ДЕРЖСТАНДАРТ 28147 89 розмір блоку шифрування.

Алгоритм шифрування ГОСТ 28147-89, його використання та програмна реалізація для комп'ютерів платформи Intel x86.

Андрій Винокуров

Опис алгоритму.

Терміни та позначення.

Опис стандарту шифрування Російської Федераціїміститься в дуже цікавому документі, під назвою «Алгоритм криптографічного перетворення ГОСТ 28147-89» . Те, що в його назві замість терміна «шифрування» фігурує загальне поняття « криптографічне перетворення », Зовсім не випадково. Крім кількох тісно пов'язаних між собою процедур шифрування, в документі описаний один побудований на загальних принципахз ними алгоритм виробітку імітівставки . Остання є нічим іншим, як криптографічною контрольною комбінацією, тобто кодом, що виробляється з вихідних даних з використанням секретного ключа з метою імітозахисту , або захисту даних від внесення до них несанкціонованих змін.

На різних кроках алгоритмів ГОСТу дані, якими вони оперують, інтерпретуються та використовуються по-різному. У деяких випадках елементи даних обробляються як масиви незалежних бітів, в інших випадках – як ціле число без знака, у третіх – як складний елемент, що має структуру, що складається з декількох більш простих елементів. Тому, щоб уникнути плутанини, слід домовитися про позначення, що використовуються.

Елементи даних у цій статті позначаються великими латинськими літерами з похилим зображенням (наприклад, X). Через | X| позначається розмір елемента даних Xу бітах. Таким чином, якщо інтерпретувати елемент даних Xяк ціле невід'ємне число, можна записати таку нерівність:.

Якщо елемент даних складається з кількох елементів меншого розміру, цей факт позначається так: X=(X 0 ,X 1 ,…,X n –1)=X 0 ||X 1 ||…||X n-1. Процедура об'єднання кількох елементів даних один називається конкатенацією даних та позначається символом «||». Звісно, для розмірів елементів даних має виконуватися таке співвідношення: | X|=|X 0 |+|X 1 |+…+|X n-1 |. При заданні складних елементів даних та операції конкатенації складові елементи даних перераховуються у порядку зростання старшинства. Іншими словами, якщо інтерпретувати складовий елемент і всі елементи даних, що входять до нього, як цілі числа без знака, то можна записати таку рівність:

В алгоритмі елемент даних може інтерпретуватися як масив окремих бітів, у цьому випадку біти позначаємо тією ж літерою, що і масив, але в рядковому варіанті, як показано на наступному прикладі:

X=(x 0 ,x 1 ,…,x n –1)=x 0 +2 1 · x 1 +…+2 n-1 · x n –1 .

Таким чином, якщо ви звернули увагу, для ГОСТу прийнято т.зв. "little-endian" нумерація розрядів, тобто. всередині багаторозрядних слів даних окремі двійкові розряди та їх групи з меншими номерами менш значущі. Про це прямо йдеться у пункті 1.3 стандарту: «При складанні та циклічному зрушенні двійкових векторів старшими розрядами вважаються розряди накопичувачів з великими номерами». Далі, пункти стандарту 1.4, 2.1.1 та інші наказують починати заповнення даними регістрів-накопичувачів віртуального пристрою шифрування з молодших, тобто. менш значних розрядів. Такий самий порядок нумерації прийнятий в мікропроцесорній архітектурі Intel x86, саме тому при програмній реалізації шифру на цій архітектурі ніяких додаткових перестановок розрядів усередині слів даних не потрібно.

Якщо над елементами даних виконується деяка операція, має логічний сенс, то передбачається, що операція виконується над відповідними бітами елементів. Іншими словами A B=(a 0 b 0 ,a 1 b 1 ,…,a n –1 b n-1), де n=|A|=|B|, а символом «» позначається довільна бінарна логічна операція; як правило, мається на увазі операція виключає або , вона ж - операція підсумовування за модулем 2:

Логіка побудови шифру та структура ключової інформації ГОСТу.

