) - 2048 байт.

Предполагается следующее:

- отправитель и получатель имеют общий базовый ключ;

- с каждым базовым ключом ассоциирован идентификатор ключа, который может быть использован при определении базового ключа для обработки CRISP-сообщения;

- с каждым базовым ключом ассоциировано множество отправителей. Каждый из них обладает идентификатором отправителя Sourceldentifier, который может быть как внешней по отношению к Keyld информацией, так и частью Keyld. Идентификатор однозначно определяет отправителя для каждого базового ключа, т.е. у разных отправителей, имеющих общий базовый ключ, Sourceldentifier различны;

- отправитель и получатель имеют общие криптографические наборы;

- задача определения базового ключа обработки сообщения отправителем и получателем находится за рамками протокола CRISP;

- для каждого отправителя и получателя настроен размер окна принятых сообщений.

Примечания

1 Способ установки на отправителе и получателе общего базового ключа, его идентификатора, криптографических наборов и Sourceldentifier находится за рамками протокола CRISP.

2 Под определением базового ключа для обработки сообщения отправителем или получателем понимается поиск нужного ключа среди установленных на отправителе или получателе на основании Keyld и, при необходимости, дополнительной информации, например Sourceldentifier.

3 Размер идентификатора отправителя Sourceldentifier должен быть в пределах от 4 до 32 байт.

4 Размер окна принятых сообщений Size должен быть в пределах от 1 до 256 (включительно) сообщений.


7 Обработка CRISP-сообщения


7.1 Инициализация порядкового номера сообщения и окна принятых сообщений

Перед первым использованием конкретного базового ключа с целью защиты сообщений отправитель устанавливает начальное значение (инициализирует) SeqNum. Инициализация SeqNum может потребоваться также для восстановления после сбоев в нумерации сообщений.

Настоящий стандарт не специфицирует конкретный алгоритм инициализации
SeqNum
. При этом алгоритм инициализации совместно с правилом формирования порядкового номера исходящих сообщений должны обеспечивать нахождение значения
SeqNum
в диапазоне от 0 до
(включительно) и строгое возрастание значения
SeqNum
для каждого сообщения, создаваемого одним отправителем с использованием одного базового ключа.

Перед первым использованием конкретного базового ключа для каждого ассоциированного с ним отправителя с целью восстановления сообщений получатель устанавливает максимальный и минимальный номера окна принятых сообщений равными 0.


7.2 Защита исходного сообщения отправителем

Предполагается, что определен базовый ключ, его идентификатор и криптонабор для формирования CRISP-сообщения данному получателю.

Для создания CRISP-сообщения выполняется такая последовательность действий:

- формируется порядковый номер сообщения SeqNum - текущее значение SeqNum увеличивается на 1;

- из базового ключа вырабатываются ключи шифрования (в случае, если криптографическим набором предусмотрено шифрование) и вычисления имитовставки;

- формируются поля заголовка CRISP-сообщения - поля 1-5 таблицы 1;

- если криптографическим набором предусмотрено шифрование, то зашифровывается исходное сообщение;

- вычисляется значение имитовставки ICV от содержимого полей 1-6 таблицы 1, т.е. для заголовка CRISP-сообщения и исходного сообщения (в случае, если криптографическим набором не предусмотрено шифрование) или заголовка CRISP-сообщения и зашифрованного сообщения (в случае, если криптографическим набором предусмотрено шифрование).


7.3 Восстановление исходного сообщения получателем

Для восстановления исходного сообщения из CRISP-сообщения выполняется такая последовательность действий:

а) если версия протокола CRISP Version или идентификатор криптографического набора CS, указанные в заголовке, не поддерживаются получателем, то обработка CRISP-сообщения прекращается;

б) согласно значению Keyld и в случае ExternalKeyldFlag = 1 дополнительной информации определяется базовый ключ, устанавливается отправитель и выбирается окно принятых сообщений от данного отправителя;

в) проверяется допустимость значения SeqNum входящего CRISP-сообщения:

1) если значение SeqNum входящего CRISP-сообщения меньше минимального номера окна принятых сообщений, то обработка CRISP-сообщения прекращается;

2) если значение SeqNum входящего CRISP-сообщения принадлежит окну принятых сообщений и данный порядковый номер CRISP-сообщения помечен как принятый в окне принятых сообщений, то обработка CRISP-сообщения прекращается;

3) в остальных случаях значение SeqNum входящего CRISP-сообщения является допустимым и осуществляется переход к следующему шагу;

г) из базового ключа вырабатываются ключи шифрования (если криптографическим набором предусмотрено шифрование) и вычисления имитовставки;

д) выполняется контроль целостности CRISP-сообщения путем проверки имитовставки:

1) если имитовставка, рассчитанная для полей 1-6 принятого CRISP-сообщения, неверна (не совпадает со значением поля ICV), то обработка CRISP-сообщения прекращается;

2) если имитовставка верна (совпадает со значением поля ICV), то осуществляется переход к следующему шагу;

е) обновляется окно принятых сообщений:

1) если значение SeqNum входящего CRISP-сообщения принадлежит окну принятых сообщений, то порядковый номер SeqNum помечается в окне принятых сообщений как принятый;

2) если значение SeqNum входящего CRISP-сообщения больше максимального номера окна принятых сообщений, то новым максимальным номером окна принятых сообщений становится значение SeqNum, порядковый номер SeqNum помечается в окне принятых сообщений как принятый, а новым минимальным номером окна принятых сообщений становится значение SeqNum - Size + 1 или 0, если значение SeqNum - Size + 1 меньше 0;

ж) извлекается исходное сообщение из поля PayloadData и, если криптографическим набором предусмотрено шифрование, то выполняется его расшифрование.


8 Криптографические наборы


8.1 Набор MAGMA-CTR-CMAC

8.1.1 Описание криптографического набора MAGMA-CTR-CMAC

Значение идентификатора данного криптонабора: CS = 1.

Описание криптографического набора MAGMA-CTR-CMAC приведено в таблице 3.

Таблица 3 - Описание криптографического набора MAGMA-CTR-CMAC


Параметр

Значение

EncryptionAlg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме гаммирования согласно ГОСТ Р 34.13-2015 (пункт 5.2)

MACAIg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6)

MACLength

4 байта

DerivelV

Описание приведено в 8.1.4

DeriveKey

Описание приведено в 8.1.5


8.1.2 Алгоритм шифрования

Для шифрования данных используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме гаммирования согласно ГОСТ Р 34.13-2015 (пункт 5.2). В качестве ключа используется ключ шифрования сообщения
. Значение входного параметра режима гаммирования
s
= 64. В качестве синхропосылки используется значение, определенное в 8.1.4. Дополнение сообщений для режима гаммирования не предусмотрено.

8.1.3 Алгоритм выработки имитовставки

Для вычисления имитовставки
ICV
, содержащейся в поле
ICV
CRISP-сообщения, используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6). В качестве ключа используется ключ вычисления имитовставки
. Значение входного параметра режима выработки имитовставки s = 32. Криптографическое дополнение данных для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

8.1.4 Алгоритм формирования синхропосылки

Для формирования из 48-битного порядкового номера сообщения SeqNum, содержащегося в поле SeqNum CRISP-сообщения, 32-битной синхропосылки IV используются 32 младших бита SeqNum:

.

8.1.5 Алгоритм выработки производных ключей

Для выработки ключей шифрования сообщения и вычисления имитовставки используется функция

CMAC(Key,Data),

которая реализуется с помощью блочного шифра "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6) для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64. Криптографическое дополнение для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

Для выработки ключа шифрования сообщения и ключа вычисления имитовставки используется следующий алгоритм:

;
.

