Приложение А (информационное). Свойства режимов работы. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 10116-93 "Информационная технология. Режимы работы для алгоритма n-разрядного блочного шифрования" (утв. постановлением Госстандарта РФ от 28.12.1993 N 272) (не действует)

Приложение А
(информационное)

Свойства режимов работы

А.1 Свойства режима работы электронного кодового справочника (ЕСВ)

А.1.1 Условия применения

Передаваемые блоки информации - это такой перенос информации между ЭВМ и людьми, который может иметь повторения или обычно используемые последовательности. В режиме ЕСВ идентичный открытый текст синтезирует (при том же ключе) идентичные блоки шифротекста.

А.1.2 Характеристики режима ЕСВ:

a) шифрование и дешифрование блоков могут осуществляться независимо от других блоков;

b) переупорядочение блоков шифротекста приведет к соответствующему переупорядочению блоков открытого текста;

c) тождественный блок открытого текста всегда породит тождественный блок шифротекста (при одном и том же ключе), делая его уязвимым к "словарной атаке".

Режим ЕСВ обычно не рекомендуется для сообщений длиннее чем один блок. Применение режима ЕСВ может в дальнейшем быть установлено в международных стандартах для таких специальных целей, когда повторение характеристик допустимо или блоки доступны индивидуально.

А.1.3 Требования к набивке

Только блоки по n разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до n-разрядного предела.

А.1.4 Распространение ошибки

В режиме ЕСВ один или более ошибочных битов внутри отдельного блока шифротекста будут воздействовать только на дешифрование блока, в котором ошибка(ки) произошла(ли). При предположении, что шифр обладает свойством, при котором замена одного бита открытого текста вызывает в среднем 50%-е изменение шифротекста, каждый бит восстановленной версии открытого текста этого блока будет иметь среднюю ошибку порядка 50%.

А.1.5 Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой бита), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор, пока не будут восстановлены правильные границы блока. Результат всех операций дешифрования будет неверным, пока границы блока утрачены.

А.2 Свойства режима работы последовательного блочного шифрования (СВС)

А.2.1 Условия применения

Режим СВС порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной. Пользователям, которых интересует эта характеристика, необходимо знать, как следует заменять запуск открытого текста, ключа или запускающей переменной. Во-первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме СВС блока информации. Во-вторых, для случая, когда шифруют записи, размеры которых не должны увеличиваться, - использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произвольной выборкой).

А.2.2 Свойства

Свойства режима СВС:

a) последующая операция делает блоки шифротекста зависимыми от текущего и всех предыдущих блоков открытого текста, и поэтому блоки не могут быть переставлены;

b) использование различных значений SV исключает шифрование тождественного открытого текста в тождественный шифротекст.

А.2.3 Требование к набивке

Только блоки по n разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до n-разрядного предела. Если это не допустимо, последняя переменная может обрабатываться специальным путем. Два примера специальной обработки приведены ниже.

Первой возможностью обработать неполную последнюю переменную (т.е. переменную при j<n разрядов, где q должно быть больше 1) является шифрование в режиме OFB, как описано ниже:

a) шифрование

; (27)

b) дешифрование

. (28)

Тем не менее эта последняя переменная уязвима к "выбранной атаке открытого текста", если SV не является секретной или если она используется более одного раза с тождественным ключом (см. А.4).

Вторая возможность известна как "шифротекст-упрятывание". Допустим, что последние две переменные открытого текста представляют собой и , где есть n-разрядный блок, является переменной из j<n разрядов и q должно быть больше 1.

a) Шифрование.

Пусть является блоком шифротекста, получаемым из с использованием метода, описанного в 5.2. В таком случае

. (29)

Последние две переменные шифротекста в таком случае представляют собой и .

b) Дешифрование

должна быть дешифрована первой, в результате чего она дает переменную и самые правые n-j разрядов :

. (30)

Законченный блок теперь доступен, и может быть получен с использованием метода, описанного в 5.3.

Две замыкающие переменные шифротекста дешифруются в обратном порядке, что делает это решение менее пригодным для аппаратной реализации.

А.2.4 Распространение ошибки

В режиме СВС один и более ошибочных разрядов внутри отдельного блока шифротекста будут влиять на дешифрование двух блоков (блока, в котором ошибка совершена, и последующего блока). Если ошибки есть в i-ом блоке шифротекста, каждый разряд i-го дешифрованного блока открытого текста будет иметь в среднем порядка 50% ошибок при предположении, что шифр обладает таким свойством, при котором изменение одного разряда открытого текста приводит в среднем к 50%-ному изменению в шифротексте. Дешифрованный (i+1) блок открытого текста будет иметь только те разряды в ошибке, которые прямо зависят от разрядов шифротекста в ошибке. Если ошибки содержит переменная из менее чем n разрядов, распространение ошибки зависит от выбранного метода специальной обработки. В первом примере дешифрованный короткий блок будет иметь те разряды в ошибке, которые прямо связаны с разрядами шифротекста в ошибке. Если ошибки есть в блоке, предшествующем блоку из менее чем n разрядов, дешифрованный короткий блок будет иметь среднее значение разрядов ошибки порядка 50%. В шифротексте, имеющем случайные ошибки, короткий блок или последний блок шифротекста приводит к ошибочным разрядам порядка 50%.

А.2.5 Границы блока

Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор, пока не будут восстановлены правильные границы блока. Результат всех операций дешифрования будет неверным, пока границы блока утрачены.

А.3 Свойства режима работы шифрования с обратной связью (CFB)

А.3.1 Условия применения

Режим CFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной. Пользователям, которых интересует эта характеристика, необходимо знать, как заменить запуск открытого текста, ключ или запускающую переменную. Во-первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме CFB блока информации. Во-вторых, в случае, когда шифруют записи, размеры которых не должны увеличиваться, - использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произвольной выборкой).

А.3.2 Свойства

Свойства режима CFB:

a) последующая операция делает переменные шифротекста зависимыми от текущей и всех предыдущих переменных открытого текста, и поэтому j-разрядные переменные связаны вместе и не могут быть переставлены;

b) использование различных значений SV делает невозможным шифрование тождественного открытого текста в тождественный шифротекст;

c) оба процесса шифрования и дешифрования в режиме CFB используют формулу шифрования алгоритма;

d) мощность режима CFB зависит от размера k (максимальна, если j=k);

е) выбор малого значения j будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса.

А.3.3 Требования к набивке

Только блоки по j разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до j-разрядного предела. Тем не менее, в большинстве применений j следует выбирать равным размеру символа и набивка не потребуется.

А.3.4 Распространение ошибки

В режиме CFB ошибки в любом j-разрядном элементе шифротекста будут влиять на дешифрование следующего шифротекста до тех пор, пока биты в ошибке будут сдвигаться без сохранения выдвигаемых разрядов входного блока режима CFB. Первый подверженный влиянию j-разрядный элемент открытого текста будет искажен именно в тех местах, где в шифротексте имеется ошибка. При предположении, что шифр обладает свойством, при котором изменение одного бита открытого текста вызывает в среднем 50%-е изменение в шифротексте, в последующем дешифрованном открытом тексте каждый разряд будет иметь среднюю ошибку порядка 50% до тех пор, пока все ошибки будут сдвигаться без сохранения выдвигаемых разрядов входного блока.

А.3.5 Границы блока

Если j-разрядные границы утеряны между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), криптографическая синхронизация будет восстановлена до n разрядов после того, как восстановятся j-разрядные границы. Если блок из j разрядов утерян, синхронизация будет восстановлена автоматически после обработки n разрядов.

А.4 Свойства режима работы с обратной связью по выходу (OFB)

А.4.1 Условия применения

Режим OFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной. Кроме того, в режиме OFB порождается тождественный поток ключей, когда используются тождественные ключ и SV. Следовательно, из соображений секретности специальная SV должна быть использована только один раз для заданного ключа.

А.4.2 Свойства

Свойства режима OFB:

a) отсутствие связанности делает режим OFB более уязвимым к специальным атакам;

b) использование различных значений SV, порождая различные потоки ключей, препятствует шифрованию тождественного открытого текста в тождественный шифротекст;

c) обе процедуры шифрования и дешифрования в режиме OFB используют формулу шифрования алгоритма;

d) режим OFB не зависит от открытого текста при генерации потока ключей, используемых для сложения по модулю 2 к открытому тексту;

e) выбор малого значения j будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса.

A.4.3 Требования к набивке

Только блоки по j разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до j-разрядного предела. Тем не менее, в большинстве применений j следует выбирать равным размеру символа и набивка не потребуется.

А.4.4 Распространение ошибки

Режим OFB не расширяет ошибки шифротекста на выходе результирующего открытого текста. Каждый бит в ошибке шифротекста вызывает только один бит, который будет ошибочным в дешифрованном открытом тексте.

А.4.5 Границы блока

Режим OFB не является самосинхронизирующимся. Если две операции шифрования и дешифрования выходят из синхронизации, система нуждается в приведении в исходное состояние (реинициализации). Такая потеря синхронизации может быть (если j>1) из-за потери правильных границ блоков по j разрядов (например, обусловлена ошибкой разряда).

Каждое восстановление исходного состояния должно использовать значение SV, отличное от значений SV, использованных до этого с тождественным ключом. Основанием для этого является то, что для тождественных параметров всякий раз должен порождаться идентичный поток разрядов. Указанные условия делают режим OFB уязвимым к "известной атаке открытого текста".