Якщо уважно вивчити оригінал ГОСТ 28147-89, можна побачити, що він містить опис алгоритмів кількох рівнів. На верхньому знаходяться практичні алгоритми, призначені для шифрування масивів даних і вироблення для них імітівставки. Усі вони спираються на три алгоритми нижчого рівня, які називаються в тексті ГОСТу циклами . Ці фундаментальні алгоритми згадуються у цій статті як базові цикли , щоб відрізняти їх від інших циклів. Вони мають такі назви та позначення, останні наведені у дужках і зміст їх буде пояснений пізніше:

цикл зашифрування (32-З);
цикл розшифрування (32-Р);
цикл вироблення імітівставки (16-З).

У свою чергу, кожен з базових циклів є багаторазовим повторенням однієї єдиної процедури, званої для визначеності далі в цій роботі основним кроком криптоперетворення .

Таким чином, щоб розібратися у ГОСТі, треба зрозуміти три наступні речі:

що таке основний крок криптоперетворення;
як із основних кроків складаються базові цикли;
як із трьох базових циклів складаються всі практичні алгоритми ДСТУ.

Перш ніж перейти до вивчення цих питань, слід поговорити про ключову інформацію, яку використовують алгоритми ГОСТу. Відповідно до принципу Кірхгофа, якому задовольняють усі сучасні відомі широкому загалу шифри, саме її секретність забезпечує секретність зашифрованого повідомлення. У ГОСТі ключова інформація складається із двох структур даних. Крім власне ключа , необхідного для всіх шифрів, вона містить ще й таблицю замін . Нижче наведено основні характеристики ключових структур Держстандарту.

Основний крок криптоперетворення.

Основний крок криптоперетворення за своєю суттю є оператором, що визначає перетворення 64-бітового блоку даних. Додатковим параметромцього оператора є 32-бітовий блок, в якості якого використовується будь-який елемент ключа. Схема алгоритму основного кроку наведено малюнку 1.

Малюнок 1. Схема основного кроку криптоперетворення алгоритму ГОСТ 28147-89.

Нижче наведено пояснення до алгоритму основного кроку:

Крок 0

N- 64-бітовий блок даних, що перетворюється, в ході виконання кроку його молодша ( N 1) та старша ( N 2) частини обробляються окремі 32-битовые цілі числа без знака. Таким чином, можна записати N=(N 1 ,N 2).
X- 32-бітовий елемент ключа;

Крок 1

Додавання з ключем. Молодша половина блоку, що перетворюється складається по модулю 2 32 з використовуваним на кроці елементом ключа, результат передається на наступний крок;

Крок 2

Побічна заміна. 32-бітове значення, отримане на попередньому кроці, інтерпретується як масив із восьми 4-бітових блоків коду: S=(S 0 , S 1 , S 2 , S 3 , S 4 , S 5 , S 6 , S 7), причому S 0 містить 4 наймолодших, а S 7 – 4 найстарші біти S.

Далі значення кожного з восьми блоків замінюється новим, яке вибирається за таблицею замін наступним чином: значення блоку S iзмінюється на S i-Тий по порядку елемент (нумерація з нуля) i-того вузла заміни (тобто. i-того рядка таблиці замін, нумерація також з нуля). Іншими словами, як заміна для значення блоку вибирається елемент з таблиці замін з номером рядка, рівним номеру блоку, що замінюється, і номером стовпця, рівним значенню замінного блоку як 4-бітового цілого неотрицательного числа. Звідси стає зрозумілим розмір таблиці замін: число рядків у ній дорівнює числу 4-бітових елементів у 32-бітовому блоці даних, тобто восьми, а число стовпців дорівнює кількості різних значень 4-бітового блоку даних, що дорівнює як відомо 2 4 , шістнадцяти.

