ГОСТ Р ИСО/МЭК 10116-93 Информационная технология. Режимы работы для алгоритма n-разрядного блочного шифрования

Обложка ГОСТ Р ИСО/МЭК 10116-93 Информационная технология. Режимы работы для алгоритма n-разрядного блочного шифрования
Обозначение
ГОСТ Р ИСО/МЭК 10116-93
Наименование
Информационная технология. Режимы работы для алгоритма n-разрядного блочного шифрования
Статус
Заменен
Дата введения
1994.30.06
Дата отмены
-
Заменен на
ГОСТ Р 34.13-2015
Код ОКС
35.040

ГОСТ Р ИСО/МЭК 10116—93

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

РЕЖИМЫ РАБОТЫ ДЛЯ АЛГОРИТМА

П РАЗРЯДНОГО БЛОЧНОГО ШИФРОВАНИЯ

Издание официальное

БЗ 3—93/250


ГОССТАНДАРТ РОССИИ Москва

ПРЕДИСЛОВИЕ

  • 1 РАЗРАБОТАН И ВНЕСЕН Техническим комитетом ТК 22 «Информационная технология»

  • 2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 28.12.93 № 272

Настоящий стандарт подготовлен на основе применения аутентичного текста международного стандарта ИСО/МЭК 10116—91 «Информационная технология. Режимы работы для алгоритма п-разрядного блочного шифрования»

  • 3 ВВЕДЕН ВПЕРВЫЕ

© Издательство стандартов, 1994

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Госстандарта России

государственный стандарт российской федерации

Информационная технология

РЕЖИМЫ РАБОТЫ ДЛЯ АЛГОРИТМА n-РАЗРЯДНОГО БЛОЧНОГО ШИФРОВАНИЯ

Information technology. Modes oi operation for an n-bit block cipher algorithm

Дата введения 1994—07—01

  • 1 ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт описывает четыре режима работы для алгоритма zz-разрядного блочного шифрования.

Примечание 1 — Приложение А содержит пояснения характеристик каждого режима

Настоящий стандарт устанавливает четыре определенных режима так, что при применении алгоритма п-разрядного блочного шифрования . (например, защиты передачи данных, хранения данных, подтверждения подлинности) этот стандарт представляет полезную справку, например для требований к режиму работы и значениям параметров (соответственно).

Для некоторых режимов набивка может требовать гарантий, чтобы все переменные открытого текста были необходимой длины.

Примечание 2 — Для режкма работы шифрования с обратной связью — CFB (Cipher Feedback) (см раздел 6) определяются два параметра: / и Ь-Для режима работы с обратной связью по выходу — OFB (Output Feedback) (см раздел 7) задается один параметр j. При использовании одного из этих режимов работы значение(я) параметров должно быть выбрано и применено всеми сторонами при передаче сообщений.

Издание официальное

  • 2 ОПРЕДЕЛЕНИЯ

В настоящем стандарте использованы следующие определения.

  • 2.1 Открытый текст — незашифрованная информация

  • 2.2 Шифротекст — зашифрованная информация

2 3 Алгоритм л-разрядного блочного шифрования — алгоритм блочного шифрования, в котором блоки открытого текста и блоки шифротекста имеют длину п разрядов.

  • 2.4 Связывание блоков — такое шифрование информации, при котором каждый блок шифротекста является криптографически зависимым от предшествующего блока шифротекста.

  • 2.5 Начальное значение — IV (Initializing Value)—значение, используемое в определении начальной точки процесса шифрования.

  • 2.6 Запускающая переменная — SV (Starting Variable) — переменная, полученная от начального значения и используемая в определении запускающей точки режимов работы.

Примечание 3 — Метод получения запускающей переменной от начального значения не определен в настоящем стандарте Он требует описания при любом использовании режимов работы

  • 2.7 Криптографическая синхронизация — согласование процесса шифрования и дешифрования.

  • 3 ОБОЗНАЧЕНИЯ

В настоящем стандарте функциональное отношение, определяемое алгоритмом блочного шифрования, записывается как

С = еК(Р), где Р — блок открытого текста;

С — блок шифротекста;

К — ключ.

