GOST 28147-89

GOST 28147-89 „ Sisteme de procesare a informațiilor. Protecție criptografică. Algoritm de conversie criptografică „- standard de stat învechit (a se vedea cronologia de utilizare ) al URSS (și mai târziu standardul interstatal al CSI ), care descrie algoritmul de criptare a blocurilor simetrice și modurile sale de funcționare .

Este un exemplu de criptosisteme asemănătoare DES , create conform schemei iterative clasice Feistel .

Istoria creării cifrului și criteriile dezvoltatorilor au fost prezentate pentru prima dată public în 2014 de șeful grupului de dezvoltatori ai algoritmului Zabotin Ivan Alexandrovich, la o prelegere dedicată aniversării a 25 de ani de la adoptarea standardului rus pentru criptare simetrică [1] [2] .

Lucrările la algoritm, care ulterior a stat la baza standardului, au început ca parte a temei Magma (protecția informațiilor prin metode criptografice în calculatoarele din seria Sistem unificat ) în numele Consiliului Științific și Tehnic al Direcției a VIII-a Principală a KGB al URSS (acum în structura FSB ), în martie 1978 , după un lung studiu preliminar al standardului DES publicat în 1976 . De fapt, lucrările la crearea unui algoritm (sau a unui grup de algoritmi) similar cu algoritmul DES au început deja în 1976 .

Inițial, lucrările au fost etichetate „ Top Secret ”. Apoi au fost retrogradați la ștampila „ Secret ”. În 1983, algoritmul a fost retrogradat la „ Restricționat ”. Cu ultima notă a fost pregătit algoritmul pentru publicare în 1989 . La 9 martie 1987, un grup de criptografi (solicitant - unitate militară 43753) a primit un certificat de drept de autor cu prioritate Nr. 333297 pentru o invenție pentru un dispozitiv de criptare folosind algoritmul Magma-2 [3] .

Cronologia utilizării

Aprobat prin Decretul Standardului de Stat al URSS nr. 1409 din 2 iunie 1989 , intrat în vigoare la 1 iulie 1990 [4] .

La 31 martie 1996, a fost reeditat și pus în vigoare ca standard interstatal al CSI [5] .

Prin Decretul Standardului de Stat al Republicii Belarus nr. 3 din 17 decembrie 1992, acesta a fost pus în vigoare ca standard de stat al Republicii Belarus . Reeditată în martie 2011 [6] .

Prin ordinul Standardelor de stat pentru consumatori din Ucraina nr. 495 din 22 ianuarie 2008, GOST 28147-89 a fost reeditat pe teritoriul Ucrainei și a intrat în vigoare la 1 februarie 2009 sub denumirea DSTU GOST 28147:2009 [ 7] . Conform comenzilor curente, DSTU GOST 28147:2009 va fi valabil până la 1 ianuarie 2022 [8] . Există o înlocuire treptată cu DSTU 7624:2014 ( cod „Kalina”).

Standardul a fost anulat pe teritoriul Rusiei și CSI începând cu 31 mai 2019 din cauza adoptării de noi standarde interstatale care îl înlocuiesc complet GOST 34.12-2018 (descrie cifrurile Magma și Grasshopper ) și GOST 34.13-2018 (descrie moduri de operare ale cifrurilor bloc ).

Conform notificării FSB privind procedura de utilizare a algoritmului de criptare bloc GOST 28147-89, instrumentele de protecție a informațiilor criptografice concepute pentru a proteja informațiile care nu conțin informații care constituie un secret de stat , inclusiv cele care implementează algoritmul GOST 28147-89 , nu ar trebui să fie dezvoltat după 1 iunie 2019 , cu excepția cazului în care algoritmul GOST 28147-89 din astfel de instrumente este conceput pentru a asigura compatibilitatea cu instrumentele existente care implementează acest algoritm [9] .

Magma

În 2015, împreună cu noul algoritm „ Grasshopper ”, a fost publicată o variantă a algoritmului GOST 28147-89 sub numele de „ Magma ” ca parte a standardului GOST R 34.12-2015 și mai târziu ca parte a GOST 34.12-2018. standard . În 2020, algoritmul Magma a fost publicat ca RFC 8891 .

Particularitati:

• utilizați nodul de înlocuire fix id-tc26-gost-28147-param-Z ;
• valoarea cheii este citită ca un singur întreg little- endian (spre deosebire de little-endian utilizat în GOST 28147-89), ceea ce are ca rezultat alte chei rotunde;
• datele criptate sunt, de asemenea, citite ca un întreg mic endian (spre deosebire de little endian utilizat în GOST 28147-89).

Descrierea cifrului

GOST 28147-89 este un cifru bloc cu o cheie de 256 de biți și 32 de runde (numite runde) de transformare, care operează pe blocuri de 64 de biți. Baza algoritmului de cifrare este rețeaua Feistel .

