Главная страница
Навигация по странице:

  • Режимы работы блочных шифров. Information technology. Cryptographic data security. Modes of operation for block ciphers

  • . . . . . . . . . . . .

  • 5.7.3 Расшифрование

  • "5.8 Режим аутентифицированного шифрования с ассоциированными данными 5.8.1 Общие положения

  • 5.8.2 Зашифрование с выработкой имитовставки

  • 5.8.3 Расшифрование с проверкой имитовставки

  • А.2.8 Режим гаммирования с преобразованием ключа

  • А.2.9 Режим аутентифицированного шифрования с ассоциированными данными

  • А.3.8 Режим гаммирования с преобразованием ключа

  • А.3.9 Режим аутентифицированного шифрования с ассоциированными данными

  • Учебник. ГОСТ 34.13-2018, Изменение № 1. Изменение 1 гост 34. 132018 Межгосударственный стандарт. Информационная технология. Криптографическая защита информации


    Скачать 1.62 Mb.
    НазваниеИзменение 1 гост 34. 132018 Межгосударственный стандарт. Информационная технология. Криптографическая защита информации
    АнкорУчебник
    Дата14.11.2022
    Размер1.62 Mb.
    Формат файлаpdf
    Имя файлаГОСТ 34.13-2018, Изменение № 1.pdf
    ТипПротокол
    #788291

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    1
    МКС 35.040
    Изменение № 1 ГОСТ 34.13-2018 Межгосударственный стандарт.
    Информационная технология. Криптографическая защита информации.
    Режимы работы блочных шифров. Information technology. Cryptographic
    data security. Modes of operation for block ciphers
    Принято Евразийским советом по стандартизации, метрологии и сертификации (протокол от ___________ )
    За принятие изменения проголосовали национальные органы по стандартизации следующих государств: __________________________
    Дату введения в действие настоящего изменения устанавливают указанные национальные органы по стандартизации.
    Предисловие. Пункт 1 изложить в новой редакции:
    "
    РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС") и Общества с ограниченной ответственностью "КРИПТО-ПРО" (ООО "КРИПТО-ПРО")
    Предисловие. Пункт 5 изложить в новой редакции:
    "Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.13-2015, Р
    1323565.1.017-2018 "Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования", Р 1323565.1.026–2019 "Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование"
    Пункт 2.1 дополнить подпунктами:
    "2.1.20
    ассоциированные данные (associated data): Данные, для которых обеспечивается имитозащита, но не обеспечивается конфиденциальность.
    2.1.21
    зашифрование с выработкой имитовставки (authenticated encryption):
    Операция, состоящая из зашифрования открытого текста и вычисления имитовставки для обеспечения имитозащиты открытого текста и ассоциированных данных, с использованием одного ключа в обоих преобразованиях.
    2.1.22
    расшифрование с проверкой имитовставки (authenticated decryption):
    Операция, обратная к зашифрованию с выработкой имитовставки. Состоит из проверки имитовставки и последующего расшифрования шифртекста в случае успешного завершения проверки."
    Пункт 2.2 дополнить обозначениями:
    "∑
    𝑎
    𝑖
    𝑚
    𝑖=1
    – битовая строка, являющаяся результатом покомпонентного сложения по модулю 2 битовых строк одинаковой длины.
    Суммой строк 𝑎
    1
    , … , 𝑎
    𝑚
    называется строка ∑
    𝑎
    𝑖
    𝑚
    𝑖=1
    = 𝑎
    1

    … ⊕ 𝑎
    𝑚
    ;

    2
    ⊗: 𝐹 × 𝐹 → 𝐹
    – отображение, определенное для 𝐹 = 𝑉
    𝑛
    и 𝐹 = 𝐺𝐹(2
    𝑛
    )[𝑥]/
    𝑓
    𝑛
    (𝑥), где многочлен 𝑓
    𝑛
    (𝑥) задан в разделе 5.6.2.
    В случае 𝐹 = 𝑉
    𝑛
    , отображение ставит в соответствие двум строкам 𝑎 = (𝑎
    𝑛−1
    ∥ ⋯ ∥ 𝑎
    0
    ) и 𝑏 = (𝑏
    𝑛−1
    ∥ ⋯ ∥ 𝑏
    0
    ), 𝑎, 𝑏 ∈ 𝑉
    𝑛
    , строку
    𝑐 = 𝑎 ⊗ 𝑏 = (𝑐
    𝑛−1
    ∥ ⋯ ∥ 𝑐
    0
    ),
    𝑐 ∈ 𝑉
    𝑛
    ; строка
    𝑐 соответствует многочлену Poly
    𝑛
    (𝑐), который является результатом умножения двух многочленов Poly
    𝑛
    (𝑎) и
    Poly
    𝑛
    (𝑏) в поле 𝐺𝐹(2
    𝑛
    )[𝑥]/𝑓(𝑥); для 𝑛 = 64 порождающим многочленом является 𝑓(𝑥) = 𝑥
    64
    + 𝑥
    4
    + 𝑥
    3
    + 𝑥 + 1, для 𝑛 =
    128 порождающим многочленом является 𝑓(𝑥) = 𝑥
    128
    +
    𝑥
    7
    + 𝑥
    2
    + 𝑥 + 1.
    В случае 𝐹 = 𝐺𝐹(2
    𝑛
    )[𝑥]/𝑓
    𝑛
    (𝑥), отображение ставит в соответствие двум элементам поля 𝑎(𝑥) ∈ 𝐺𝐹(2
    𝑛
    )[𝑥]/𝑓
    𝑛
    (𝑥) и
    𝑏(𝑥) ∈ 𝐺𝐹(2
    𝑛
    ) элемент поля 𝑐(𝑥) ∈ 𝐺𝐹(2
    𝑛
    )/𝑓
    𝑛
    (𝑥), который является результатом умножения элементов 𝑎(𝑥) и 𝑏(𝑥) в поле 𝐺𝐹(2
    𝑛
    )[𝑥]/𝑓
    𝑛
    (𝑥). incr
    𝑙
    : 𝑉
    𝑛
    → 𝑉
    𝑛
    – отображение, ставящее в соответствие строке 𝐿 ∥ 𝑅, где
    𝐿, 𝑅 ∈ 𝑉
    𝑛/2
    , строку incr
    𝑙
    (𝐿 ∥ 𝑅) = Vec
    𝑛/2
    (Int
    𝑛/2
    (𝐿) ⊞
    𝑛/2 1) ∥ 𝑅; incr
    𝑟
    : 𝑉
    𝑛
    → 𝑉
    𝑛
    – отображение, ставящее в соответствие строке 𝐿 ∥ 𝑅, где
    𝐿, 𝑅 ∈ 𝑉
    𝑛/2
    , строку incr
    𝑟
    (𝐿 ∥ 𝑅) = 𝐿 ∥ Vec
    𝑛/2
    (Int
    𝑛/2
    (𝑅) ⊞
    𝑛/2 1) ; len: 𝑉
    𝑠
    → 𝑉
    𝑛/2
    – отображение, ставящее в соответствие строке 𝑎 ∈ 𝑉
    𝑠
    строку len(𝑎) = Vec
    𝑛/2
    (|𝑎|) ∈ 𝑉
    𝑛/2
    . "
    I
    𝑚
    – процедура инициализации, определенная в разделе 4.2
    T
    𝑠
    – процедура усечения, определенная в разделе 4.3
    Раздел 3. Перечисление после фразы «Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования:» дополнить подпунктами:
    "- режим гаммирования с преобразованием ключа (CTR-ACPKM, англ. Counter
    Advanced Cryptographic Prolongation of Key Material);
    - режим аутентифицированного шифрования с ассоциированными данными
    (AEAD
    , англ. Authenticated Encryption with Associated Data). "
    Раздел 3. Заменить предложение: "Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока 𝑛." на предложение: "Режим гаммирования с преобразованием ключа может использоваться в качестве режима для блочных шифров с чётной длиной блока 𝑛, режим аутентифицированного шифрования с ассоциированными данными может использоваться в качестве режима для блочных шифров с длиной блока 𝑛 = 64 и
    𝑛 = 128, остальные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока 𝑛."
    Подраздел 4.2. Заменить фразу: "все значения синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования, должны быть уникальными, т.е. попарно различными" на фразу:
    "
    все значения синхропосылок, выработанных для зашифрования на одном и том