Крок 3

Циклічне зрушення на 11 біт ліворуч. Результат попереднього кроку зсувається циклічно на 11 біт у бік старших розрядів і передається наступний крок. На схемі алгоритму символом позначено функцію циклічного зсуву свого аргументу на 11 біт вліво, тобто. у бік старших розрядів.

Крок 4

Побітове додавання: значення, отримане на кроці 3, побітно складається по модулю 2 зі старшою половиною блоку, що перетворюється.

Крок 5

Зсув по ланцюжку: молодша частина блоку, що перетворюється, зрушується на місце старшої, а на її місце поміщається результат виконання попереднього кроку.

Крок 6

Отримане значення блоку, що перетворюється, повертається як результат виконання алгоритму основного кроку криптоперетворення.

Основні цикли криптографічних перетворень.

Як зазначено на початку цієї статті, ДЕРЖСТАНДАРТ відноситься до класу блокових шифрів, тобто одиницею обробки інформації в ньому є блок даних. Отже, цілком логічно очікувати, що в ньому будуть визначені алгоритми для криптографічних перетворень, тобто для зашифрування, розшифрування та обліку в контрольній комбінації одного блоку даних. Саме ці алгоритми і називаються базовими циклами ГОСТу, що підкреслює їхнє фундаментальне значення для побудови цього шифру.

Базові цикли побудовані з основних кроків криптографічного перетворення, розглянутого у попередньому розділі. У процесі виконання основного кроку використовується лише один 32-бітовий елемент ключа, тоді як ключ ДСТУ містить вісім таких елементів. Отже, щоб ключ був використаний повністю, кожен із базових циклів повинен багаторазово виконувати основний крок із різними його елементами. Разом з тим здається цілком природним, що в кожному базовому циклі всі елементи ключа повинні бути використані однакове число разів, з міркувань стійкості шифру це число має бути більше одного.

Всі зроблені вище припущення, які спираються просто на здоровий глузд, виявилися вірними. Базові цикли полягають у багаторазовому виконанні основного кроку з використанням різних елементів ключа та відрізняються один від одного лише числом повторення кроку та порядком використання ключових елементів. Нижче наведено цей порядок для різних циклів.

Цикл зашифрування 32-З:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 .

Малюнок 2а. Схема циклу зашифрування 32-З

Цикл розшифрування 32-Р:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 ,K 7 ,K 6 ,K 5 ,K 4 ,K 3 ,K 2 ,K 1 ,K 0 .

Малюнок 2б. Схема циклу розшифрування 32-Р

Цикл вироблення імітівставки 16-З:

K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 ,K 0 ,K 1 ,K 2 ,K 3 ,K 4 ,K 5 ,K 6 ,K 7 .

Малюнок 2в. Схема циклу вироблення імітівставки 16-З.

Кожен із циклів має власне буквено-цифрове позначення, що відповідає шаблону « n-X», де перший елемент позначення ( n), задає число повторень основного кроку в циклі, а другий елемент позначення ( X), літера, визначає порядок зашифрування («З») або розшифрування («Р») у використанні ключових елементів. Цей порядок потребує додаткового пояснення:

Цикл розшифрування має бути зворотним циклу зашифрування, тобто послідовне застосування цих двох циклів до довільного блоку має дати в результаті вихідний блок, що відображається таким співвідношенням: Ц 32-Р ( Ц 32-З ( T))=T, де T- Довільний 64-бітовий блок даних, Ц X ( T) – результат виконання циклу Xнад блоком даних T. Для виконання цієї умови для алгоритмів, подібних до ГОСТу, необхідно і достатньо, щоб порядок використання ключових елементів відповідними циклами був взаємно зворотним. У справедливості записаної умови для даного випадку легко переконатися, порівнявши наведені вище послідовності для циклів 32-З і 32-Р. Зі сказаного випливає одне цікаве наслідок: властивість циклу бути зворотним іншому циклу є взаємним, тобто цикл 32-З є зворотним по відношенню до циклу 32-Р. Іншими словами, зашифрування блоку даних теоретично може бути виконане за допомогою циклу розшифрування, у цьому випадку розшифрування блоку даних має бути виконане циклом зашифрування. З двох взаємно зворотних циклів будь-який може бути використаний для зашифрування, тоді другий повинен бути використаний для розшифрування даних, проте стандарт ГОСТ28147-89 закріплює ролі за циклами і не надає користувачеві права вибору цього питання.

Цикл вироблення імітівставки вдвічі коротший за цикли шифрування, порядок використання ключових елементів у ньому такий же, як у перших 16 кроках циклу зашифрування, в чому неважко переконатися, розглянувши наведені вище послідовності, тому цей порядок в позначенні циклу кодується тією ж літерою «З».

Схеми базових циклів наведені малюнки 2а-в. Кожен з них приймає як аргумент і повертає як результат 64-бітовий блок даних, позначений на схемах N. Символ Крок( N,X) означає виконання основного кроку криптоперетворення для блоку даних Nз використанням ключового елемента X. Між циклами шифрування та обчислення імітівставки є ще одна відмінність, не згадана вище: наприкінці базових циклів шифрування старша та молодша частина блоку результату змінюються місцями, це необхідно для їхньої взаємної оборотності.

Основні режими шифрування.

ГОСТ 28147-89 передбачає три наступні режими шифрування даних:

проста заміна,
гамування,
гамування зі зворотним зв'язком,

і один додатковий режим вироблення імітівставки.

У будь-якому з цих режимів дані обробляються блоками по 64 біти, на які розбивається масив, що піддається криптографічного перетворення, саме тому ГОСТ відноситься до блокових шифрів. Однак у двох режимах гамування є можливість обробки неповного блоку даних розміром менше 8 байт, що істотно при шифруванні масивів даних з довільним розміром, який може бути кратним 8 байтам.

Перш ніж перейти до розгляду конкретних алгоритмів криптографічних перетворень, необхідно пояснити позначення, що використовуються на схемах у наступних розділах:

Tо, Tш – масиви відповідно відкритих та зашифрованих даних;

, – i- ті по порядку 64-бітові блоки відповідно відкритих та зашифрованих даних: , , Останній блок може бути неповним: ;

n- Число 64-бітових блоків в масиві даних;

Ц X – функція перетворення 64-бітового блоку даних алгоритму базового циклу «X».

Тепер опишемо основні режими шифрування:

Проста заміна.

Зашифрування у цьому режимі полягає у застосуванні циклу 32-З до блоків відкритих даних, розшифрування – циклу 32-Р до блоків зашифрованих даних. Це найбільш простий режими, 64-бітові блоки даних обробляються в ньому незалежно один від одного. Схеми алгоритмів зашифрування та розшифрування в режимі простої заміни наведені на рисунках 3а і б відповідно, вони тривіальні і не потребують коментарів.

Малюнок. 3а. Алгоритм зашифрування даних у режимі простої заміни

Малюнок. 3б. Алгоритм розшифрування даних у режимі простої заміни

Розмір масиву відкритих або зашифрованих даних, що піддається відповідно до зашифрування або розшифрування, повинен бути кратний 64 бітам: | T про |=| T ш | = 64 · n після виконання операції розмір отриманого масиву даних не змінюється.

Режим шифрування простою заміною має такі особливості:

Так як блоки даних шифруються незалежно один від одного і від їхньої позиції в масиві даних, при зашифруванні двох однакових блоків відкритого тексту виходять однакові блоки шифртексту і навпаки. Зазначене властивість дозволить криптоаналитику зробити висновок про тотожність блоків вихідних даних, якщо масиві зашифрованих даних йому зустрілися ідентичні блоки, що є неприпустимим для серйозного шифру.
Якщо довжина масиву даних, що шифрується, не кратна 8 байтам або 64 бітам, виникає проблема, чим і як доповнювати останній неповний блок даних масиву до повних 64 біт. Це завдання не таке просте, як здається на перший погляд. Очевидні рішення типу «доповнити неповний блок нульовими бітами» або, більш загально, «доповнити неповний блок фіксованою комбінацією нульових і одиничних бітів» можуть за певних умов дати в руки криптоаналітика можливість методами перебору визначити вміст цього неповного блоку, і цей факт означає зниження стійкості шифру. Крім того, довжина шифртексту при цьому зміниться, збільшившись до найближчого цілого, кратного 64 біт, що часто буває небажаним.

На перший погляд, перелічені вище особливості роблять практично неможливим використання режиму простої заміни, адже він може застосовуватися тільки для шифрування масивів даних з розміром кратним 64 біт, що не містить 64-бітових блоків, що повторюються. Здається, що з будь-яких реальних даних гарантувати виконання зазначених умов неможливо. Це майже так, але є один дуже важливий виняток: згадайте, що розмір ключа становить 32 байти, а розмір таблиці замін – 64 байти. Крім того, наявність 8-байтових блоків, що повторюються, в ключі або таблиці замін буде говорити про їх дуже погану якість, тому в реальних ключових елементах такого повторення бути не може. Таким чином, ми з'ясували, що режим простої заміни цілком підходить для шифрування ключової інформації, тим більше що інші режими для цієї мети менш зручні, оскільки вимагають наявності додаткового синхронізуючого елемента даних – синхропосилання (див. наступний розділ). Наша здогад вірна, ГОСТ пропонує використовувати режим простої заміни виключно для шифрування ключових даних.

Гамування.

Як можна позбутися недоліків режиму простої заміни? Для цього необхідно уможливити шифрування блоків з розміром менше 64 біт і забезпечити залежність блоку шифртексту від його номера, іншими словами, рандомізувати процес шифрування. У ГОСТі це досягається двома різними способами у двох режимах шифрування, що передбачають гамування . Гамування - це накладення (зняття) на відкриті (зашифровані) дані криптографічної гами, тобто послідовності елементів даних, що виробляються за допомогою деякого криптографічного алгоритму для отримання зашифрованих (відкритих) даних. Для накладання гами при зашифруванні та її зняття при розшифруванні повинні використовуватися взаємно зворотні бінарні операції, наприклад, додавання та віднімання за модулем 2 64 для 64-бітових блоків даних. У ГОСТі для цієї мети використовується операція побітового додавання по модулю 2, оскільки вона є зворотною собі і, до того ж, найбільш просто реалізується апаратно. Гамування вирішує обидві згадані проблеми: по-перше, всі елементи гами різні для реальних масивів, що шифруються, і, отже, результат зашифрування навіть двох однакових блоків в одному масиві даних буде різним. По-друге, хоча елементи гами і виробляються однаковими порціями в 64 біта, може використовуватися і частина такого блоку з розміром, рівним розміру блоку, що шифрується.

Тепер перейдемо безпосередньо до опису режиму гамування. Гамма для цього режиму виходить наступним чином: за допомогою деякого алгоритмічного рекурентного генератора послідовності чисел (РГПЧ) виробляються 64-бітові блоки даних, які піддаються перетворенню по циклу 32-З, тобто зашифрування в режимі простої заміни, в результаті виходять блоки гами. Завдяки тому, що накладання і зняття гами здійснюється за допомогою однієї і тієї ж операції побитового виключає або алгоритми зашифрування і розшифрування в режимі гамування ідентичні, їх загальна схема наведена на малюнку 4.

РГПЛ, що використовується для вироблення гами, є рекурентною функцією: – елементи рекурентної послідовності, f- Функція перетворення. Отже, неминуче виникає питання про його ініціалізацію, тобто про елемент Насправді цей елемент даних є параметром алгоритму для режимів гамування, на схемах він позначений як S, і називається у криптографії синхропосилкою , а в нашому ГОСТі – початковим заповненням одного з регістрів шифрувача. З певних міркувань розробники ДСТУ вирішили використовувати для ініціалізації РГПЛ не безпосередньо синхропосилку, а результат її перетворення за циклом 32-З: . Послідовність елементів, що виробляються РГПЛ, повністю залежить від початкового заповнення, тобто елементи цієї послідовності є функцією свого номера і початкового заповнення РГПЧ: де f i(X)=f(f i –1 (X)), f 0 (X)=X. З урахуванням перетворення за алгоритмом простої заміни додається ще й залежність від ключа:

де Г i– i-Тий елемент гами, K- Ключ.

Таким чином, послідовність елементів гами для використання в режимі гамування однозначно визначається ключовими даними та синхропосиланням. Природно, для оборотності процедури шифрування в процесах за- та розшифрування повинна використовуватися та сама синхропосилання. З вимоги унікальності гами, невиконання якого призводить до катастрофічного зниження стійкості шифру, випливає, що для шифрування двох різних масивів даних на одному ключі необхідно забезпечити використання різних синхропосилок. Це призводить до необхідності зберігати або передавати синхропосилання каналами зв'язку разом із зашифрованими даними, хоча в окремих особливих випадках вона може бути зумовлена або обчислюватися особливим чином, якщо виключається шифрування двох масивів на одному ключі.

Тепер докладно розглянемо РГПЛ, що використовується у ГОСТі для створення елементів гами. Насамперед, слід зазначити, що до нього не пред'являються вимоги забезпечення будь-яких статистичних характеристик послідовності чисел, що виробляється. РГПЛ спроектований розробниками ГОСТу, виходячи з необхідності виконання наступних умов:

період повторення послідовності чисел, що виробляється РГПЛ, не повинен сильно (у відсотковому відношенні) відрізнятися від максимально можливого при заданому розмірі блоку значення 264;
сусідні значення, що виробляються РГПЛ, повинні відрізнятися один від одного в кожному байті, інакше завдання криптоаналітика буде спрощено;
РГПЧ має бути досить просто реалізований як апаратно, так і програмно на найбільш поширених типах процесорів, більшість з яких, як відомо, мають розрядність 32 біти.

З перелічених принципів, творці ГОСТу спроектували дуже зручний РГПЛ, має такі характеристики:

Де C 0 =1010101 16 ;

Де C 1 =1010104 16 ;

Нижній індекс у записі числа означає його систему числення, таким чином, константи, що використовуються на цьому кроці, записані в 16-річній системі числення.

Друге вираження потребує коментарів, оскільки у тексті ГОСТу наведено щось інше: , з тим самим значенням константи C 1 . Але далі у тексті стандарту дається коментар, що, виявляється, під операцією взяття залишку за модулем 2 32 -1 тамрозуміється не те саме, що і в математиці. Відмінність полягає в тому, що згідно з ДСТУ (2 32 -1) mod(2 32 –1)=(2 32 –1), а чи не 0. Насправді, це спрощує реалізацію формули, а математично коректне вираз неї наведено вище.

період повторення послідовності для молодшої частини становить 232, для старшої частини 232-1, для всієї послідовності період становить 232 (232-1), доказ цього факту, дуже нескладне, отримаєте самі. Перша формула з двох реалізується за одну команду, друга, незважаючи на її громіздкість, за дві команди на всіх сучасних 32-розрядних процесорах - першою командою йде звичайне додавання по модулю 2 32 із запам'ятовуванням біта переносу, а друга команда додає біт переносу до отриманого значенню.

Схему алгоритму шифрування в режимі гамування наведено на малюнку 4, нижче викладено пояснення до схеми:

Малюнок 4. Алгоритм зашифрування (розшифрування) даних як гаммування.