Există patru moduri de funcționare GOST 28147-89:

• înlocuire simplă
• scalare
• scalarea feedback-ului
• mod de generare a inserării imitației .

Moduri de operare

Mod de schimb ușor

Pentru a cripta în acest mod, un bloc de text simplu de 64 de biți este mai întâi împărțit în două jumătăți: T o = ( A 0 , B 0 ) [10] . În ciclul i -lea, se utilizează subcheia X i :

Pentru a genera subchei, cheia originală de 256 de biți este împărțită în opt numere de 32 de biți: K 0 ... K 7 .

Subcheile X 0 ... X 23 sunt repetarea ciclică a lui K 0 ... K 7 . Dopurile X 24 ... X 31 sunt K 7 ... K 0 .

Rezultatul tuturor celor 32 de runde ale algoritmului este un bloc de text cifrat pe 64 de biți : Tw = ( A 32 , B 32 ) .

Decriptarea se realizează conform aceluiași algoritm ca și criptarea, cu schimbarea că ordinea subcheilor este inversată: X 0 ... X 7 sunt K 7 ... K 0 , iar X 8 ... X 31 sunt repetiții ciclice de K 7 ... K 0 .

În datele de intrare și de ieșire, numerele de 32 de biți sunt reprezentate în ordine de la bitul cel mai puțin semnificativ la cel mai semnificativ ( little endian ).

Funcția se calculează astfel:

A i și X i se adaugă modulo 2 32 .

Rezultatul este împărțit în opt subsecvențe de 4 biți, fiecare dintre acestea fiind transmisă la intrarea nodului său de tabel de substituție (în ordinea crescătoare a priorității biților), numită mai jos S-box . Numărul total de casete S din standard este de opt, care este același cu numărul de subsecvențe. Fiecare S-box este o permutare a numerelor de la 0 la 15 (forma specifică a S-box-urilor nu este definită în standard). Prima subsecvență de 4 biți este intrarea primei S-box, a doua este intrarea celei de-a doua și așa mai departe.

Dacă nodul S-box arată astfel:

1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

iar intrarea S-box-ului este 0, atunci ieșirea va fi 1; dacă intrarea este 4, atunci ieșirea va fi 5; dacă intrarea este 12, atunci ieșirea este 6 etc.

Ieșirile tuturor celor opt casete S sunt combinate într-un cuvânt de 32 de biți, apoi întregul cuvânt este rotit la stânga (în ordinea înaltă) cu 11 biți.

Modul de înlocuire simplă are următoarele dezavantaje:

• Poate fi folosit numai pentru a cripta texte simple cu o lungime care este un multiplu de 64 de biți [11]
• Criptarea blocurilor identice de text simplu are ca rezultat blocuri identice de text cifrat, care pot oferi anumite informații unui criptoanalist.

Astfel, utilizarea GOST 28147-89 în modul de înlocuire simplu este de dorit numai pentru criptarea datelor cheie [11] .

Jocuri de noroc

Când GOST 28147-89 funcționează în modul gamma , se formează un gamma criptografic în modul descris mai sus, care este apoi adăugat bit cu bit modulo 2 cu textul simplu original pentru a obține un text cifrat . Criptarea în modul gamma este lipsită de dezavantajele inerente modului de înlocuire simplu [11] . Așadar, chiar și blocurile identice ale textului sursă dau un text cifrat diferit, iar pentru textele cu o lungime care nu este un multiplu de 64 de biți, biții gamma „extra” sunt aruncați. În plus, gama poate fi generată în avans, ceea ce corespunde funcționării cifrului într-un mod de streaming.

Gama este generată pe baza cheii și a așa-numitului mesaj de sincronizare, care stabilește starea inițială a generatorului. Algoritmul de generare este următorul:

1. Mesajul de sincronizare este criptat folosind algoritmul de înlocuire simplu descris, valorile obținute sunt scrise în registrele auxiliare de 32 de biți N 3 și N 4  - cei mai puțin semnificativi și, respectiv, cei mai semnificativi biți.
2. N 3 se însumează modulo 2 32 cu constanta C 2 = 1010101 16
3. N 4 se însumează modulo 2 32 −1 cu constanta C 1 = 1010104 16
4. N 3 și N 4 sunt rescrise în N 1 și respectiv N 2 , care sunt apoi criptate folosind algoritmul de înlocuire simplu. Rezultatul este 64 de biți gamma.
5. Pașii 2-4 se repetă în funcție de lungimea textului criptat.

Pentru a-l decripta, trebuie să elaborați același gamma și apoi să îl adăugați bit cu bit modulo 2 cu textul cifrat. Evident, pentru aceasta trebuie să utilizați același mesaj de sincronizare ca și pentru criptare. În acest caz, pe baza cerințelor unicității gamma, este imposibil să utilizați un mesaj de sincronizare pentru a cripta mai multe matrice de date. De regulă, mesajul de sincronizare este transmis într-un fel sau altul împreună cu textul cifrat.