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    3 же ключе в режимах гаммирования, гаммирования с преобразованием ключа, аутентифицированного шифрования с ассоциированными данными, должны быть уникальными, т.е. попарно различными".
    Раздел 4 дополнить подразделом:
    "4.4
    Процедура преобразования ключа
    Для преобразования ключа используется функция ACPKM, которая принимает на вход ключ 𝐾 длины 𝑘 ≤ 256 бит и преобразует его в ключ 𝐾′ той же длины.
    Функция ACPKM использует базовый алгоритм блочного шифрования и определяется следующим образом:
    𝐾

    = ACPKM(𝐾) = LSB
    𝑘
    (e
    𝐾
    (𝐷
    1
    ) ∥ ⋯ ∥ e
    𝐾
    (𝐷
    𝐽
    )), где 𝐽 = ⌈𝑘/𝑛⌉, 𝐷
    1
    ∥ ⋯ ∥ 𝐷
    𝐽
    = LSB
    𝐽⋅𝑛
    (𝐷), 𝐷
    1
    , … , 𝐷
    𝐽
     𝑉
    𝑛
    Константа 𝐷 𝑉
    256
    в шестнадцатеричной системе счисления задана следующим образом:
    𝐷 =
    808182838485868788898a8b8c8d8e8f909192939495969798999a9b9c9d9e9f."
    Раздел 5 дополнить подразделом:
    "5.7 Режим гаммирования с преобразованием ключа
    5.7.1 Общие положения
    Параметром, определяющим порядок функционирования режима гаммирования с преобразованием ключа, является длина секции 𝑁. Значение 𝑁 выражено в битах и фиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и суммарной длине данных, обработанных на одном ключе. Длина секции 𝑁 должна быть кратна длине блока 𝑛 используемого базового алгоритма блочного шифрования. Дополнительный параметр режима гаммирования с преобразованием ключа — это длина блока гаммы 𝑠, 0 < 𝑠 ≤ 𝑛, выраженная в битах. Величина 𝑠 должна делить длину блока 𝑛.
    Режим гаммирования с преобразованием ключа использует функцию ACPKM, определенную в разделе 4.4.
    Пусть
    𝑃
    𝑗
    ∈ 𝑉

    , 𝑗 = 1, 2, …,
    множество сообщений, подлежащих зашифрованию. При обработке каждого сообщения 𝑃 = 𝑃
    𝑗
    ,
    𝑗 = 1, 2, …, в режиме гаммирования с преобразованием ключа сообщение разбивается на 𝑙 = ⌈|𝑃|/𝑁⌉ секций и представляется в виде 𝑃 = 𝑀
    1
    𝑀
    2
    𝑀
    𝑙
    , где 𝑀
    𝑖
     𝑉
    𝑁
    ,
    𝑖 = 1, 2, … , 𝑙 − 1,
    𝑀
    𝑙
     𝑉
    𝑤
    ,
    𝑤 ≤ 𝑁. Первая секция каждого сообщения обрабатывается на секционном ключе 𝐾
    1
    , который равен начальному ключу 𝐾. Для обработки 𝑖-ой секции каждого сообщения, 𝑖 = 2, … , 𝑙, используется секционный ключ 𝐾
    𝑖
    , который вычисляется из ключа 𝐾
    𝑖−1
    с помощью функции ACPKM.
    Преобразование ключа в процессе обработки сообщений в режиме гаммирования с преобразованием ключа представлено на рисунке 14.

    4
    P
    1
    P
    2
    P
    m
    𝐾
    𝑙
    𝑚 𝑎𝑥
    −1
    𝐾
    𝑙
    𝑚𝑎𝑥
    𝐾
    2
    𝐾
    1
    = 𝐾
    𝑝
    𝑚𝑎𝑥
    ACPKM
    ACPKM
    𝑁 бит
    Рисунок 14 Преобразование ключа в процессе обработки сообщений в режиме гаммирования с преобразованием ключа
    П р и м е ч а н и е — На рисунке 1 через 𝑝
    max обозначена максимальная длина сообщения, выраженная в битах, 𝑙
    max
    = ⌈𝑝
    max
    /𝑁⌉, 𝑚 – количество обрабатываемых сообщений.
    При использовании режима гаммирования с преобразованием ключа не требуется применение процедуры дополнения сообщения.
    Длина 𝑝 сообщения, обрабатываемого в режиме гаммирования с преобразованием ключа, не должна превышать значения 2
    𝑛/2−1
    ∙ 𝑠 бит.
    Для зашифрования (расшифрования) каждого отдельного открытого текста
    (шифртекста) на одном ключе используется уникальное значение синхропосылки
    𝐼𝑉 ∈ 𝑉
    𝑛/2
    Зашифрование (расшифрование) открытого текста (шифртекста) в режиме гаммирования с преобразованием ключа заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s путем зашифрования последовательности значений счётчика 𝐶𝑇𝑅
    𝑖
    ∈ 𝑉
    𝑛
    , 𝑖 = 1, 2, …, базовым алгоритмом блочного шифрования с использованием соответствующего секционного ключа с последующим усечением выходного значения. Начальным значением счётчика является 𝐶𝑇𝑅
    1
    = I
    𝑛
    (𝐼𝑉) = 𝐼𝑉 ∥ 0
    𝑛/2
    . Последующие значения счётчика вырабатываются с помощью функции Add: 𝑉
    𝑛
    → 𝑉
    𝑛
    следующим образом:
    𝐶𝑇𝑅
    𝑖+1
    = Add(𝐶𝑇𝑅
    𝑖
    ) = Vec
    𝑛
    (Int
    𝑛
    (𝐶𝑇𝑅
    𝑖
    ) ⊞
    𝑛
    1), 𝑖 = 1, 2, … (14)
    5.7.2 Зашифрование
    Открытый текст 𝑃 ∈ 𝑉

    представляется в виде 𝑃 = 𝑃
    1
    ∥ ⋯ ∥ 𝑃
    𝑞
    , где 𝑃
    𝑖
    ∈ 𝑉
    𝑠
    ,
    𝑖 =
    1, 2, … , 𝑞 − 1, 𝑃
    𝑞
    ∈ 𝑉
    𝑟
    ,
    1 ≤ 𝑟 ≤ 𝑠.
    Блоки шифртекста вычисляются по следующему правилу:
    𝑞 = ⌈|𝑃|/𝑠⌉, 𝑙 = ⌈|𝑃|/𝑁⌉;
    𝐶𝑇𝑅
    1
    = 𝐼𝑉0
    𝑛/2
    ;
    𝐶𝑇𝑅
    𝑖+1
    = Add(𝐶𝑇𝑅
    𝑖
    ), 𝑖 = 1, 2, 3, … , 𝑞 − 1;
    𝐾
    1
    = 𝐾;
    𝐾
    𝑗
    = ACPKM(𝐾
    𝑗−1
    ), 𝑗 = 2, 3, … , 𝑙;
    𝐶
    𝑖
    = 𝑃
    𝑖
    ⊕ T
    𝑠
    (e
    𝐾
    𝑗
    (𝐶𝑇𝑅
    𝑖
    )), 𝑖 = 1, 2, … , 𝑞 − 1, 𝑗 = ⌈𝑖 ∙ 𝑠/𝑁⌉;
    (15)

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    5
    Результирующий шифртекст имеет вид:
    𝐶 = 𝐶
    1
    ∥ ⋯ ∥ 𝐶
    𝑞
    Зашифрование в режиме гаммирования с преобразованием ключа представлено на рисунке 15.
    IV
    I
    n
    CTR
    1
    Add
    CTR
    q
    T
    s
    CTR
    i
    Add
    Add
    CTR
    i+1
    T
    s
    T
    s
    ACPKM
    T
    r
    𝐶
    𝑞
    𝑃
    𝑞
    . . .
    . . .
    . . .
    . . .
    𝑃
    𝑖+1
    𝑃
    𝑖
    𝑃
    1
    𝐶
    𝑖+1
    𝐶
    𝑖
    𝐶
    1
    e
    𝐾
    1
    e
    𝐾
    𝑙
    e
    𝐾
    𝑗
    e
    𝐾
    𝑗 +1
    Рисунок 15 Зашифрование в режиме гаммирования с преобразованием ключа
    5.7.3
    Расшифрование
    Шифртекст представляется в виде 𝐶 = 𝐶
    1
    ∥ ⋯ ∥ 𝐶
    𝑞
    , где 𝐶
    𝑖
    ∈ 𝑉
    𝑠
    ,
    𝑖 = 1, 2, … , 𝑞 − 1,
    𝐶
    𝑞
    ∈ 𝑉
    𝑟
    ,
    1 ≤ 𝑟 ≤ 𝑠.
    Блоки открытого текста вычисляются по следующему правилу:
    Результирующий открытый текст имеет вид:
    𝑃 = 𝑃
    1
    ∥ ⋯ ∥ 𝑃
    𝑞
    Расшифрование в режиме гаммирования с преобразованием ключа представлено на рисунке 16.
    𝐶
    𝑞
    = 𝑃
    𝑞
    ⊕ T
    𝑟
    (e
    𝐾
    𝑙
    (𝐶𝑇𝑅
    𝑞
    )).
    𝑞 = ⌈|𝐶|/𝑠⌉, 𝑙 = ⌈|𝐶|/𝑁⌉;
    𝐶𝑇𝑅
    1
    = 𝐼𝑉0
    𝑛/2
    ;
    𝐶𝑇𝑅
    𝑖+1
    = Add(𝐶𝑇𝑅
    𝑖
    ), 𝑖 = 1, 2, 3, … , 𝑞 − 1;
    𝐾
    1
    = 𝐾;
    𝐾
    𝑗
    = ACPKM(𝐾
    𝑗−1
    ), 𝑗 = 2, 3, … , 𝑙;
    𝑃
    𝑖
    = 𝐶
    𝑖
    ⊕ T
    𝑠
    (e
    𝐾
    𝑗
    (𝐶𝑇𝑅
    𝑖
    )), 𝑖 = 1, 2, … , 𝑞 − 1, 𝑗 = ⌈𝑖 ∙ 𝑠/𝑁⌉;
    𝑃
    𝑞
    = 𝐶
    𝑞
    ⊕ T
    𝑟
    (e
    𝐾
    𝑙
    (𝐶𝑇𝑅
    𝑞
    )).
    (16)

    6
    IV
    I
    n
    CTR
    1
    Add
    CTR
    q
    T
    s
    CTR
    i
    Add
    Add
    CTR
    i+1
    T
    s
    T
    s
    ACPKM
    T
    r
    . . .
    . . .
    . . .
    . . .
    𝑃
    1
    𝑃
    𝑖
    𝐶
    𝑖+1
    𝑃
    𝑖+1
    𝑃
    𝑞
    𝐶
    𝑞
    𝐶
    𝑖
    𝐶
    1
    e
    𝐾
    𝑙
    e
    𝐾
    1
    e
    𝐾
    𝑗
    e
    𝐾
    𝑗 +1
    Рисунок 16 Расшифрование в режиме гаммирования с преобразованием ключа"
    Раздел 5 дополнить подразделом:
    "5.8
    Режим аутентифицированного шифрования с ассоциированными
    данными
    5.8.1 Общие положения
    В данном разделе описан режим аутентифицированного шифрования с ассоциированными данными MGM (Multilinear Galois Mode).
    Параметром режима MGM является длина имитовставки 𝑠, выраженная в битах, 32 ≤ 𝑠 ≤ 𝑛. Значение 𝑠 должно быть зафиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и требований к стойкости режима относительно угрозы нарушения имитозащиты.
    Данный режим обеспечивает конфиденциальность и имитозащиту сообщений.
    При этом сообщения состоят из двух частей. Первая часть содержит ассоциированные данные 𝐴, а вторая часть содержит открытый текст 𝑃. Одна из двух частей может быть равна пустой строке. Ассоциированные данные не подлежат шифрованию, но требуют имитозащиты. Открытый текст подлежит как шифрованию, так и имитозащите.
    На длину ассоциированных данных и длину открытого текста накладываются следующие ограничения: 0 ≤ |𝐴| < 2
    𝑛/2
    ,
    0 ≤ |𝑃| < 2
    𝑛/2
    , кроме того, 0 ≤ |𝐴| + |𝑃| <
    2
    𝑛/2
    Режим MGM использует синхропосылку 𝐼𝑉 ∈ 𝑉
    𝑛−1
    Значение синхропосылки должно быть уникальным для каждого сообщения при фиксированном ключе 𝐾.
    Выработка уникальных значений синхропосылки может быть реализована с использованием счётчика.
    Шифрование в режиме MGM осуществляется путем побитового сложения открытого текста с секретной гаммой, получаемой в результате зашифрования последовательных значений счётчика базовым алгоритмом блочного шифрования.
    В качестве начального значения счётчика используется значение синхропосылки, дополненное до размера блока нулевым битом слева и зашифрованное блочным шифром. Вычисление имитовставки от шифртекста и ассоциированных данных в режиме MGM выполняется с помощью мультилинейной функции с секретными коэффициентами, получаемыми в результате зашифрования последовательных значений счётчика базовым алгоритмом блочного шифрования. В качестве начального значения счётчика используется значение синхропосылки, дополненное до размера блока единичным битом слева и зашифрованное блочным шифром.

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    7
    5.8.2 Зашифрование с выработкой имитовставки
    Открытый текст 𝑃 ∈ 𝑉

    представляется в виде 𝑃 = 𝑃
    1
    ∥ ⋯ ∥ 𝑃
    𝑞

    , где 𝑃
    𝑖
    ∈ 𝑉
    𝑛
    ,
    𝑖 =
    1, 2, … , 𝑞 − 1, 𝑃
    𝑞

    ∈ 𝑉
    𝑟
    ,
    1 ≤ 𝑟 ≤ 𝑛. Если длина открытого текста равна нулю, то 𝑃
    𝑞


    𝑉
    0
    , 𝐶
    𝑞

    = 𝑃
    𝑞

    , 𝑞 = 0, 𝑟 = 𝑛. Ассоциированные данные представляются в виде 𝐴 = 𝐴
    1

    ⋯ ∥ 𝐴


    , где 𝐴
    𝑗
    ∈ 𝑉
    𝑛
    ,
    𝑗 = 1, 2, … , ℎ − 1, 𝐴


    ∈ 𝑉
    𝑡
    ,
    1 ≤ 𝑡 ≤ 𝑛. Если длина ассоциированных данных равна нулю, то 𝐴


    ∈ 𝑉
    0
    , ℎ = 0, 𝑡 = 𝑛.
    Если длина открытого текста не равна нулю, то блоки шифртекста вычисляются по следующему правилу:
    𝑌
    1
    = e
    𝐾
    (0 ∥ 𝐼𝑉);
    𝑌
    𝑖
    = incr
    𝑟
    (𝑌
    𝑖−1
    ), 𝑖 = 2, 3, … , 𝑞;
    𝐶
    𝑖
    = 𝑃
    𝑖
    ⊕ e
    𝐾
    (𝑌
    𝑖
    ), 𝑖 = 1, 2, … , 𝑞 − 1;
    𝐶
    𝑞

    = 𝑃
    𝑞

    ⊕ T
    𝑟
    (e
    𝐾
    (𝑌
    𝑞
    )).
    (17)
    Результирующий шифртекст имеет вид:
    𝐶 = 𝐶
    1
    ∥ ⋯ ∥ 𝐶
    𝑞

    Если открытый текст 𝑃 равен пустой строке, то шифртекст 𝐶 также полагается равным пустой строке.
    К ассоциированным данным 𝐴 и шифртексту 𝐶 применяется процедура 1 дополнения сообщения до длины блока 𝑛. После применения процедуры дополнения последний блок ассоциированных данных 𝐴

    и последний блок шифртекста 𝐶
    𝑞
    принимают следующий вид:
    𝐴

    = 𝐴


    ∥ 0
    𝑛−𝑡
    ;
    𝐶
    𝑞
    = 𝐶
    𝑞

    ∥ 0
    𝑛−𝑟
    (18)
    Значение имитовставки вычисляется по следующему правилу:
    𝑍
    1
    = e
    𝐾
    (1 ∥ 𝐼𝑉);
    𝑍
    𝑖
    = incr
    𝑙
    (𝑍
    𝑖−1
    ), 𝑖 = 2, 3, … , ℎ + 𝑞 + 1;
    𝐻
    𝑖
    = e
    𝐾
    (𝑍
    𝑖
    ), 𝑖 = 1, 2, … , ℎ + 𝑞 + 1;
    𝑀𝐴𝐶 = T
    𝑠
    (e
    𝐾
    (∑
    (𝐻
    𝑖
    ⊗ 𝐴
    𝑖
    )

    𝑖=1
    ⊕ ∑
    (𝐻
    ℎ+𝑗
    ⊗ 𝐶
    𝑗
    )
    𝑞
    𝑗=1
    ⊕ 𝐻
    ℎ+𝑞+1
    ⊗ (len(𝐴) ∥
    len(𝐶)))).
    (19)
    Результатом вычисления имитовставки является значение 𝑀𝐴𝐶.
    Зашифрование с выработкой имитовставки в режиме MGM представлено на рисунке 17.

    8 17)
    19)
    18) incr
    𝑟
    𝑌
    𝑞
    𝑃
    𝑞

    𝐶
    𝑞

    𝑃
    1
    𝐶
    1
    𝑌
    1 0  IV
    𝐶
    𝑞

     0
    𝑛−𝑟
    𝐶
    𝑞
    𝐻
    ℎ+1
    𝐻
    ℎ+𝑞
    𝐻
    1
    𝑍
    ℎ+𝑞+1
    𝑍
    1
    incr
    𝑙
    𝐻
    ℎ+𝑞+1
    𝐴


     0
    𝑛−𝑡
    𝐴

    𝐻
    1
    𝐻

    𝐴
    1
    𝐻
    ℎ+𝑞+1
    𝑙𝑒𝑛 𝐴  𝑙𝑒𝑛(𝐶) e
    K
    e
    K
    e
    K
    T
    r
    e
    K
    T
    s
    MAC
    1
     IV
    e
    K
    e
    K
    e
    K
    Рисунок 17 Зашифрование с выработкой имитовставки в режиме MGM
    5.8.3
    Расшифрование с проверкой имитовставки
    Шифртекст представляется в виде 𝐶 = 𝐶
    1
    ∥ ⋯ ∥ 𝐶
    𝑞

    , где 𝐶
    𝑖
    ∈ 𝑉
    𝑛
    ,
    𝑖 = 1, 2, … , 𝑞 − 1,
    𝐶
    𝑞

    ∈ 𝑉
    𝑟
    ,
    1 ≤ 𝑟 ≤ 𝑛. Если длина шифртекста равна нулю, то 𝐶
    𝑞

    ∈ 𝑉
    0
    , 𝑃
    𝑞

    = 𝐶
    𝑞

    , 𝑞 = 0, 𝑟 =
    𝑛. Ассоциированные данные представляются в виде 𝐴 = 𝐴
    1
    ∥ ⋯ ∥ 𝐴


    , где 𝐴
    𝑗
    ∈ 𝑉
    𝑛
    ,
    𝑗 =
    1, 2, … , ℎ − 1, 𝐴


    ∈ 𝑉
    𝑡
    ,
    1 ≤ 𝑡 ≤ 𝑛. Если длина ассоциированных данных равна нулю, то 𝐴


    ∈ 𝑉
    0
    , ℎ = 0, 𝑡 = 𝑛.
    К ассоциированным данным 𝐴 и шифртексту 𝐶 применяется процедура 1 дополнения сообщения до длины блока 𝑛. После применения процедуры дополнения последний блок ассоциированных данных 𝐴

    и последний блок шифртекста 𝐶
    𝑞
    принимают следующий вид:
    𝐴

    = 𝐴


    ∥ 0
    𝑛−𝑡
    ;
    𝐶
    𝑞
    = 𝐶
    𝑞

    ∥ 0
    𝑛−𝑟
    (20)
    Проверка корректности имитовставки выполняется по следующему правилу:
    𝑍
    1
    = e
    𝐾
    (1 ∥ 𝐼𝑉);
    𝑍
    𝑖
    = incr
    𝑙
    (𝑍
    𝑖−1
    ), 𝑖 = 2, 3, … , ℎ + 𝑞 + 1;
    𝐻
    𝑖
    = e
    𝐾
    (𝑍
    𝑖
    ), 𝑖 = 1, 2, … , ℎ + 𝑞 + 1;
    𝑀𝐴𝐶′ = T
    𝑠
    (e
    𝐾
    (∑
    (𝐻
    𝑖
    ⊗ 𝐴
    𝑖
    )

    𝑖=1
    ⊕ ∑
    (𝐻
    ℎ+𝑗
    ⊗ 𝐶
    𝑗
    )
    𝑞
    𝑗=1
    ⊕ 𝐻
    ℎ+𝑞+1
    ⊗ (len(𝐴) ∥
    len(𝐶)))).
    (21)

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    9
    Если 𝑀𝐴𝐶

    ≠ 𝑀𝐴𝐶, то в качестве результата расшифрования возвращается ошибка. Если 𝑀𝐴𝐶

    = 𝑀𝐴𝐶, то выполняется расшифрование.
    Если длина шифртекста не равна нулю, то блоки открытого текста вычисляются по следующему правилу:
    𝑌
    1
    = e
    𝐾
    (0 ∥ 𝐼𝑉);
    𝑌
    𝑖
    = incr
    𝑟
    (𝑌
    𝑖−1
    ), 𝑖 = 2, 3, … , 𝑞;
    𝑃
    𝑖
    = 𝐶
    𝑖
    ⊕ e
    𝐾
    (𝑌
    𝑖
    ), 𝑖 = 1, 2, … , 𝑞 − 1;
    𝑃
    𝑞

    = 𝐶
    𝑞

    ⊕ T
    𝑟
    (e
    𝐾
    (𝑌
    𝑞
    )).
    (22)
    Результирующий открытый текст имеет вид:
    𝑃 = 𝑃
    1
    ∥ ⋯ ∥ 𝑃
    𝑞

    Если шифртекст 𝐶 равен пустой строке, то открытый текст 𝑃 также полагается равным пустой строке.
    Расшифрование с проверкой имитовставки в режиме MGM представлено на рисунке 18.
    22)
    21)
    20) incr
    𝑟
    𝑌
    𝑞
    𝐶
    𝑞

    𝑃
    𝑞

    𝐶
    1
    𝑃
    1
    𝑌
    1 0  𝐼𝑉
    𝐶
    𝑞

     0
    𝑛−𝑟
    𝐶
    𝑞
    𝐻
    ℎ+1
    𝐻
    ℎ+𝑞
    𝐻
    1
    𝑍
    ℎ+𝑞+1
    𝑍
    1
    incr
    𝑙
    𝐻
    ℎ+𝑞+1
    𝐴


     0
    𝑛−𝑡
    𝐴

    𝐻
    1
    𝐻

    𝐴
    1
    𝐻
    ℎ+𝑞+1
    𝑙𝑒𝑛(𝐴)  𝑙𝑒𝑛(𝐶)
    𝐶
    1
    e
    K
    T
    s
    MAC
    1  IV
    e
    K
    e
    K
    e
    K
    e
    K
    T
    r
    e
    K
    e
    K
    Рисунок 18 Расшифрование с проверкой имитовставки в режиме MGM"
    Приложение A. Подпункт A.2.1 исключить.
    Приложение A. Подпункт A.2.2 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.

    10
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Подпункт A.2.3.1 дополнить абзацем в начале:
    "
    Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Подпункт A.2.4.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Подпункт A.2.5.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    11
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Подпункт A.2.6.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Подпункт A.2.7 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011."
    Приложение A. Пункт A.2 дополнить подпунктом:
    "
    А.2.8 Режим гаммирования с преобразованием ключа
    А.2.8.1 Зашифрование
    Пример использует следующие параметры:
    Ключ:
    𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - семь 128-битных блоков:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,

    12
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011,
    𝑃
    5
    = 33445566778899aabbcceeff0a001122,
    𝑃
    6
    = 445566778899aabbcceeff0a00112233,
    𝑃
    7
    = 5566778899aabbcceeff0a0011223344.
    𝑛 = 128, 𝑠 = 𝑛 = 128,
    𝑁 = 256,
    𝐼𝑉 = 1234567890abcef0.
    Таблица А.6а – Выработка секционных ключей с помощью функции преобразования ключа ACPKM
    Номер секции
    𝑖
    Секционный ключ 𝐾
    𝑖
    1 8899aabbccddeeff0011223344556677fedcba98765432100123456 789abcdef
    2 2666ed40ae687811745ca0b448f57a7b390adb5780307e8e9659a c403ae60c60 3 bb3dd5402e999b7a3debb0db45448ec530f07365dfee3aba8415f7 7ac8f34ce8 4
    23362fd553cad2178299a5b5a2d4722e3bb83c730a8bf57ce2dd00 4017f8c565
    Таблица А.6б – Зашифрование секции 𝑀
    1
    в режиме гаммирования с преобразованием ключа
    𝑖
    1 2
    𝑃
    𝑖
    1122334455667700ffeeddccbbaa
    9988 00112233445566778899aabbcceef f0a
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567890abcef000000000000 00000 1234567890abcef0000000000000 0001
    Выходной блок
    (e
    𝐾
    1
    (𝐶𝑇𝑅
    𝑖
    )) e0b7ebfa9468a6db2a95826efb17 3830 85ffc500b2f4582a7ba54e08f0ab21
    ee
    𝐶
    𝑖
    f195d8bec10ed1dbd57b5fa240bd a1b8 85eee733f6a13e5df33ce4b33c45d ee4

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    13
    Таблица А.6в – Зашифрование секции 𝑀
    2
    в режиме гаммирования с преобразованием ключа
    𝑖
    3 4
    𝑃
    𝑖
    112233445566778899aabbcceeff
    0a00 2233445566778899aabbcceeff0a0 011
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567890abcef000000000000 00002 1234567890abcef0000000000000 0003
    Выходной блок
    (e
    𝐾
    2
    (𝐶𝑇𝑅
    𝑖
    ))
    5aecd8cb31093bd99bdbdebb07a e200 7a4f09a00ea71ca094f3f8412f8a50 57
    𝐶
    𝑖
    4bceeb8f646f4c55001706275e85
    e800 587c4df568d094393e4834afd0805 046
    Таблица А.6г – Зашифрование секции 𝑀
    3
    в режиме гаммирования с преобразованием ключа
    𝑖
    5 6
    𝑃
    𝑖
    33445566778899aabbcceeff0a00 1122 445566778899aabbcceeff0a00112 233
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567890abcef000000000000 00004 1234567890abcef0000000000000 0005
    Выходной блок
    (e
    𝐾
    3
    (𝐶𝑇𝑅
    𝑖
    )) fc74a010f126754ba73082ce618a
    984c
    9ba8619b09af9cfdc0a1c47e34323 40d
    𝐶
    𝑖
    cf30f57686aeece11cfc6c316b8a8 96e dffd07ec813636460c4f3b74342316 3e

    14
    Таблица А.6д – Зашифрование секции 𝑀
    4
    в режиме гаммирования с преобразованием ключа
    𝑖
    7
    𝑃
    𝑖
    5566778899aabbcceeff0a001122 3344
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567890abcef000000000000 00006
    Выходной блок
    (e
    𝐾
    4
    (𝐶𝑇𝑅
    𝑖
    ))
    316fde4a1b507318872d2be7eaf4
    ed19
    𝐶
    𝑖
    6409a9c282fac8d469d221e7fdd6
    de5d
    А.2.8.2 Расшифрование
    С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐶 с помощью операции расшифрования воспроизводятся значения 𝑃
    1
    ,
    𝑃
    2
    ,
    𝑃
    3
    ,
    𝑃
    4
    ,
    𝑃
    5
    ,
    𝑃
    6
    ,
    𝑃
    7
    ."
    Приложение A. Пункт A.2 дополнить подпунктом:
    "
    А.2.9 Режим аутентифицированного шифрования с ассоциированными
    данными
    А.2.9.1 Зашифрование с выработкой имитовставки
    Пример использует следующие параметры:
    Ключ:
    K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст - четыре 128-битных блока и один 24-битный блок:
    𝑃
    1
    = 1122334455667700ffeeddccbbaa9988,
    𝑃
    2
    = 00112233445566778899aabbcceeff0a,
    𝑃
    3
    = 112233445566778899aabbcceeff0a00,
    𝑃
    4
    = 2233445566778899aabbcceeff0a0011,
    𝑃
    5

    = aabbcc,
    Ассоциированные данные – два 128-битных блока и один 72-битный блок:
    𝐴
    1
    = 02020202020202020101010101010101,
    𝐴
    2
    = 04040404040404040303030303030303,
    𝐴
    3

    = ea0505050505050505.
    n = 128, s = n = 128,

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    15
    𝐼𝑉 = 1122334455667700ffeeddccbbaa9988,
    𝑌
    1
    = 𝑒
    𝐾
    (0 ∥ 𝐼𝑉) = 7f679d90bebc24305a468d42b9d4edcd,
    𝑍
    1
    = 𝑒
    𝐾
    (1 ∥ 𝐼𝑉) = 7fc245a8586e6602a7bbdb2786bdc66f.
    Таблица А.6е – Зашифрование в режиме аутентифицированного шифрования с ассоциированными данными
    𝑖
    1 2
    𝑃
    𝑖
    1122334455667700ffeeddccbbaa99 88 00112233445566778899aabbcceef f0a
    Входной блок (𝑌
    𝑖
    )
    7f679d90bebc24305a468d42b9d4e dcd
    7f679d90bebc24305a468d42b9d4
    edce
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    )) b85748c512f31990aa567ef15335d b74 8064f0126fac9b2c5b6eac21612f94 33
    𝐶
    𝑖
    a9757b8147956e9055b8a33de89f4 2fc
    8075d2212bf9fd5bd3f7069aadc16
    b39
    Продолжение таблицы А.6е
    𝑖
    3 4
    𝑃
    𝑖
    112233445566778899aabbcceeff0a
    00 2233445566778899aabbcceeff0a0 011
    Входной блок (𝑌
    𝑖
    )
    7f679d90bebc24305a468d42b9d4e dcf
    7f679d90bebc24305a468d42b9d4
    edd0
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    ))
    5858821d40c0cd0d0ac1e6c247098
    f1c e43f5081b58f0b49012f8ee86acd6
    dfa
    𝐶
    𝑖
    497ab15915a6ba85936b5d0ea9f68 51c c60c14d4d3f883d0ab94420695c76
    deb

    16
    Окончание таблицы А.6е
    𝑖
    5
    𝑃
    𝑖
    aabbcc
    Входной блок (𝑌
    𝑖
    )
    7f679d90bebc24305a468d42b9d4e dd1
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    ))
    86ce9e2a0a1225e3335691b20d5a
    3348
    𝐶
    𝑖

    2c7552
    Дополнение последнего блока шифртекста и последнего блока ассоциированных данных:
    С
    5
    = 2c755200000000000000000000000000,
    𝐴
    3
    = ea050505050505050500000000000000.
    Таблица А.6ж – Вычисление имитовставки в режиме аутентифицированного шифрования с ассоциированными данными
    𝑖
    1 2
    Входной блок (𝑍
    𝑖
    )
    7fc245a8586e6602a7bbdb2786bdc
    66f
    7fc245a8586e6603a7bbdb2786bdc
    66f
    Выходно й блок
    (𝐻
    𝑖
    )
    8db187d653830ea4bc446476952c3 00b
    7a24f72630e3763721c8f3cdb1da0
    e31
    Продолжение таблицы А.6ж
    i
    3 4
    Входной блок (𝑍
    𝑖
    )
    7fc245a8586e6604a7bbdb2786bdc
    66f
    7fc245a8586e6605a7bbdb2786bdc
    66f
    Выходно й блок
    (𝐻
    𝑖
    )
    4411962117d20635c525e0a24db4
    b90a d8c9623c4dbfe814ce7c1c0ceaa95 9db

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    17
    Продолжение таблицы А.6ж
    𝑖
    5 6
    Входной блок (𝑍
    𝑖
    )
    7fc245a8586e6606a7bbdb2786bdc
    66f
    7fc245a8586e6607a7bbdb2786bdc
    66f
    Выходно й блок
    (𝐻
    𝑖
    ) a5e1f195333e1482969931bfbe6dfd
    43 b4ca808caccfb3f91724e48a2c7ee9
    d2
    Продолжение таблицы А.6ж
    𝑖
    7 8
    Входной блок (𝑍
    𝑖
    )
    7fc245a8586e6608a7bbdb2786bdc
    66f
    7fc245a8586e6609a7bbdb2786bdc
    66f
    Выходно й блок
    (𝐻
    𝑖
    )
    72908fc074e469e8901bd188ea91c
    331 23ca2715b02c68313bfdacb39e4d0f b8
    Окончание таблицы А.6ж
    𝑖
    9
    Входной блок (𝑍
    𝑖
    )
    7fc245a8586e660aa7bbdb2786bdc
    66f
    Выходно й блок
    (𝐻
    𝑖
    ) bcbce6c41aa355a4148862bf64bd8 30d len(𝐴) ∥ len(𝐶) = 00000000000001480000000000000218.
    𝑀𝐴𝐶 = cf5d656f40c34f5c46e8bb0e29fcdb4c.
    А.2.8.2 Расшифрование
    С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐴, 𝐶 и 𝑀𝐴𝐶 с помощью операции расшифрования с проверкой имитовставки выполняется проверка имитовставки 𝑀𝐴𝐶 и воспроизводятся значения 𝑃
    1
    ,
    𝑃
    2
    ,
    𝑃
    3
    ,
    𝑃
    4
    ,
    𝑃
    5

    . "
    Приложение A. Подпункт A.3.1 исключить.
    Приложение A. Подпункт A.3.2 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,

    18
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."
    Приложение A. Подпункт A.3.3.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."
    Приложение A. Подпункт A.3.4.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."
    Приложение A. Подпункт A.3.5.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    19
    Приложение A. Подпункт A.3.6.1 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."
    Приложение A. Подпункт A.3.7 дополнить абзацем в начале:
    "Пример использует следующие параметры:
    Ключ:
    𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст - четыре 64-битных блока:
    𝑃
    1
    = 92def06b3c130a59,
    𝑃
    2
    = db54c704f8189d20,
    𝑃
    3
    = 4a98fb2e67a8024c,
    𝑃
    4
    = 8912409b17b57e41."
    Приложение A. Пункт A.3 дополнить подпунктом:
    "
    А.3.8 Режим гаммирования с преобразованием ключа
    А.3.8.1 Зашифрование
    Пример использует следующие параметры:
    Ключ:
    K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.
    Открытый текст – семь 64-битных блоков:
    𝑃
    1
    = 1122334455667700,
    𝑃
    2
    = ffeeddccbbaa9988,
    𝑃
    3
    = 0011223344556677,
    𝑃
    4
    = 8899aabbcceeff0a,
    𝑃
    5
    = 1122334455667788,

    20
    𝑃
    6
    = 99aabbcceeff0a00,
    𝑃
    7
    = 2233445566778899.
    𝑛 = 64, 𝑠 = 𝑛 = 64,
    𝑁 = 128,
    𝐼𝑉 = 12345678.
    Таблица А.12а – Выработка секционных ключей с помощью функции преобразования ключа ACPKM
    Номер секции
    𝑖
    Секционный ключ 𝐾
    𝑖
    1 8899aabbccddeeff0011223344556677fedcba98765432100123456 789abcdef
    2 863ea017842c3d372b18a85a28e2317d74befc107720de0c9e8ab9 74abd00ca0 3
    49a5e2677de555982b8ad5e826652d17eec847bf5b3997a81cf7fe
    7f1187bd27 4
    3256bf3f97b5667426a9fb1c5eaabe41893ccdd5a868f9b63b0aa90 720fa43c4
    Таблица А.12б – Зашифрование секции 𝑀
    1
    в режиме гаммирования с преобразованием ключа
    𝑖
    1 2
    𝑃
    𝑖
    1122334455667700 ffeeddccbbaa9988
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567800000000 1234567800000001
    Выходно й блок
    (e
    𝐾
    1
    (𝐶𝑇𝑅
    𝑖
    ))
    3b9a2eaabe783bab
    970fd90806c10d62
    𝐶
    𝑖
    2ab81deeeb1e4cab
    68e104c4bd6b94ea

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    21
    Таблица А.12в – Зашифрование секции 𝑀
    2
    в режиме гаммирования с преобразованием ключа
    𝑖
    3 4
    𝑃
    𝑖
    0011223344556677 8899aabbcceeff0a
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567800000002 1234567800000003
    Выходно й блок
    (e
    𝐾
    2
    (𝐶𝑇𝑅
    𝑖
    )) c73d459c287b3d1c
    86361cacbc1f4c24
    𝐶
    𝑖
    c72c67af6c2e5b6b
    0eafb61770f1b32e
    Таблица А.12г – Зашифрование секции 𝑀
    3
    в режиме гаммирования с преобразованием ключа
    𝑖
    5 6
    𝑃
    𝑖
    1122334455667788 99aabbcceeff0a00
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567800000004 1234567800000005
    Выходно й блок
    (e
    𝐾
    3
    (𝐶𝑇𝑅
    𝑖
    )) b08c4250cb8b640a
    327edcd4e88de66f
    𝐶
    𝑖
    a1ae71149eed1382 abd467180672ec6f
    Таблица А.12д – Зашифрование секции 𝑀
    4
    в режиме гаммирования с преобразованием ключа
    𝑖
    7
    𝑃
    𝑖
    2233445566778899
    Входной блок
    (𝐶𝑇𝑅
    𝑖
    )
    1234567800000006
    Выходно й блок
    (e
    𝐾
    4
    (𝐶𝑇𝑅
    𝑖
    )) a691b50e59bdfa58
    𝐶
    𝑖
    84a2f15b3fca72c1

    22
    А.3.8.2 Расшифрование
    С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐶 с помощью операции расшифрования воспроизводятся значения 𝑃
    1
    ,
    𝑃
    2
    ,
    𝑃
    3
    ,
    𝑃
    4
    ,
    𝑃
    5
    ,
    𝑃
    6
    ,
    𝑃
    7
    ."
    Приложение A. Пункт A.3 дополнить подпунктом:
    "
    А.3.9 Режим аутентифицированного шифрования с ассоциированными
    данными
    А.3.9.1 Зашифрование с выработкой имитовставки
    Пример использует следующие параметры:
    Ключ:
    K = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.
    Открытый текст – восемь 64-битных блоков и один 24-битный блок:
    𝑃
    1
    = ffeeddccbbaa9988,
    𝑃
    2
    = 1122334455667700,
    𝑃
    3
    = 8899aabbcceeff0a,
    𝑃
    4
    = 0011223344556677,
    𝑃
    5
    = 99aabbcceeff0a00,
    𝑃
    6
    = 1122334455667788,
    𝑃
    7
    = aabbcceeff0a0011,
    𝑃
    8
    = 2233445566778899,
    𝑃
    9
    = aabbcc.
    Ассоциированные данные – пять 64-битных блоков и один 8-битный блок:
    𝐴
    1
    = 0101010101010101,
    𝐴
    2
    = 0202020202020202,
    𝐴
    3
    = 0303030303030303,
    𝐴
    4
    = 0404040404040404,
    𝐴
    5
    = 0505050505050505,
    𝐴
    6
    = ea.
    𝑛 = 64, 𝑠 = 𝑛 = 64,
    𝐼𝑉 = 12def06b3c130a59,
    𝑌
    1
    = e
    𝐾
    (0 ∥ 𝐼𝑉) = 5623890162de31bf,
    𝑍
    1
    = e
    𝐾
    (1 ∥ 𝐼𝑉) = 2b073f0494f372a0.

