Межгосударственный стандарт ГОСТ 34.13-2018
"Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров"
(введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N 1062-ст)
Information technology. Cryptographic data security. Modes of operation for block ciphers
МКС 35.040
Дата введения - 1 июня 2019 г.
Взамен ГОСТ 28147-89
в части раздела 2 "Режим простой замены";
раздела 3 "Режим гаммирования";
раздела 4 "Режим гаммирования с обратной связью";
раздела 5 "Режим выработки имитовставки"
Предисловие
Цели, основные принципы и основной порядок проведения работ по межгосударственной стандартизации установлены в ГОСТ 1.0-2015 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2-2015 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 Разработан Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС")
2 Внесен Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"
3 Принят Межгосударственным советом по метрологии, стандартизации и сертификации (протокол от 29 ноября 2018 г. N 54)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 |
Код страны по МК (ИСО 3166) 004-97 |
Сокращенное наименование национального органа по стандартизации |
Армения |
AM |
Минэкономики Республики Армения |
Киргизия |
KG |
Кыргызстандарт |
Россия |
RU |
Росстандарт |
Таджикистан |
TJ |
Таджикстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N 1062-ст межгосударственный стандарт ГОСТ 34.13-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 г.
5 Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.13-2015
6 Взамен ГОСТ 28147-89 в части раздела 2 "Режим простой замены"; раздела 3 "Режим гаммирования"; раздела 4 "Режим гаммирования с обратной связью"; раздела 5 "Режим выработки имитовставки"
Введение
Настоящий стандарт содержит описание режимов работы блочных шифров. Данные режимы работы блочных шифров определяют правила криптографического преобразования данных и выработки имитовставки для сообщений произвольного размера.
Необходимость разработки настоящего стандарта вызвана потребностью в определении режимов работы блочных шифров, соответствующих современным требованиям к криптографической стойкости.
Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО/МЭК 9797-1 [1], ИСО/МЭК 10116 [2], ИСО/МЭК 10118-1 [3], ИСО/МЭК 18033-1 [4], ИСО/МЭК 14888-1 [5].
Примечание - Основная часть стандарта дополнена приложением А "Контрольные примеры".
1 Область применения
Настоящий стандарт распространяется на криптографическую защиту информации и определяет режимы работы блочных шифров.
Режимы работы блочных шифров, определенные в настоящем стандарте, рекомендуется использовать при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.
2 Термины, определения и обозначения
2.1 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1.1 алгоритм зашифрования (encryption algorithm): Алгоритм, реализующий зашифрование, т.е. преобразующий открытый текст в шифртекст.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.2 алгоритм расшифрования (decryption algorithm): Алгоритм, реализующий расшифрование, т.е. преобразующий шифртекст в открытый текст.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.3 базовый блочный шифр (basic block cipher): Блочный шифр, реализующий при каждом фиксированном значении ключа одно обратимое отображение множества блоков открытого текста фиксированной длины в блоки шифртекста такой же длины.
2.1.4 блок (block): Строка бит определенной длины.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.5 блочный шифр (block cipher): Шифр из класса симметричных криптографических методов, в котором алгоритм зашифрования применяется к блокам открытого текста для получения блоков шифртекста.
Примечания
1 Адаптировано из ИСО/МЭК 18033-1 [4].
2 В настоящем стандарте установлено, что термины "блочный шифр" и "алгоритм блочного шифрования" являются синонимами.
2.1.6 дополнение (padding): Приписывание дополнительных бит к строке бит.
Примечание - Адаптировано из ИСО/МЭК 10118-1 [3].
2.1.7 зацепление блоков (block chaining): Шифрование информации таким образом, что каждый блок шифртекста криптографически зависит от предыдущего блока шифртекста.
2.1.8 зашифрование (encryption): Обратимое преобразование данных с помощью шифра, который формирует шифртекст из открытого текста.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.9 имитовставка (message authentication code): Строка бит фиксированной длины, полученная применением симметричного криптографического метода к сообщению, добавляемая к сообщению для обеспечения его целостности и аутентификации источника данных.
Примечание - Адаптировано из ИСО/МЭК 9797-1 [1].
2.1.10 ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.
Примечания
1 Адаптировано из ИСО/МЭК 18033-1 [4].
2 В настоящем стандарте рассматриваются ключи только в виде последовательности двоичных символов (битов).
2.1.11 начальное значение (starting variable): Значение, возможно, полученное из синхропосылки и используемое для задания начальной точки режима работы блочного шифра.
Примечание - Адаптировано из ИСО/МЭК 10116 [2].
2.1.12 открытый текст (plaintext): Незашифрованная информация.
Примечание - Адаптировано из ИСО/МЭК 10116 [2].
2.1.13 расшифрование (decryption): Операция, обратная к зашифрованию.
Примечания
1 Адаптировано из ИСО/МЭК 18033-1 [4].
2 В настоящем стандарте в целях сохранения терминологической преемственности по отношению к нормативным документам, действующим на территории государства, принявшего настоящий стандарт, и опубликованным ранее на русском языке научно-техническим изданиям применяется термин "шифрование", объединяющий операции, определенные терминами "зашифрование" и "расшифрование". Конкретное значение термина "шифрование" определяется в зависимости от контекста упоминания.
2.1.14 симметричный криптографический метод (symmetric cryptographic technique): Криптографический метод, использующий один и тот же ключ для преобразования, осуществляемого отправителем, и преобразования, осуществляемого получателем.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.15 синхропосылка (initializing value): Комбинация знаков, передаваемая по каналу связи и предназначенная для инициализации алгоритма шифрования.
2.1.16 сообщение (message): Строка бит произвольной конечной длины.
Примечание - Адаптировано из ИСО/МЭК 14888-1 [5].
2.1.17 счетчик (counter): Строка бит длины, равной длине блока блочного шифра, используемая при шифровании в режиме гаммирования.
Примечание - Адаптировано из ИСО/МЭК 10116 [2].
2.1.18 шифр (cipher): Криптографический метод, используемый для обеспечения конфиденциальности данных, включающий алгоритм зашифрования и алгоритм расшифрования.
Примечание - Адаптировано из ИСО/МЭК 18033-1 [4].
2.1.19 шифртекст (ciphertext): Данные, полученные в результате зашифрования открытого текста в целях скрытия его содержания.
Примечание - Адаптировано из ИСО/МЭК 10116 [2].
2.2 Обозначения
В настоящем стандарте применены следующие обозначения:
V* - множество всех двоичных строк конечной длины, включая пустую строку;
- множество всех двоичных строк длины s, где s - целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево, начиная с нуля;
- число компонент (длина) строки
(если А - пустая строка, то
= 0);
- конкатенация строк А,
, т.е. строка из
, в которой подстрока с большими номерами компонент из
совпадает со строкой А, а подстрока с меньшими номерами компонент из
совпадает со строкой В;
- строка, состоящая из r нулей;
- операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины;
- кольцо вычетов по модулю 2s;
- операция сложения в кольце
;
- операция вычисления остатка от деления целого числа х на целое положительное число l;
- отображение, ставящее в соответствие строке
, m
s, строку
,
, i = 0, 1, ..., m - 1;
- отображение, ставящее в соответствие строке
, m
s, строку
,
, i = 0, 1, ..., m - 1;
- операция логического сдвига строки А на r компонент в сторону компонент, имеющих большие номера. Если
, то
Vs, причем
- отображение, ставящее в соответствие строке
Vs многочлен
;
- биективное отображение, сопоставляющее элементу кольца
его двоичное представление, т.е. для любого элемента
, представленного в виде z = z0 + 2
z1 + ... + 2s-1
zs-1, где zi
{0, 1}, i = 0, 1, ..., s - 1, выполнено равенство
;
- отображение, обратное к отображению Vecs, т.е.
;
k - параметр алгоритма блочного шифрования, называемый длиной ключа;
n - параметр алгоритма блочного шифрования, называемый длиной блока;
- отображение, реализующее базовый алгоритм блочного шифрования и осуществляющее преобразование блока открытого текста P
Vn с использованием ключа (шифрования) K
Vk в блок шифртекста С
Vn: Е(Р, K) = С;
- отображение, реализующее зашифрование с использованием ключа K
Vk, т.е. eK(Р) = Е(Р, K) для всех Р
Vn;
- отображение, реализующее расшифрование с использованием ключа K
Vk, т.е. dK =
.
3 Общие положения
Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования:
- режим простой замены (ЕСВ, англ. Electronic Codebook);
- режим гаммирования (CTR, англ. Counter);
- режим гаммирования с обратной связью по выходу (OFB, англ. Output Feedback);
- режим простой замены с зацеплением (СВС, англ. Cipher Block Chaining);
- режим гаммирования с обратной связью по шифртексту (CFB, англ. Cipher Feedback);
- режим выработки имитовставки (англ. Message Authentication Code algorithm).
Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока n.
4 Вспомогательные операции
4.1 Дополнение сообщения
4.1.1 Общие положения
Отдельные из описанных ниже режимов работы (режим гаммирования, режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту) могут осуществлять криптографическое преобразование сообщений произвольной длины. Для других режимов (режим простой замены, режим простой замены с зацеплением) требуется, чтобы длина сообщения была кратна некоторой величине l. В последнем случае при работе с сообщениями произвольной длины необходимо применение процедуры дополнения сообщения до требуемой длины. Ниже приведены три процедуры дополнения.
Пусть Р V* исходное сообщение, подлежащее зашифрованию.
4.1.2 Процедура 1
Пусть r = modl. Положим
.
Примечание - Описанная процедура в некоторых случаях не обеспечивает однозначного восстановления исходного сообщения. Например, результаты дополнения сообщений P1, такого что =
для некоторого q, и Р2 = P1
0 будут одинаковы. В этом случае для однозначного восстановления необходимо дополнительно знать длину исходного сообщения.
4.1.3 Процедура 2
Пусть r = modl. Положим
.
Примечание - Данная процедура обеспечивает однозначное восстановление исходного сообщения. При этом если длина исходного сообщения кратна l, то длина дополненного сообщения будет увеличена.
4.1.4 Процедура 3
Пусть r = modl.
В зависимости от значения r возможны случаи:
- если r = l, то последний блок не изменяется Р* = Р;
- если r < l, то применяется процедура 2.
Примечания
1 Данная процедура обязательна для режима выработки имитовставки (5.6) и не рекомендуется для использования в других режимах (5.1-5.5).
2 Выбор конкретной процедуры дополнения предоставляется разработчику информационной системы и/или регламентируется другими нормативными документами.
4.2 Выработка начального значения
В некоторых режимах работы используются величины, начальное значение которых вычисляется на основании синхропосылки IV; обозначим через m суммарную длину указанных величин. Будем обозначать процедуру выработки начального значения через и называть процедурой инициализации. Будем называть процедуру инициализации тривиальной, если
. Если не оговорено иное, будем считать, что используется тривиальная процедура инициализации на основе синхропосылки необходимой длины.
Во всех описываемых в настоящем стандарте режимах работы не требуется обеспечение конфиденциальности синхропосылки. Вместе с тем процедура выработки синхропосылки должна удовлетворять одному из следующих требований:
- значения синхропосылки для режимов простой замены с зацеплением и гаммирования с обратной связью по шифртексту необходимо выбирать случайно, равновероятно и независимо друг от друга из множества всех допустимых значений. В этом случае значение каждой используемой синхропосылки IV должно быть непредсказуемым (случайным или псевдослучайным): зная значения всех других используемых синхропосылок, значение IV нельзя определить с вероятностью большей, чем ;
- все значения синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования, должны быть уникальными, т.е. попарно различными. Для выработки значений синхропосылок может быть использован детерминированный счетчик;
- значение синхропосылки для режима гаммирования с обратной связью по выходу должно быть либо непредсказуемым (случайным или псевдослучайным), либо уникальным.
Примечание - Режим простой замены не предусматривает использования синхропосылки.
4.3 Процедура усечения
В некоторых режимах используется усечение строк длины n до строк длины s, s n, с использованием функции Ts = MSBs, т.е. в качестве операции усечения используется операция взятия бит с большими номерами.
5 Режимы работы алгоритмов блочного шифрования
5.1 Режим простой замены
5.1.1 Общие положения
Длина сообщений, зашифровываемых в режиме простой замены, должна быть кратна длине блока базового алгоритма блочного шифрования n, поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.
Зашифрование (расшифрование) в режиме простой замены заключается в зашифровании (расшифровании) каждого блока текста с помощью базового алгоритма блочного шифрования.
5.1.2 Зашифрование
Открытый и при необходимости дополненный текст P V*,
= n
q, представляется в виде:
, Pi
Vn, i = 1, 2, ..., q. Блоки шифртекста вычисляют по следующему правилу:
.
(1)
Результирующий шифртекст имеет вид:
.
Зашифрование в режиме простой замены показано на рисунке 1.
Рисунок 1 - Зашифрование в режиме простой замены
5.1.3 Расшифрование
Шифртекст представляется в виде: , Сi
Vn, i = 1, 2, ..., q. Блоки открытого текста вычисляются по следующему правилу:
.
(2)
Исходный (дополненный) открытый текст имеет вид:
.
Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.
Расшифрование в режиме простой замены показано на рисунке 2.
Рисунок 2 - Расшифрование в режиме простой замены
5.2 Режим гаммирования
5.2.1 Общие положения
Параметром режима гаммирования является целочисленная величина s, 0 < s n. При использовании режима гаммирования не требуется применение процедуры дополнения сообщения.
Для зашифрования (расшифрования) каждого отдельного открытого текста на одном ключе используется значение уникальной синхропосылки IV
.
Зашифрование в режиме гаммирования заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s путем зашифрования последовательности значений счетчика CTRi Vn, i = 1, 2, ..., базовым алгоритмом блочного шифрования с последующим усечением. Начальным значением счетчика является
. Последующие значения счетчика вырабатываются с помощью функции Add: Vn
Vn следующим образом:
.
(3)
5.2.2 Зашифрование
Открытый текст Р V* представляется в виде
, Pi
Vs, i = 1, 2, ..., q - 1, Pq
Vr, r
s. Блоки шифртекста вычисляются по следующему правилу:
.
(4)
Результирующий шифртекст имеет вид:
.
Зашифрование в режиме гаммирования показано на рисунке 3.
Рисунок 3 - Зашифрование в режиме гаммирования
5.2.3 Расшифрование
Шифртекст представляется в виде: , Ci
Vs, i = 1, 2, ..., q - 1, Сq
Vr, r
s.
Блоки открытого текста вычисляются по следующему правилу:
.
(5)
Исходный открытый текст имеет вид:
.
Расшифрование в режиме гаммирования показано на рисунке 4.
Рисунок 4 - Расшифрование в режиме гаммирования
5.3 Режим гаммирования с обратной связью по выходу
5.3.1 Общие положения
Параметрами режима гаммирования с обратной связью по выходу являются целочисленные величины s и m, 0 < s n, m = n
z, z
1 - целое число.
При использовании режима гаммирования с обратной связью по выходу не требуется применение процедуры дополнения сообщения.
При шифровании на одном ключе для каждого отдельного открытого текста используется значение уникальной или непредсказуемой (случайной или псевдослучайной) синхропосылки IV Vm.
При шифровании в режиме гаммирования с обратной связью по выходу используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.
Зашифрование в режиме гаммирования с обратной связью по выходу заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование n разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования. Затем заполнение регистра сдвигается на n бит в сторону разрядов с большими номерами, при этом в разряды с меньшими номерами записывается полученный выход базового алгоритма блочного шифрования. Блок гаммы вычисляется путем усечения выхода базового алгоритма блочного шифрования.
5.3.2 Зашифрование
Открытый текст Р V* представляется в виде
, Pi
Vs, i = 1, 2, ..., q - 1, Pq
Vr, r
s. Блоки шифртекста вычисляются по следующему правилу:
.
(6)
Результирующий шифртекст имеет вид:
.
Зашифрование в режиме гаммирования с обратной связью по выходу показано на рисунке 5.
Рисунок 5 - Зашифрование в режиме гаммирования с обратной связью по выходу
5.3.3 Расшифрование
Шифртекст представляется в виде: , Ci
Vs, i = 1, 2, ..., q - 1, Сq
Vr, r
s.
Блоки открытого текста вычисляются по следующему правилу:
.
(7)
Исходный открытый текст имеет вид:
.
Расшифрование в режиме гаммирования с обратной связью по выходу показано на рисунке 6.
Рисунок 6 - Расшифрование в режиме гаммирования с обратной связью по выходу
5.4 Режим простой замены с зацеплением
5.4.1 Общие положения
Параметром режима простой замены с зацеплением является целочисленная величина m, m = n z, z
1 - целое число.
Длина сообщений, зашифровываемых в режиме простой замены с зацеплением, должна быть кратна длине блока базового алгоритма блочного шифрования n, поэтому при необходимости к исходному сообщению должна быть предварительно применена процедура дополнения.
При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки IV Vm.
При шифровании в режиме простой замены с зацеплением используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.
В режиме простой замены с зацеплением очередной блок шифртекста получается путем зашифрования результата покомпонентного сложения значения очередного блока открытого текста со значением n разрядов регистра сдвига с большими номерами. Затем регистр сдвигается на один блок в сторону разрядов с большими номерами. В разряды с меньшими номерами записывается значение блока шифртекста.
5.4.2 Зашифрование
Открытый и при необходимости дополненный текст P V*,
= n
q, представляется в виде:
, Pi
Vn, i = 1, 2, ..., q. Блоки шифртекста вычисляются по следующему правилу:
.
(8)
Результирующий шифртекст имеет вид:
.
Зашифрование в режиме простой замены с зацеплением показано на рисунке 7.
Рисунок 7 - Зашифрование в режиме простой замены с зацеплением
5.4.3 Расшифрование
Шифртекст представляется в виде , Ci
Vn, i = 1, 2, ..., q. Блоки открытого текста вычисляются по следующему правилу:
.
(9)
Исходный (дополненный) открытый текст имеет вид:
.
Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.
Расшифрование в режиме простой замены с зацеплением показано на рисунке 8.
Рисунок 8 - Расшифрование в режиме простой замены с зацеплением
5.5 Режим гаммирования с обратной связью по шифртексту
5.5.1 Общие положения
Параметрами режима гаммирования с обратной связью по шифртексту являются целочисленные величины s и m, 0 < s n, n
m.
В конкретной системе обработки информации на длину сообщения Р может как накладываться ограничение = s
q, так и не накладываться никаких ограничений. В случае если такое ограничение накладывается, к исходному сообщению при необходимости должна быть предварительно применена процедура дополнения.
При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки IV Vm.
При шифровании в режиме гаммирования с обратной связью по шифртексту используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.
Зашифрование в режиме гаммирования с обратной связью по шифртексту заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование n разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования с последующим усечением. Затем заполнение регистра сдвигается на s разрядов в сторону разрядов с большими номерами, при этом в разряды с меньшими номерами записывается полученный блок шифртекста, являющийся результатом покомпонентного сложения гаммы шифра и блока открытого текста.
5.5.2 Зашифрование
Открытый текст Р V* представляется в виде
, Pi
Vs, i = 1, 2, ..., q - 1, Pq
Vr, r
s. Блоки шифртекста вычисляются по следующему правилу:
.
(10)
Результирующий шифртекст имеет вид:
.
Зашифрование в режиме гаммирования с обратной связью по шифртексту показано на рисунке 9.
Рисунок 9 - Зашифрование в режиме гаммирования с обратной связью по шифртексту
5.5.3 Расшифрование
Шифртекст представляется в виде: , Ci
Vs, i = 1, 2, ..., q - 1, Сq
Vr, r
s. Блоки открытого текста вычисляются по следующему правилу:
.
(11)
Исходный открытый текст имеет вид:
.
Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует провести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.
Расшифрование в режиме гаммирования с обратной связью по шифртексту показано на рисунке 10.
Рисунок 10 - Расшифрование в режиме гаммирования с обратной связью по шифртексту
5.6 Режим выработки имитовставки
5.6.1 Общие положения
Режим выработки имитовставки, описание которого представлено ниже, реализует конструкцию ОМАС1 (стандартизован в ISO под названием СМАС [1]).
Параметром режима является длина имитовставки (в битах) 0 < s n.
5.6.2 Выработка вспомогательных ключей
При вычислении значения имитовставки используются вспомогательные ключи, которые вычисляются с использованием ключа K. Длины вспомогательных ключей равны длине блока n базового алгоритма блочного шифрования.
Процедура выработки вспомогательных ключей может быть представлена в следующем виде:
,
где ,
.
Если значение n отлично от 64 и 128, необходимо использовать следующую процедуру определения значения константы Bn. Рассмотрим множество примитивных многочленов степени n над полем GF(2) с наименьшим количеством ненулевых коэффициентов. Упорядочим это множество лексикографически по возрастанию векторов коэффициентов и обозначим через fn(x) первый многочлен в этом упорядоченном множестве.
Рассмотрим поле GF(2n)[x]/(fn(x)), зафиксируем в нем степенной базис и будем обозначать операцию умножения в этом поле символом . Вспомогательные ключи K1, и K2 вычисляются следующим образом:
.
(12)
Примечание - Вспомогательные ключи K1 и K2 и промежуточное значение R наряду с ключом K являются секретными параметрами. Компрометация какого-либо из этих значений приводит к возможности построения эффективных методов анализа всего алгоритма.
5.6.3 Вычисление значения имитовставки
Процедура вычисления значения имитовставки похожа на процедуру зашифрования в режиме простой замены с зацеплением при m = n и инициализации начального заполнения регистра сдвига значением 0n: на вход алгоритму шифрования подается результат покомпонентного сложения очередного блока текста и результата зашифрования на предыдущем шаге. Основное отличие заключается в процедуре обработки последнего блока: на вход базовому алгоритму блочного шифрования подается результат покомпонентного сложения последнего блока, результата зашифрования на предыдущем шаге и одного из вспомогательных ключей. Конкретный вспомогательный ключ выбирается в зависимости от того, является ли последний блок исходного сообщения полным или нет. Значением имитовставки MAC является результат применения процедуры усечения к выходу алгоритма шифрования при обработке последнего блока.
Исходное сообщение P V*, для которого требуется вычислить имитовставку, представляется в виде:
,
где ,
,
,
.
Процедура вычисления имитовставки описывается следующим образом:
,
(13)
где
,
- последний блок сообщения, полученного в результате дополнения исходного сообщения с помощью процедуры 3.
Примечание - Настоятельно рекомендуется не использовать ключ режима выработки имитовставки в других криптографических алгоритмах, в том числе в режимах, обеспечивающих конфиденциальность, описанных в 5.1-5.5.
Процедура вычисления имитовставки показана на рисунках 11-13.
Рисунок 11 - Вычисление значения имитовставки - общий вид
Рисунок 12 - Вычисление значения имитовставки - случай полного последнего блока
Рисунок 13 - Вычисление значения имитовставки - случай с дополнением последнего блока
Библиография
Примечание - Оригиналы международных стандартов ИСО/МЭК находятся в национальных (государственных) органах по стандартизации* государств, принявших настоящий стандарт.
------------------------------
* В Российской Федерации оригиналы международных стандартов ИСО/МЭК находятся в Федеральном информационном фонде стандартов.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Межгосударственный стандарт ГОСТ 34.13-2018 "Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N 1062-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2018 г.
Дата введения - 1 июня 2019 г.
Текст ГОСТа приводится с учетом поправки, опубликованной в ИУС "Национальные стандарты", 2021 г., N 1
В настоящий документ внесены изменения следующими документами:
Изменение N 1, введенное в действие приказом Росстандарта от 13 октября 2023 г. N 1131-ст
Изменения вступают в силу с 1 ноября 2023 г.