O caracteristică a GOST 28147-89 în modul gamma este că atunci când un bit din textul cifrat se modifică, doar un bit din textul decriptat se schimbă. Pe de o parte, acest lucru poate avea un efect pozitiv asupra imunității la zgomot; pe de altă parte, un atacator poate face unele modificări textului fără măcar să-l descifreze [11] .

Feedback gamification

Algoritmul de criptare este similar cu modul gamma, dar gama se bazează pe blocul anterior de date criptate, astfel încât rezultatul criptării blocului curent depinde și de blocurile anterioare. Din acest motiv, acest mod de operare este denumit și scalare interblocare.

Algoritmul de criptare este următorul:

1. Mesajul de sincronizare este introdus în registrele N1 și N2 .
2. Conținutul registrelor N 1 și N 2 este criptat în conformitate cu algoritmul de înlocuire simplă. Rezultatul este un bloc gamma pe 64 de biți.
3. Blocul gamma este adăugat pe biți modulo 2 la blocul de text simplu. Textul cifrat rezultat este introdus în registrele N 1 și N 2 .
4. Operațiunile 2-3 sunt efectuate pentru blocurile rămase de text care necesită criptare.

La modificarea unui bit din textul cifrat obținut folosind algoritmul de feedback gamma, doar un bit este modificat în blocul corespunzător de text decriptat și blocul următor de text simplu este de asemenea afectat. În acest caz, toate celelalte blocuri rămân neschimbate [11] .

Când utilizați acest mod, rețineți că mesajul de sincronizare nu poate fi reutilizat (de exemplu, atunci când criptați blocuri de informații separate logic - pachete de rețea, sectoare de hard disk etc.). Acest lucru se datorează faptului că primul bloc al textului cifrat este obținut doar prin adăugare modulo doi cu mesajul de sincronizare criptat; astfel, cunoașterea doar a primilor 8 octeți ai textului original și ai textului cifrat permite citirea primilor 8 octeți ai oricărui alt text cifrat după reutilizarea mesajului de sincronizare.

Modul de generare a inserției simulate

Acest mod nu este un mod de criptare în sensul convențional. Când lucrați în modul de simulare a inserției, este creat un bloc suplimentar care depinde de întregul text și de datele cheie. Acest bloc este folosit pentru a verifica dacă textul cifrat nu a fost manipulat accidental sau intenționat. Acest lucru este deosebit de important pentru criptarea în modul gamma, unde un atacator poate schimba biți specifici fără să cunoască măcar cheia; totuși, atunci când funcționează în alte moduri, distorsiunile probabile nu pot fi detectate dacă nu există informații redundante în datele transmise.

Imitația este generată pentru M ≥ 2 blocuri de text simplu de 64 de biți. Algoritmul este următorul:

1. Blocul de date deschis este scris în registrele N1 și N2 , după care suferă o transformare corespunzătoare primelor 16 cicluri de criptare în modul de înlocuire simplă.
2. Următorul bloc de date deschise este adăugat bit cu bit modulo 2 la rezultatul obținut. Ultimul bloc este completat cu zerouri dacă este necesar. Suma este, de asemenea, criptată în conformitate cu paragraful 1.
3. După adăugarea și criptarea ultimului bloc, din rezultat este selectată o inserție de imitație de lungime L biți: de la numărul de bit 32 − L la 32 (numărarea începe de la 1). Standardul recomandă alegerea lui L pe baza faptului că probabilitatea de a impune date false este 2 − L . Falsificarea este transmisă prin canalul de comunicare după blocurile criptate.

Pentru verificare, partea care primește efectuează o procedură similară celei descrise. Dacă rezultatul nu se potrivește cu inserția de simulare trecută, toate blocurile M corespunzătoare sunt considerate false.

Generarea unei imitații de inserție poate fi realizată în paralel cu criptarea utilizând unul dintre modurile de operare descrise mai sus [11] .

Noduri de înlocuire (blocuri S)

Toate cele opt cutii S pot fi diferite. Unii cred că ar putea fi un material cheie suplimentar care mărește lungimea efectivă a cheii; există totuși atacuri practice care permit determinarea lor [12] . Cu toate acestea, nu este nevoie să măriți lungimea cheii, 256 de biți este destul de suficient în prezent [13] . De obicei, tabelele de înlocuire sunt o setare de schemă pe termen lung, care este comună unui anumit grup de utilizatori.

Textul standardului GOST 28147-89 indică faptul că livrarea unităților de înlocuire a umplerii (blocuri S) este efectuată în modul prescris, adică de către dezvoltatorul algoritmului.

Nodurile de înlocuire definite de RFC 4357