Для каждого числа i = 1,..., 8 вычисляются 64-битные величины:

,

где:

- Key - инициализируется базовым ключом K;

- Label = binary(’macenc’, 6);

- aL = byte(6,1);

-
(byte(
SegNum
, 6)), где
SeqNum
инициализируется значением
SeqNum
CRISP-сообщения;

- Node = Sourceldentifier, где Sourceldentifier инициализируется значением идентификатора отправителя;

- CS - инициализируется значением CS CRISP-сообщения;

- cL = byte(ContextLength, 2), где ContextLength - сумма длин (в байтах) значений SN, Node и CS:

- OutputLength = 512, где OutputLength - необходимая битовая длина вырабатываемого ключевого материала;

- oL = byte(OutputLength, 2).


8.2 Набор MAGMA-NULL-CMAC

8.2.1 Описание криптографического набора MAGMA-NULL-CMAC

Значение идентификатора данного криптонабора: CS = 2.

Описание криптографического набора MAGMA-NULL-CMAC приведено в таблице 4.

Таблица 4 - Описание криптографического набора MAGMA-NULL-CMAC


Параметр

Значение

EncryptionAlg

Не используется

MACAIg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6)

MACLength

4 байта

DerivelV

Не используется

DeriveKey

Описание приведено в 8.2.3


8.2.2 Алгоритм выработки имитовставки

Для вычисления имитовставки
ICV
, содержащейся в поле
ICV
CRISP-сообщения, используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6). В качестве ключа используется ключ вычисления имитовставки
. Значение входного параметра режима выработки имитовставки
s
= 32. Криптографическое дополнение данных для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

8.2.3 Алгоритм выработки производных ключей

Для выработки ключа вычисления имитовставки используется функция

CMAC(Key,Data),

которая реализуется с помощью блочного шифра "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6) для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64. Криптографическое дополнение для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

Для выработки ключа вычисления имитовставки используется следующий алгоритм:

.

Для каждого числа i = 1,..., 4 вычисляются 64-битные величины:

,

где:

- Key - инициализируется базовым ключом K;

- Label = binary(’macmac’, 6);

- aL = byte(6,1);

-
(byte(
SegNum
, 6)), где
SeqNum
инициализируется значением
SeqNum
CRISP-сообщения;

- Node = Sourceldentifier, где Sourceldentifier инициализируется значением идентификатора отправителя;

- CS - инициализируется значением CS CRISP-сообщения;

- cL = byte(ContextLength, 2), где ContextLength - сумма длин (в байтах) значений SN, Node и CS;

- OutputLength = 256, где OutputLength - необходимая битовая длина вырабатываемого ключевого материала;

- oL = byte(OutputLength, 2).


8.3 Набор MAGMA-CTR-CMAC8

8.3.1 Описание криптографического набора MAGMA-CTR-CMAC8

Значение идентификатора данного криптонабора: CS = 3.

Описание криптографического набора MAGMA-CTR-CMAC8 приведено в таблице 5.

Таблица 5 - Описание криптографического набора MAGMA-CTR-CMAC8


Параметр

Значение

EncryptionAlg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме гаммирования согласно ГОСТ Р 34.13-2015 (пункт 5.2)

MACAIg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6)

MACLength

8 байт

DerivelV

Описание приведено в 8.3.4

DeriveKey

Описание приведено в 8.3.5


8.3.2 Алгоритм шифрования

Для шифрования данных используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме гаммирования согласно ГОСТ Р 34.13-2015 (пункт 5.2). В качестве ключа используется ключ шифрования сообщения
. Значение входного параметра режима гаммирования
s
= 64. В качестве синхропосылки используется значение, определенное в 8.3.4. Дополнение сообщений для режима гаммирования не предусмотрено.

8.3.3 Алгоритм выработки имитовставки

Для вычисления имитовставки
ICV
, содержащейся в поле
ICV
CRISP-сообщения, используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6). В качестве ключа используется ключ вычисления имитовставки
. Значение входного параметра режима выработки имитовставки
s
= 64. Криптографическое дополнение данных для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

8.3.4 Алгоритм формирования синхропосылки

Для формирования из 48-битного порядкового номера сообщения SeqNum, содержащегося в поле SeqNum CRISP-сообщения, 32-битной синхропосылки IV используются 32 младших бита SeqNum

.