Выражение еК является операцией шифрования, использующей ключ К-

Соответствующая функция дешифрования записывается как P=dK(C).

Переменная, обозначенная заглавной буквой, как например вышеуказанными буквами Р и С, представляет собой одномерный массив разрядов.

Например,

Д = (аь аг, ..., ат) ий= (6Ь Ь2, . ., dm) представляют собой массивы т разрядов, пронумерованных от I до т. Все массивы разрядов записываются с наибольшего значащего разряда в левой позиции.

Операция сложения по модулю 2, известная также как функция «исключающее ИЛИ», представляется символом® . Операция, относящаяся к массивам, например к Л и В, определяется как А® 8= (Qi® blt агф Ь2, Ьт) .

Операция выбора совокупности / .старших слева разрядов массива А, чтобы генерировать /-разрядный массив, записывается как A~j = (ai, а2.....а,).

Эта операция определена только для jcm, где т — число разрядов в массиве А.

«Функция сдвига» S* определяется следующим образом.

Для заданных zn-разрядной переменной X и ^-разрядной переменной F, где k<.m, действие функции сдвига 5* (X|F) таково, что образует zn-разрядную переменную

S* (X|F) = (x*+i, Xk+2 fn /г>-..,/*) при k<m,

В результате происходят сдвиг разрядов массива X влево на k позиций с отбрасыванием jq,.. . ,хА и размещение массива/7 на самых правых k позициях массива X. Если k = mt происходит полное замещение массива X на F.

Используется особый случай этой функции, в котором берется /n-разрядная переменная I (т) из последующих «1» битов и сдвигается переменной F из k разрядов, где

В результате:

|F) = (1, 1 ,..1, fi, f2,.. .,f*) при k<m;

= .. - ,fk) при k — m9

где m—k наиболее старших разрядов представляют собой «1».

  • 4 РЕЖИМ ЭЛЕКТРОННОГО КОДОВОГО СПРАВОЧНИКА — ЕСВ (ELECTRONIC CODEBOOK)

    • 4.1 Переменные, используемые для режима шифрования ЕСВ:

  • a) последовательность из q блоков открытого текста Р\, Р2, • • • > Ря, каждый пол разрядов;

  • b) ключ К;

  • c) получающаяся в результате последовательность q блоков шифротекста С2/...» Cq, каждый по п разрядов.

  • 4.2 Режим ЕСВ при шифровании описывается следующим образом:

Ci = eK{Pi) лля i= L 2,. .., q. (1)

  • 4.3 Режим ЕСВ при дешифровании описывается следующим образом:

P, = dK(G) для i=l, 2,..., q. (2)

  • 5 РЕЖИМ ПОСЛЕДОВАТЕЛЬНОГО БЛОЧНОГО ШИФРОВАНИЯ — СВС (CIPHER BLOCK CHAINING)

    • 5.1 Переменные, используемые для режима СВС при шифровании:

  • a) последовательность q блоков открытого текста Р\, Р2,..., Pq, каждый по п разрядов;

  • b) ключ К\

  • c) запускающая переменная SV из п разрядов;

  • d) последовательность q блоков шифротекста

С], С2, . .., Cq, каждый по п разрядов.

  • 5.2 Режим СВС при шифровании описывается следующим образом:

шифрование первого блока открытого текста C^eK(P^SV), (3)

далее

С = Ci-О для i=2, (4)

Данная процедура показана в верхней части рисунка 1. Запускающая переменная^V используется для генерации первых выходных данных шифротекста. Затем шифротекст суммируется по модулю 2 к последующему открытому тексту перед шифрованием.

  • 5.3 Режим СВС при дешифровании описывается следующим образом:

дешифрование первого зашифрованного блока Л=4К(С;)ф5У, (5)

далее

Pt=rfK(C()e С-t для i=2, 3,..., q. (6)

Эта процедура показана в нижней части рисунка 1.

  • 6 РЕЖИМ ШИФРОВАНИЯ С ОБРАТНОЙ СВЯЗЬЮ — CFB (CIPHER FEEDBACK)

6.1 Работу режима CFB определяют два параметра:

  • — размер переменной обратной связи k, где 1<Лсп;

  • — размер переменной открытого текста /, где 1</<Л.