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    23
    Таблица А.12е – Зашифрование в режиме аутентифицированного шифрования с ассоциированными данными
    𝑖
    1 2
    𝑃
    𝑖
    ffeeddccbbaa9988 1122334455667700
    Входной блок (𝑌
    𝑖
    )
    5623890162de31bf
    5623890162de31C0
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    ))
    387bdba0e43439b3 9433000610f7f2ae
    𝐶
    𝑖
    c795066c5f9ea03b
    85113342459185ae
    Продолжение таблицы А.12е
    𝑖
    3 4
    𝑃
    𝑖
    8899aabbcceeff0a
    0011223344556677
    Входной блок (𝑌
    𝑖
    )
    5623890162de31c1 5623890162de31c2
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    ))
    97b7aa6d73c58757 9415528bffc9e80a
    𝐶
    𝑖
    1f2e00d6bf2b785d
    940470b8bb9c8e7d
    Продолжение таблицы А.12е
    𝑖
    5 6
    𝑃
    𝑖
    99aabbcceeff0a00 1122334455667788
    Входной блок (𝑌
    𝑖
    )
    5623890162de31c3 5623890162de31c4
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    ))
    03f768bff182d670 fd05f84e9b09d2fe
    𝐶
    𝑖
    9a5dd3731f7ddc70 ec27cb0ace6fa576

    24
    Продолжение таблицы А.12е
    𝑖
    7 8
    𝑃
    𝑖
    aabbcceeff0a0011 2233445566778899
    Входной блок (𝑌
    𝑖
    )
    5623890162de31c5 5623890162de31c6
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    )) da4d908a95b175c4 65997396dac24bd7
    𝐶
    𝑖
    70f65c646abb75d5 47aa37c3bcb5c34e
    Окончание таблицы А.12е
    𝑖
    9
    𝑃
    𝑖
    aabbcc
    Входной блок (𝑌
    𝑖
    )
    5623890162de31c7
    Выходно й блок
    (e
    𝐾
    (𝑌
    𝑖
    )) a900504a148dee26
    𝐶
    𝑖

    03bb9c
    Дополнение последнего блока шифртекста и последнего блока ассоциированных данных:
    С
    5
    = 03bb9c0000000000,
    𝐴
    3
    = ea00000000000000.
    Таблица А.12ж – Вычисление имитовставки в режиме аутентифицированного шифрования с ассоциированными данными
    𝑖
    1 2
    Входной блок (𝑍
    𝑖
    )
    2b073f0494f372a0 2b073f0594f372a0
    Выходно й блок
    (𝐻
    𝑖
    )
    708a78191cdd22aa
    6f02cc464b2fa0a3

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    25
    Продолжение таблицы А.12ж
    i
    3 4
    Входной блок (𝑍
    𝑖
    )
    2b073f0694f372a0 2b073f0794f372a0
    Выходно й блок
    (𝐻
    𝑖
    )
    9f81f226fd196f05 b9c2ac9be5b5dff9
    Продолжение таблицы А.12ж
    𝑖
    5 6
    Входной блок (𝑍
    𝑖
    )
    2b073f0894f372a0 2b073f0994f372a0
    Выходно й блок
    (𝐻
    𝑖
    )
    74b5ec96551bf888 7eb021a4035b04c3
    Продолжение таблицы А.12ж
    𝑖
    7 8
    Входной блок (𝑍
    𝑖
    )
    2b073f0a94f372a0 2b073f0b94f372a0
    Выходно й блок
    (𝐻
    𝑖
    ) c2a9c3a8704d9bb0 f5d505a87b8383b5
    Продолжение таблицы А.12ж
    𝑖
    9 10
    Входной блок (𝑍
    𝑖
    )
    2b073f0c94f372a0 2b073f0d94f372a0
    Выходно й блок
    (𝐻
    𝑖
    ) f795e75fdeb8933c
    65a1a3e680f08145

    26
    Продолжение таблицы А.12ж
    𝑖
    11 12
    Входной блок (𝑍
    𝑖
    )
    2b073f0e94f372a0 2b073f0f94f372a0
    Выходно й блок
    (𝐻
    𝑖
    )
    1c74a5764cb0d595 dc8447a514e783e7
    Продолжение таблицы А.12ж
    𝑖
    13 14
    Входной блок (𝑍
    𝑖
    )
    2b073f1094f372a0 2b073f1194f372a0
    Выходно й блок
    (𝐻
    𝑖
    ) a7e3afe004ee16e3 a5aabb0b7980d071
    Окончание таблицы А.12ж
    𝑖
    15 16
    Входной блок (𝑍
    𝑖
    )
    2b073f1294f372a0 2b073f1394f372a0
    Выходно й блок
    (𝐻
    𝑖
    )
    6e104cc933525c5d
    8311b6024aa966c1 len(𝐴) ∥ len(𝐶) = 0000014800000218.
    𝑀𝐴𝐶 = a7928069aa10fd10.
    А.2.8.2 Расшифрование
    С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐴, 𝐶 и 𝑀𝐴𝐶 с помощью операции расшифрования с проверкой имитовставки выполняется проверка имитовставки 𝑀𝐴𝐶 и воспроизводятся значения 𝑃
    1
    ,
    𝑃
    2
    ,
    𝑃
    3
    ,
    𝑃
    4
    ,
    𝑃
    5

    ."

    Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция)
    27
    УДК 681.3.06:006.354 ОКС 35. 040 ОКСТУ 5002 П85
    Ключевые слова: зашифрование, расшифрование, имитозащита, режим работы блочного шифра, ключ
    Руководитель организации-разработчика
    ООО «КРИПТО-ПРО»
    Генеральный директор
    __________________
    личная подпись
    Н. Г. Чернова
    Руководитель разработки
    Заместитель генерального директора
    __________________
    личная подпись
    С. В. Смышляев
    Исполнитель
    Начальник отдела криптографических исследований
    __________________
    личная подпись
    Е. К. Алексеев
    Исполнитель
    Инженер-аналитик 2 категории
    __________________
    личная подпись
    Л. О. Никифорова


    написать администратору сайта