8.3.5 Алгоритм выработки производных ключей

Для выработки ключей шифрования сообщения и вычисления имитовставки используется функция

CMAC(Key,Data),

которая реализуется с помощью блочного шифра "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6) для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64. Криптографическое дополнение для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

Для выработки ключа шифрования сообщения и ключа вычисления имитовставки используется следующий алгоритм:

;
.

Для каждого числа i = 1, ..., 8 вычисляются 64-битные величины:

,

где:

- Key - инициализируется базовым ключом K;

- Label = binary(’macenc’, 6);

- aL = byte(6, 1);

-
(byte(
SegNum
, 6)), где
SeqNum
инициализируется значением
SeqNum
CRISP-сообщения;

- Node = Sourceldentifier, где Sourceldentifier инициализируется значением идентификатора отправителя;

- CS - инициализируется значением CS CRISP-сообщения;

- cL = byte(ContextLength, 2), где ContextLength - сумма длин (в байтах) значений SN, Node и CS;

- OutputLength = 512, где OutputLength - необходимая битовая длина вырабатываемого ключевого материала;

- oL = byte(OutputLength, 2).


8.4 Набор MAGMA-NULL-CMAC8

8.4.1 Описание криптографического набора MAGMA-NULL-CMAC8

Значение идентификатора данного криптонабора: CS = 4.

Описание криптографического набора MAGMA-NULL-CMAC8 приведено в таблице 6.

Таблица 6 - Описание криптографического набора MAGMA-NULL-CMAC8


Параметр

Значение

EncryptionAlg

Не используется

MACAIg

Блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6)

MACLength

8 байт

DerivelV

Не используется

DeriveKey

Описание приведено в 8.4.3


8.4.2 Алгоритм выработки имитовставки

Для вычисления имитовставки
ICV
, содержащейся в поле
ICV
CRISP-сообщения, используется блочный шифр "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6). В качестве ключа используется ключ вычисления имитовставки
. Значение входного параметра режима выработки имитовставки
s
= 64. Криптографическое дополнение данных для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

8.4.3 Алгоритм выработки производных ключей

Для выработки ключа вычисления имитовставки используется функция

CMAC(Key,Data),

которая реализуется с помощью блочного шифра "Магма" согласно ГОСТ Р 34.12-2015 (раздел 5) в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015 (пункт 5.6) для данных Data на ключе Key. Значение входного параметра режима выработки имитовставки s = 64. Криптографическое дополнение для режима выработки имитовставки выполняется согласно ГОСТ Р 34.13-2015 (пункт 4.1).

Для выработки ключа вычисления имитовставки используется следующий алгоритм

.

Для каждого числа i = 1, ..., 4 вычисляются 64-битные величины:

,

где:

- Key - инициализируется базовым ключом K;

- Label = binary(’macmac’, 6);

- aL = byte(6, 1);

-
(byte(
SegNum
, 6)), где
SeqNum
инициализируется значением
SeqNum
CRISP-сообщения;

- Node = Sourceldentifier, где Sourceldentifier инициализируется значением идентификатора отправителя;

- CS - инициализируется значением CS CRISP-сообщения;

- cL = byte(ContextLength,2), где ContextLength - сумма длин (в байтах) значений SN, Node и CS;

- OutputLength = 256, где OutputLength - необходимая битовая длина вырабатываемого ключевого материала;

- oL = byte(OutputLength, 2).

Приложение А

(справочное)


Контрольные примеры

Приводимые ниже значения Sourceldentifier, Keyld, SeqNum и базового ключа K рекомендуется использовать только для проверки корректной работы конкретной реализации алгоритмов, описанных в настоящем стандарте.

Все числовые значения приведены в шестнадцатеричной системе счисления.