Переменные, используемые при работе в режиме CFB, следующие:

  • a) входные переменные;

  • 1) последовательность q переменных открытого текста Ръ • • ■» Pq> каждая по / разрядов;

  • 2) ключ

  • 3) запускающая переменная SV, имеющая п разрядов;

  • b) промежуточные результаты:

Алгоритм ШНффОЫмХА

Алгоритм лешифроааим

Рисунок 1 — Режим работы последовательного блочного шифрования (СВС)

  • 1) последовательность q входных блоков алгоритма Х29 ..., Xq, каждый по п разрядов;

  • 2) последовательность q выходных блоков алгоритма Уь У2,. .., У*7> каждый по п разрядов;

  • 3) последовательность q переменных Е2, каждая

по и разрядов;

  • 4) последовательность q—1 переменных обратной связи /ч» F2, -. -, Fq-\, каждая по k разрядов;

с) выходные переменные, т. е. последовательность q переменных шифротекста С2,..., Сф каждая по / разрядов.

  • 6.2 Входной блок X представляет собой ряд его начальных значений

=

Операция шифрования каждой переменной открытого текста включает в себя пять этапов:

  • a) использование алгоритма шифрования

У, = еК(Х();

  • b) выбор старших слева / разрядов

(9)

  • c) формирование переменной шифротекста

С, =

  • d) формирование переменной обратной связи

F, = S,(I(k) |С,);

  • e) функцию сдвига

Эти этапы повторяются для f=l, 2,..., q, заканчиваясь урав-пением (12) на последнем цикле. Процедура представлена на левой стороне рисунка 2. Старшие слева / битов выходного блока Y алгоритма шифрования используются для шифрования /-разрядной переменной открытого текста сложением по модулю 2. Оставшиеся разряды блока У отбрасываются. Переменные открытого текста и шифротекста имеют разряды, пронумерованные от 1 до /.

Переменная шифротекста дополняется размещением Л—/ битов «1» в позиции ее старших слева разрядов так, чтобы она стала ^-разрядной переменной обратной связи Л Затем разряды входного блока X сдвигаются влево на k позиций и F вставляется в самые правые k позиций, чтобы образовать новое значение X. В этой операции сдвига самые левые k разрядов блока X отбрасываются.

  • 6.3. Переменные, используемые для дешифрования, являются такими же, как и те, которые используются для шифрования. Входной блок X представляет собой начальные значения Xt~SK

Операция дешифрования каждой переменной шифротекста включает в себя пять этапов:

а) использование алгоритма шифрования


  • b) выбор самых левых j разрядов

  • c) формирование переменной открытого текста

    (13)



  • d) формирование переменной обратной связи F,=S,U(k){C,)-,

    (1


    (15)


    (16,


    е) функцию сдвига


    )•



<17)

Эти этапы повторяются для i=l, 2,..., q, заканчиваясь уравнением (17) в последнем цикле. Процедура представлена в правой части рисунка 2. Самые левые / разрядов выходного блока У алгоритма шифрования используются для дешифрования /-разрядной переменной шифротекста сложением по модулю 2. Оставшиеся разряды блока У отбрасываются. Переменные открытого текста и шифротекста имеют разряды, пронумерованные от 1 до /.

Теременная шифротекста дополняется размещением k—i битов «1» в позициях самых левых разрядов так, чтобы она стала /г-раз-рядной переменной обратной связи F. Затем разряды входного блока X сдвигаются влево на k позиций и F вставляется в самые правые k позиций, чтобы образовать новое значение X. В этой операции сдвига сямыр левые k разрядов блока X отбрасываются.

Шифро«»и< Д»г*«фО0б*ми«

Рисунок 2 — Режим работы шифрования с обратной связью (CFB)

  • 6.4 Рекомендуется, чтобы режим CFB использовался с равными значениями / и k. При этой рекомендации tj=k) уравнений (И) и (16) moiут быть записаны в виде

Е( — С (подставлено j = k).

  • 7 РЕЖИМ С ОБРАТНОЙ СВЯЗЬЮ ПО ВЫХОДУ — OFB (OUTPUT FEEDBACK)

7.1 Режим работы OFB определяет один параметр, т. е. размер переменной открытого текста /, где 1</<п.

Переменные, используемые при работе в режиме OFB:

  • a) входные переменные:

  • 1) последовательность q переменных открытого текста Ръ Р? . Ря, по / разрядов каждая;

  • 2) ключ К\

  • 3) запускающая переменная SV из и разрядов;

  • b) промежуточные результаты:

  • 1) последовательность q входных блоков алгоритма Х2, . ., по п разрядов каждый;

  • 2) последовательность q выходных блоков алгоритма Уь У2, ..., У?, по л разрядов каждый;

  • 3) последовательность q переменных

Еи Е%,. .., Ея, по / разрядов каждая;

с) выходные переменные, т. е. последовательность q переменных шифротекста , Ся, по / разрядов каждая.

7.2. Входной блок X представляет собой ряд его начальных значений

X.-SK

Операция шифрования каждой переменной открытого текста включает в себя четыре этапа:

  • a) использование алгоритма шифрования

У( = ^(Х,);

  • b) выбор самых левых / разрядов

(20)

  • c) формирование переменных шифротекста

Cf=P£t>E,-;

  • d) операцию обратной связи

(22)

Эти этапы повторяются для i— 1, 2, q, заканчиваясь уравнением (21) на последнем цикле. Процедура показана в левой части рисунка 3. Результат каждого применения алгоритма шифрования, которым является блок ¥„ используется для обратной связи и становится следующим значением Xit а именно Х(+ь Самые левые / разрядов в У, используются для шифрования входной переменной.

Рисунок 3 — Режим работы шифрования с обратной связью по выходу (OFB)

  • 7.3. Переменные, используемые для дешифрования, являются такими же, как и используемые для шифрования. Входной блок X представляет собой ряд его начальных значений X( = SV.

Операция дешифрования каждой переменной шифротекста включает в себя четыре этапа:

  • a) использование алгоритма шифрования

У< = еК(Х^

  • b) выбор самых левых / разрядов

£. = У,~/;

  • c) формирование переменной открытого текста

Р, = с,ф

  • d) операцию обратной связи

= У,


Эти этапы повторяются для i=l, 2,..., q, заканчиваясь уравнением (26) на последнем цикле. Процедура представлена в правой части рисунка 3. Значения X, и У„ используемые как для дешифрования, так и для шифрования, одинаковы; отличается только уравнение (25).

ПРИЛОЖЕНИЕ А (информационное )

СВОЙСТВА РЕЖИМОВ РАБОТЫ

АЛ Свойства режима работы электронного кодового справочника (ЕСВ>

АЛЛ Условия применения

Передаваемые блоки информации — это такой перенос информации между ЭВМ и людьми, который может иметь повторения или обычно используемые последовательности В режиме ЕСВ идентичный открытый текст синтезирует (при том же ключе) идентичные блоки шифротекста

А 1 2 Характеристики режима ЕСВ:

  • a) шифрование и дешифрование блоков могут осуществляться независимо от других блоков,

  • b) переупорядочение блоков шифротекста приведет к соответствующему пе-оеупорядочению блоков открытого текста;

  • c) тождественный блок открытого текста всегда породит тождественный блок шифротекста (при одном и том же ключе), делая его уязвимым к «словарной атаке»

Режим ЕСВ обычно не рекомендуется для сообщений длиннее чем один блок Применение режима ЕСВ может в дальнейшем быть установлено в международных стандартах для таких специальных целей, когда повторение характеристик допустимо или блоки достчпны индивидуально

А 1 3 Требования к набивке

Только блоки по п разрядов могут быть зашифрованы и дешифрованы Блоки другой тлины должны быть дополнены до n-разрядного предела

А 14 Распространение ошибки

В режиме ЕСВ один или более ошибочных битов внутри отдельного блока шифротекста будут воздействовать только на дешифрование блока, в котором ошибка (ки) произошла (ли). При предположении, что шифр обладает свойством, при котором замена одного бита открытого текста вызывает в среднем 50 %-е изменение шифротекста, каждый бит восстановленной версии открытого текста этого блока будет иметь «реднюю ошибку порядка 50%

А 1 5 Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой бита), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор. пока не будут восстановлены правильные границы блока Результат всех операций дешифрования будет неверным пока границы блока утрачены

А 2 Свойства режима работы последовательного блочного шифрования (СВС)

А 21 Условия применения

Режим СВС порождает тождественный шифротокст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной Пользователям, которых интересует эта характеристика, необходимо знать, как следует заменять запуск открытого текста, ключа или запускающей переменной Во-первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме СВС блока информации. Во-вторых, для случая, когда шифруют записи, размеры которых не должны увеличиваться, — использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произвольной выборкой).

А 2.2 Свойства

Свойства режима СВС:

  • a) последующая операция делает блоки шисррогекста зависимыми от текущего и всех предыдущих блоков открытого текста, и поэтому блоки не могут быть переставлены.

  • b) использование различных значений SV исключает шифрование тождественного открытою текста в тождественный шифротекст.

А23 Требование к набивке

Только блоки по п разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до поразрядного предела. Если это не допустимо, последняя переменная может обрабатываться специальным путем Два примера специальной обработки приведены ниже.

Первой возможностью обработать неполную последнюю переменную (т. е переменную Рч при j<n разрядов, где q должно быть больше 1) является шифрование в режиме OFB, как описано ниже:

  • a) шифрование

Ся=Ря&(еК(Сч_1)~]); (27)

  • b) дешифрование

<28)

Тем не менее эта последняя переменная уязвима к «выбранной атаке открытого текста», если SV не является секретной или если она используется более одного раза с тождественным ключом (см А 4)

Вторая возможность известна как «шифротекст—упрятывание». Допустим, что последние две переменные открытого текста представляют собой Pq-t и Рч, где Pq-i есть n-разрядный блок, Ря является переменной из /<п разрядов я q должно быть больше 1

  • a) Шифрование

Пусть С7-| является блоком шифротекста, получаемым из Рд-\ с использованием метода, описанного в 52 В таком случае

(29)

Последние две переменные шифротекста в таком случае представляют собой C<j—\ / и Cq

  • b) Дешифрование

С9 должна быть дешифрована первой, в результате чего она дает переменную Рч и самые правые п—j разрядов Cq_i

SJ(Cq~l\Pq) = dK(Cq) (ЗС)

Законченный блок C7-i теперь доступен, и Рч-х может быть получен с использованием метода, описанного в 5 3

Две замыкающие переменные шифротекста дешифруются в обратном порядке, что делает это решение менее пригодным для аппаратной реализации.

А 2.4 Распространение ошибки

В режиме СВС один и более ошибочных разрядов внутри отдельного блока шифротекста будут влиять на дешифрование двух блоков (блока, в котором ошибка совершена, и последующего блока) Если ошибки есть з i-ом блоке шифротекста, каждый разряд i-ro дешифрованного блока открытого» текста будет иметь в среднем порядка 50 % ошибок при предположении, что шифр обладает таким свойством, при котором изменение одного разряда открытого текста приводит в среднем к 50 %-=ному изменению в шифротексте Дешифрованный (*4-1) блок открытого текста будет наметь только те разряды в ошибке, которые прямо зависят от разрядов шифротекста в ошибке. Если ошибки содержит переменная из менее чем п разрядов, распространение ошибки зависит от выбранного метода специальной обработки В первом примере дешифрованный короткий блок будет иметь те разряды в ошибке, которые прямо связаны с разрядами шифротекста в ошибке Если ошибки есть в блоке, предшествующем блоку из менее чем и разрядов, дешифрованный короткий блок будет иметь среднее значение разрядов ошибки порядка 50 % В шифротексге, имеющем случайные ошибки, короткий блок или последний блок шифротекста приводит к ошибочным разрядам порядка 50 %

А 2 5 Границы блока

Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор, пока не будут восстановлены правильные границы блока Результат всех операций дешифрования будет неверным, пока границы блока утрачены

А.З Свойства режима работы шифрования с обратной связью (CFB)

АЗЛ Условия применения

Режим CFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной Пользователям, которых интересует эта характеристика, необходимо знать, как заменить запуск открытого текста, ключ или запускающую переменную Во первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме CFB блока информации Во-вторых, в случае, когда шифруют записи, размеры которых не должны увеличиваться, — использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произволь ной выборкой)

А32 Свойства

Свойства режима CFB

  • a) последующая операция делает переменные шифротекста зависимыми от текущей и всех предыдущих переменных открытого текста, и поэтому /-разрядные переменные связаны вместе и не могут быть переставлены,

  • b) использование различных значений SV делает невозможным шифрование тождественного открытого текста в тождественный шифротекст;

  • c) оба процесса шифрования и дешифрования в режиме CFB используют формулу шифрования алгоритма;

  • d) мощность режима CFB зависит от размера k (максимальна, если /=Л);

е) выбор малого значения / будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса

А 3 3 Требования к набивке

Только блоки по ] разрядов могут быть зашифрованы и дешифрованы Бло ки другой длины должны быть дополнены до /-разрядного предела Тем не ме нее в большинстве применений / следует выбирать равным размеру символа и набавка не потребуется

А34 Распространение ошибки

В режиме CFB ошибки в любом /-разрядном элементе шифротекста будут влиять на дешифрование следующего шифротекста до тех пор, пока биты в ошибке будут сдвигаться без сохранения выдвигаемых разрядов входного блока режима CFB Первый подверженный влиянию /-разрядный элемент открытого текста будет искажен именно в тех местах, где в шифротексге имеется ошибка При предположении, что шифр обладает свойством, при котором измененне одного бита открытого текста вызывает в среднем 50 %-е изменение в шифре-тексте, в последующем дешифрованном открытом тексте каждый разряд будет иметь среднюю ошибку порядка 50 % до тех пор, пока все ошибки будут сдвигаться без сохранения выдвигаемых разрядов входного блока

А 3 5 Границы блока

Если /-разрядные границы утеряны между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), криптографическая синхронизация будет восстановлена до п разрядов после того, как восстановятся /-разрядные границы. Если блок из / разрядов утерян, синхронизация будет восстановлена автоматически после обработки п разрядов.

А.4 Свойства режима работы с обратной связью по выходу (OFB) АЛЯ Условия применения

Режим OFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной. Кроме того, в режиме OFB порождается тождественный поток ключей, когда используются тождественные ключ и SV. Следовательно, из соображений секретности специальная SV должна быть использована только один раз для заданного ключа.

А.4 2 Свойства

Свойства режима OFB:

  • a) отсутствие связанности делает режим OFB более уязвимым к специальным атакам;

  • b) использование различных значений SV, порождая различные потоки ключей, препятствует шифрованию тождественного открытого текста в тождественный шифротекст,

  • c) обе процедуры шифрования и дешифрования в режиме OFB используют формулу шифрования алгоритма;

  • d) режим OFB не зависит от открытого текста при генерации потока ключей, используемых для сложения по модулю 2 к открытому тексту;

  • e) выбор малого значения / будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса.

А.4.3 Требования к набивке

Только блоки по / разрядов могут быть зашифрованы и дешифрованы Блоки другой длины должны быть дополнены до /-разрядного предела. Тем не менее, в большинстве применений / следует выбирать равным размеру символа и набивка не потребуется

А44 Распространение ошибки

Режим OFB не расширяет ошибки шифротекста на выходе результирующего открытого текста Каждый бит в ошибке шифротекста вызывает только один бит, который будет ошибочным в дешифрованном открытом тексте

А.4 5 Границы блока

Режим OFB не является самосннхронизирующимся Если две операции шифрования и дешифрования выходят из синхронизации, система нуждается в -приведении в исходное состояние (реинициализации). Такая потеря синхронизации может быть (если />1) из-за потери правильных границ блоков по / разрядов (например, обусловлена ошибкой разряда)

Каждое восстановление исходного состояния должно использовать значение SV, отличное от значений SV, использованных до этого с тождественным ключом Основанием для этого является то, что для тождественных параметров всякий раз должен порождаться идентичный поток разрядов Указанные условия делают режим OFB уязвимым к «известной атаке открытого текста»

ПРИЛОЖЕНИЕ В (информационное )

ИНФОРМАЦИЯ О ПАТЕНТАХ

В процессе подготовки международного стандарта ИСО/МЭК 10116 была собрана информация о патентах, от которых может зависеть применение данного стандарта Было выявлено, что такие патенты принадлежат корпорациям IBM и UNISYS

Однако Международная организация по стандартизации — ISO (International Organization for Standardisation) не может дать авторитетной или исчерпывающей информации об очевидности, обоснованности или области распространения патентов или подобных прав

Владельцы патентов приняли положение, по которому в оговоренные периоды лицензии будут допускать предоставление права применения данного международною стандарта при условии, что те, кто желает получить лицензии, согласны отвечать взаимностью

Дополнительная информация имеется в распоряжении фирм:

Director of Commercial Relations

International Business Machines Corporation (IBM)

2000 Purchase Street

PURCHASE, N. Y. 10577

Director, Industry Relations

UNISYS

PO Box 500

Blue Bell, PA 19424 U. S. A.

ПРИЛОЖЕНИЕ С (информационное )

ПРИМЕРЫ ДЛЯ РЕЖИМОВ РАБОТЫ

С.1 Общие сведения

В этом приложении приведены примеры для шифрования и дешифрования передаваемых блоков информации с использованием режимов работы, установленных в настоящем стандарте Используемые параметры

  • a) алгоритм шифрования — алгоритм шифрования данных (DEA — Data Encryption Algontm) Значение п — 64,

  • b) криптографический ключ — 01234567890ABCDEF,

  • c) запускающая переменная — 1’234567®9OABCDEF,

  • d) открытый текст — 7-битный код ASCII (американский стандартный код для обмена информацией) для слов «Now is the time for all> (в шестнадцатеричном представлении 4E6F772069,73(2074 68652074696D6520 666F7260616C6C20) Для режима CFB открытый текст — 7-битный код ASCII для слова «Now» (в шестнадцатеричном представлении 4E6F77)

С 2 Режим ЕСВ


Примеры шифровании и дешифрования в режиме ЕСВ даны в таблицах С I и С 2 соответственно

Таблица С) — Режим ЕСВ. шифрование

1

Открытый текст Р,

Входной блок алгоритма

Выходной блок алгоритма

Шифротскст Ci

1

4E6F772069732O74

4E6F772069732074

ЗГА40Е8Д984О4815

3FA40E8A984D4ftl5

2

6865207469606520

68O52O74696D652O

6A271787AB8883F9

6A27I787AB8883F9

3

666F72206I6C6C20

6&5F72206I6C6C2O

893O5IEC4B563B53

S93D51EC48563B53


ГОСТ Р ИСО/МЭК 10116—93


Таблица С 2 — Режим ЕСВ, дешифрование

I

Шнфротскст Р,

Входной блок алгоритма

Выходной блок алгоритма

Открытый текст С,

1

3FA4OE8A9W4815

3FA40E8A984O48I5

4E6F772O697i32O74

4E6F7 7*2969732074

2

6А271787ЛВ8883Е9

6А271787АВ88вЗГ9

6865207469606520

6865207469606520

3

893D5iEC48563B53

893051ЕС4В563В53

666F72206I6C6C20

666Г7220316С6С20

С.Э Режим СВС

Таблица С4— Режим СВС, дешифрование

1

Шнфротекст Р»

Входной блок алгоритма

Выходной блок алгоритма

Открытый текст С,

1

E5C7CDOE872BF27C

E5C7CDDE872BF27C

5C5B2I58F9W.D9B

4E6F772069732074

2

431 934OO8C389C0F

43E&340O8C389C0F

8DA2EDAAEEI&975C

6865207469606520

3

683788199A7CO5F6

683788499A7C05F6

2586452OED54FO2F

666F7220&I6C6C2O


ГОСТ Р НСО/МЭК 10И6—93


Примеры шифрования и дешифрования в режиме СВС даны в таблицах СЗ и С 4 соответственно

ТаблицаСЗ — Режим СВС, шифрование

1

Открытый текст Р,

Входной блок алгоритма

Выходной блок алгоритма

Шнфротекст Ct

1

4E6F772069732074

5C5B2I58F9D8ED9B

E&C7CDDE872BF27C

E5C7CDDE872BF27C

2

68-52074696D6520

8DA2EDAAEE4G97&C

43E934008C389COF

43E3&IOO8C389COF

3

G66F72206I6C6C20

258G4620ED54F02F

683788499A7CO5F6

MJ788I99A7C06F6

Примеры шифрования и дешифрования в режиме CFB даны в таблицах^ 5 и С6 соответственно Для этих примеров выбраны параметры /■>*■■8; k разрядов обратной связи показаны наклонным (курсивным) шрифтом

Таблица С 5 — Режим СРВ. шифрование

Открытый текст Р,

Входной блок алгоритма

Выходной блок алгоритма

Шнфротокст С»

1

IE

I234567880ABCDEF

BD56I5G9AE874E25

F3

2

БЕ

34567890ABCDEFF3

7O3954GF9AOF6330

IF

3

77

567890ABCDEFF3/F

ADIH78B0BB37IBE7

DA


ГОСТ Р ИСО/МЭК 10116—93


Таблица Сб — Режим CFB, дешифрование

i

Шпфротскст Pi

Входной блок алгоритма

Выходной блок алгоритма

Открытый текст С,

1

F3

123456789OABCDEF

BD66I569AE87IE25

2

IF

3456AWOABCDEFF3

70395I6F9AOF6330

3

DA

56789OABCDEFF3/F

AD! B78BOBB37IВЕ7

77

С 5 Режим OFB

Примеры шифрования и дешифрования в режиме ОГВ даны в таблниахС7 и С >8 соответственно Для этих примеров выбран параметр

Таблица С7 — Режим OFB, шифрование

1

Открытый текст Р,

Входной блок алгоритма

Выходной блок алгоритма

Шифротскст С<

)

4E6F772Q69732074

1234567690ABCDEF

BD66I569AEH74E25

F3396S49C7F46E51

2

G8662074696D6&20

BD66I569AE874E25

5D976A5CI478668IF

35F24A242EEB3D3F

3

635F72206I6C6C20

5D976A5047&J581F

6ВО229С3443694 ЕЗ

3D&D5BE32&5AR&C3

Таблица СВ — Режим OFB, дешифрование

1

Шифрогекст Л

Входной блок алгоритма

Выходной блок алгоритма

Открытый текст С,

1

ГЭ096249С7Г46Е5)

1234567Н90ЛВС1)Е|-

В1)61>|669АЕЛ74Е25

4E6F772069732O74

2

35F24A242EEB3O3F

ВО661569ЛЕ874Е25

50976X50-1786581F

(^3520746961)6520

3

3D6O5BE3t256AFBC3

50976X504786591Г

5ВО2Й9С3443О94ЕЗ

6661-7220616C6C 20


ГОСТ Р ИСО/МЭК 10116


ГОСТ Р ИСО/МЭК 10116—93

УДК 681 33:006.354 П85

Ключевые слова: информационная технология, режим работы, алгоритм n-разрядного блочного шифрования, алгоритм шифрования, защита передачи данных, хранение данных, подтверждение подлинности, режим работы с обратной связью, режим работы с обратной связью по выходу, открытый текст, шифротекст, связывание блоков, запускающая переменная, криптографическая синхронизация

ОКСТУ 4002

Редактор Л. В. Афанасенко

Технический редактор О. Н. Никитина

Корректор Т. А. Васильева

Сдано в наб 04 02.91 Подп. в печ. 06 04.94. Усл. п л. 1,40. Усл кр.отт 1,40. Уч.-изд. л. 1,20. Тир. 411 экз. С 1167.

Ордена «Знак Почета» Издательство стандартов. 107076, Москва. Колодезный пер., 14. Калужская типография стандартов, ул. Московская. 256. Зак. 296