ГОСТ 28147-89

Шаблон:Картка блочного шифру

ГОСТ 28147-89 — радянський і російський стандарт симетричного шифрування, введений в 1990 році, також є стандартом СНД Шаблон:Webarchive. Повна назва — «ГОСТ 28147-89 Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення». Блочний шифроалгоритм. При використанні методу шифрування з гамуванням, може виконувати функції поточного шифроалгоритму.

За деякими відомостями^[1], історія цього шифру набагато давніша. Алгоритм, покладений згодом в основу стандарту, народився, імовірно, в надрах Восьмого Головного управління КДБ СРСР (нині в структурі ФСБ), швидше за все, в одному з підвідомчих йому закритих НДІ, ймовірно, ще в 1970-х роках в рамках проєктів створення програмних та апаратних реалізацій шифру для різних комп'ютерних платформ.

З моменту опублікування ГОСТу на ньому стояв обмежувальний гриф «Для службового користування», і формально шифр був оголошений «повністю відкритим» тільки в травні 1994 року. Історія створення шифру і критерії розробників станом на 2010 рік не опубліковані.

У 2009 році ГОСТ 28147-89 перевиданий в Україні під назвою ДСТУ ГОСТ 28147:2009.

ГОСТ 28147-89 — блоковий шифр з 256 — бітовим ключем і 32 циклами перетворення, що оперує 64-бітними блоками. Основа алгоритму шифру — Мережа Файстеля.

Базовим режимом шифрування за ГОСТ 28147-89 є режим простої заміни (визначені також складніші режими гамування, гамування зі зворотним зв'язком і режим імітовставки).

Для зашифрування в цьому режимі відкритий текст спочатку розбивається на дві половини (молодші біти — A, старші біти — B^[2]). На i-му циклі використовується з'єднання K _i:

${\displaystyle A_{i+1}=B_i\oplus f(A_i,K_i)}$ (${\displaystyle \oplus }$ = двійкове «виключаюче або» XOR)

${\displaystyle B_{i+1}=A_i}$

Для генерації підключив вихідний 256-бітний ключ розбивається на вісім 32-бітних блоків: K ₁ … K ₈

Ключі K₉ … K₂₄ є циклічним повторенням ключів K₁ … K₈ (нумеруються від молодших бітів до старших).

Ключі K₂₅ … K ₃₂ є ключами K₁ … K₈, що йдуть у зворотному порядку.

Після виконання всіх 32 раундів алгоритму, блоки A₃₃ і B₃₃ склеюються (зверніть увагу, що старшим бітом стає ₃₃, а молодшим — B₃₃) — результат є результат роботи алгоритму.

Розшифрування виконується так само як і зашифрування, але інвертується порядок підключей K_i.

Функція ${\displaystyle f(A_i,K_i)}$ обчислюється таким чином:

A_i й K_i складаються по модулю 2³².

Результат розбивається на вісім 4-бітових підпослідовностей, кожна з яких надходить на вхід свого вузла таблиці замін (у порядку зростання старшинства бітів), званого нижче S-блоком. Загальна кількість S-блоків ГОСТу — вісім, тобто стільки ж, скільки й підпослідовностей. Кожен S-блок являє собою перестановку чисел від 0 до 15. Перша 4-бітова підпослідовність потрапляє на вхід першого S-блоку, друга — на вхід другого і т. д.

Якщо S-блок виглядає так:

1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

і на вході S-блоку 0, то на виході буде 1, якщо 4, то на виході буде 5, якщо на вході 12, то на виході 6 і т. д.

Виходи всіх восьми S-блоків об'єднуються в 32-бітове слово, потім все слово циклічно зсувається вліво (до старших розрядів) на 11 бітів.

Усі вісім S-блоків можуть бути різними. Фактично, вони можуть бути додатковим ключовим матеріалом, але частіше є параметром схеми, загальним для певної групи користувачів. В ГОСТ Р 34.11-94 для цілей тестування наведені такі S-блоки:

Цей набір S-блоків використовується в криптографічних додатках ЦБ РФ.^[3]

У тексті стандарту вказується, що поставка заповнення вузлів заміни (S-блоків) проводиться в установленому порядку, тобто розробником алгоритму. Спільнота російських розробників СКЗИ погодила використовувані в Інтернеті вузли заміни, див. RFC 4357.

• Безперспективність атаки повного перебору (XSL-атаки в облік не беруться, оскільки їх ефективність на цей час повністю не доведена);
• Ефективність реалізації й відповідно високу швидкодію на сучасних комп'ютерах.
• Наявність захисту від нав'язування помилкових даних (вироблення імітовставки) і однаковий цикл шифрування у всіх чотирьох алгоритмах ГОСТу.

У травні 2011 року відомий криптоаналітик Ніколя Куртуа довів існування атаки на даний шифр, що має складність у 2⁸ (256) разів менше складності прямого перебору ключів за умови наявності 2⁶⁴ пар відкритий текст / закритий текст.^[4][5] Дана атака не може бути здійснена на практиці через занадто високу обчислювальну складність.

Основні проблеми ГОСТу пов'язані з неповнотою стандарту в частині генерації ключів і таблиць замін. Вважається, що у ГОСТу існують «слабкі» ключі і таблиці замін, але в стандарті не описуються критерії вибору і відсіву «слабких». Також стандарт не специфікує алгоритм генерації таблиці замін (S-блоків). З одного боку, це може бути додатковою секретною інформацією (крім ключа), а з іншого, піднімає ряд проблем:

• Не можна визначити криптостійкість алгоритму, не знаючи заздалегідь таблиці замін;
• Реалізації алгоритму від різних виробників можуть використовувати різні таблиці замін і можуть бути несумісні між собою;
• Можливість навмисного надання слабких таблиць замін органами, що проводять ліцензування;
• Потенційна можливість (відсутність заборони в стандарті) використання таблиць заміни, в яких вузли не є перестановками, що може привести до надзвичайного зниження стійкості шифру.

Шаблон:Reflist

• Опис алгоритму, реалізація, вихідні коди, статті та посилання
• Стаття про ГОСТ 28147-89

• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Cite book
• Шаблон:Стаття
• Шаблон:Cite article

Шаблон:Crypto-stub Шаблон:Блочні алгоритми шифрування Шаблон:Крипто навігація Шаблон:ВП-портали