В данном приложении двоичные строки из
V
*, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации опускается. То есть строка
будет представлена в виде
, где
{0, 1, ..., 9, a, b, c, d, e, f},
i
= 0, 1, ...,
r
- 1. Соответствие между двоичными строками длины 4 и шестнадцатеричными строками длины 1 задается естественным образом (таблица А.1).

Преобразование, ставящее в соответствие двоичной строке длины 4r шестнадцатеричную строку длины r, и соответствующее обратное преобразование для простоты записи опускается.

Таблица А.1 - Соответствие между двоичными и шестнадцатеричными строками


Двоичная запись

Шестнадцатеричная запись

0000

0

0001

1

0010

2

0011

3

0100

4

0101

5

0110

6

0111

7

1000

8

1001

9

1010

a

1011

b

1100

c

1101

d

1110

e

1111

f


Примечание - Символ "\\" обозначает перенос числа на новую строку.

А.1 Набор MAGMA-CTR-CMAC: CS = 1

Для формирования сообщения используются следующие значения:

ExternalKeyldFlag = 1

Version = 0

K = 56509427153249653498524659324653\\

Исходное сообщение:

PayloadData = 48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

На основе исходных данных получаются следующие значения ключа вычисления имитовставки
, ключа шифрования
, зашифрованного сообщения и имитовставки
ICV
:
eeb0f6814257ad08964eabe5e0993d38\\
e3316ad28c788c38dafdeb9388e234bd\\

Зашифрованное сообщение:

d324643aefd97b93b18d343a2fba477e\\

C704cd8d14ac1cf74ceb25577af8fc2c\\

Итоговое сообщение будет иметь следующий вид:

800001300b76e6736001\\

d324643aefd97b93b18d343a2fba477e\\

c704cd8d14ac1cf74ceb25577af8fc2c\\

25fa9050a1\\

А.2 Набор MAGMA-NULL-CMAC: CS = 2

Для формирования сообщения используются следующие значения:

ExternalKeyldFlag = 1

Version = 0

K = 56509427153249653498524659324653\\

Исходное сообщение:

PayloadData = 48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

На основе исходных данных получаются следующие значения ключа вычисления имитовставки
и имитовставки
ICV
:
C3e3780f87f2caf539fdad56d9cb0340\\

Итоговое сообщение будет иметь следующий вид:

800002300b76е66ea001\\

48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

6765730а03\\

А.3 Набор MAGMA-CTR-CMAC8: CS = 3

Для формирования CRISP-сообщения используются следующие значения:

ExternalKeyldFlag = 1

Version = 0

K = 56509427153249653498524659324653\\

Исходное сообщение:

PayloadData = 48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

На основе исходных данных получаются следующие значения ключа вычисления имитовставки
, ключа шифрования
, зашифрованного сообщения и имитовставки
ICV
.
742ae2acebae5fed1cc7acfd614d9cf2\\
C241ebfac49d476859e1e6388a94660b\\

Зашифрованное сообщение:

9def18d705afde4e00edb132a8b8d480\\

18ffe760fdd34cecd6461c3553c3087c\\

Итоговое сообщение будет иметь следующий вид:

800003300b76e6736001\\

9def18d705afde4e00edb132a8b8d480\\

18ffe760fdd34cecd6461c3553c3087c\\

d0756f1569\\

А.4 Набор MAGMA-NULL-CMAC8: CS = 4

Для формирования сообщения используются следующие значения:

ExternalKeyldFlag = 1

Version = 0

К = 56509427153249653498524659324653\\

Исходное сообщение:

PayloadData = 48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

На основе исходных данных получаются следующие значения ключа вычисления имитовставки
и имитовставки
ICV
.
5d4885a48e3bee6f79a3bd099ada4f68\\

Итоговое сообщение будет иметь следующий вид:

800004300b76e66ea001\\

48692120546869732069732074657374\\

20666f72204352495350206d65737361\\

6765730а03\\

УДК 004.42:006.354

ОКС 35.040


Ключевые слова: криптографические протоколы, защищенная передача данных, индустриальные системы, аутентификация, шифрование, ключ


Превью ГОСТ Р 71252-2024 Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем