Государственный стандарт шифрования Российской Федерации

GOST (ГОСТ 28147-89) – государственный стандарт шифрования Российской Федерации.

ГОСТ обязателен для применения во всех государственных и ведомственных структурах и во всех организациях, связанных с ними. ГОСТ не накладывает ограничений на степень секретности защищаемой информации. ГОСТ имеет открыто опубликованный алгоритм шифрования.

ГОСТ преобразует блоки сообщения длиной 64 бита в блоки криптограммы такой же длины. Ключ содержит 256 бит, число циклов равно 32. В качестве преобразований используются нелинейные табличные подстановки и сложение по модулю 2³². Помимо ключа длиной 256 бит имеется и долговременный ключ из 512 бит. Этот ключ меняет структуру S-блоков нелинейных преобразований.

ГОСТ реализован в программном и аппаратном исполнении. Основное преимущество аппаратной реализации состоит в том, что она гарантирует невозможность изменения программы или введения каких-либо программных закладок. В случае программного исполнения секретный ключ хранится в определенном секторе памяти.

Программная реализация обеспечивает скорости порядка 600–800 кбит/c. Аппаратная реализация – до 1 Мбит/с.

О стойкости данного метода шифрования можно судить по тому, что перебор всех ключей нереален при использовании любых технических средств. Данные по разностному или линейному криптоанализу не опубликованы.

Алгоритм шифрования ГОСТ основан на структуре Файстеля. Для каждого из 32 циклов с помощью ключа шифрования генерируется свой текущий ключ. Дешифрование выполняется по схеме шифрования при условии, что текущие ключи применяются в обратном порядке.

В отличие от DES генерация текущих ключей очень проста. Для этого последовательность из 256 символов, образующая ключ шифрования, разбивается в порядке следования на 8 цепочек по 32 бита: K ₀ , K ₁ ,…, K ₇ , . Три раза они используются в первоначальном порядке (24 цикла), а четвертый раз (с 25-го цикла по 32-й) в обратном: K ₇ , K ₆ ,…, K ₀ .

Вначале шифруемый блок из 64 бит разбивается на две части равной длины: левую L ₀ и правую R ₀ .

Далее на каждом цикле выполняется операция, которая преобразует цепочки L _i –1 и R _i –1 с помощью текущего ключа K _i  в новые цепочки L _i  и R _i .в соответствии с функциональной схемой на рис. 12. Только на 32-м шаге (как и на последней итерации шифра DES) перестановка не производится: слева остается L ₃₁ Å f(R _31 , K ₃₂) = L ₃₂, справа остается R ₃₁ = R ₃₂. Это необходимо для того, чтобы дешифрование происходило по схеме шифрования при использовании текущих ключей в обратном порядке.

Рис. 12. Функциональная схема одной итерации ГОСТ

6.Потоковые шифры

6.1.Аддитивные потоковые шифры

Идеально стойкая теоретически недешифруемая система аддитивного потокового шифрования, представленная на рис. 2, имеет ключ, образованный истинно случайной последовательностью, символы который равновероятны и взаимонезависимы. Эта система шифрования имеет два очевидных и существенных недостатка. Во-первых, разрядности ключа и сообщения, представленного в цифровой форме, должны быть одинаковыми, а, во-вторых, ключ может быть использован только один раз.

При передаче больших объемов информации среди многих пользователей такая система шифрования оказывается совершенно непрактичной и чрезвычайно дорогостоящей, поскольку требует не только генерации большого числа длинных ключевых последовательностей, но и секретного распределения созданных ключей среди соответствующих законных отправителей и получателей сообщений.

По этой причине совершенные криптосистемы, для которых стойкость к дешифрованию без знания ключа не зависит от вычислительной мощности оппонента, применяют лишь в исключительных случаях, а при построении эффективных широко используемых алгоритмов шифрования ограничиваются вычислительно стойкими алгоритмами.

Криптосистема является вычислительно стойкой, если наилучший алгоритм дешифрования без знания ключа требует времени больше, чем имеется в распоряжении оппонента, в частности, если время криптоанализа превышает время, в течение которого сообщение остается актуальным.

Вычислительно стойкая система аддитивного потокового шифрования представлена на рис. 7. Она имеет ключ разумной длины. Этот ключ вводится в генератор псевдослучайных последовательностей (ГПСП) и управляет его работой. Генератор ПСП по известному алгоритму расширяет относительно не длинный ключ в гамму , длина которой должна быть не меньше длины сообщения и которая может использоваться только один раз. Для шифрования следующего сообщения на том же ключе генерируется новая гамма.

Гамма является детерминированной функцией ключа, Однако ее статистические свойства не отличается от свойств случайной последовательности, в силу чего она и называется псевдослучайной последовательностью. При известном ключе шифрования гамма может быть легко повторена и отправителем, и получателем.

В схеме на рис. 7 гамма формируется независимо от символов сообщения . Каждому символу сообщения и соответствующему символу криптограммы соответствует один и тот же символ гаммы. Поэтому ни удаление, ни вставка каких бы то ни было символов в криптограмму не допустимо. Вся передача осуществляется в синхронном режиме. Ошибка при приеме символа криптограммы вызывает ошибку только в соответствующем символе расшифрованного текста. Размножения ошибок нет.

Потоковые шифры имеют следующие преимущества перед блоковыми:

• проще и дешевле аппаратная реализация,

• высокая скорость шифрования,

• отсутствует размножение ошибок, возникающих в каналах связи.

Эти преимущества привели к тому, что потоковые шифры получили наибольшее распространение при шифровании оцифрованных речевых сигналов и цифровых данных, требующих оперативной доставки потребителю. Наиболее типичным примером использования потоковых шифров является защита информации в сетях GSM.

Датчики гаммы весьма разнообразны. Во многих потоковых шифрах в качестве датчиков гаммы применяется хорошо известный из различных технических приложений рекуррентный метод формирования псевдослучайных последовательностей с помощью так называемого линейного рекуррентного регистра сдвига с обратными связями (ЛРР).