Учебник. ГОСТ 34.13-2018, Изменение № 1. Изменение 1 гост 34. 132018 Межгосударственный стандарт. Информационная технология. Криптографическая защита информации
 Скачать 1.62 Mb.
|
|
Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 1 МКС 35.040 Изменение № 1 ГОСТ 34.13-2018 Межгосударственный стандарт. Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров. Information technology. Cryptographic data security. Modes of operation for block ciphers Принято Евразийским советом по стандартизации, метрологии и сертификации (протокол от ___________ ) За принятие изменения проголосовали национальные органы по стандартизации следующих государств: __________________________ Дату введения в действие настоящего изменения устанавливают указанные национальные органы по стандартизации. Предисловие. Пункт 1 изложить в новой редакции: " РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС") и Общества с ограниченной ответственностью "КРИПТО-ПРО" (ООО "КРИПТО-ПРО") Предисловие. Пункт 5 изложить в новой редакции: "Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.13-2015, Р 1323565.1.017-2018 "Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования", Р 1323565.1.026–2019 "Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование" Пункт 2.1 дополнить подпунктами: "2.1.20 ассоциированные данные (associated data): Данные, для которых обеспечивается имитозащита, но не обеспечивается конфиденциальность. 2.1.21 зашифрование с выработкой имитовставки (authenticated encryption): Операция, состоящая из зашифрования открытого текста и вычисления имитовставки для обеспечения имитозащиты открытого текста и ассоциированных данных, с использованием одного ключа в обоих преобразованиях. 2.1.22 расшифрование с проверкой имитовставки (authenticated decryption): Операция, обратная к зашифрованию с выработкой имитовставки. Состоит из проверки имитовставки и последующего расшифрования шифртекста в случае успешного завершения проверки." Пункт 2.2 дополнить обозначениями: "∑ 𝑎 𝑖 𝑚 𝑖=1 – битовая строка, являющаяся результатом покомпонентного сложения по модулю 2 битовых строк одинаковой длины. Суммой строк 𝑎 1 , … , 𝑎 𝑚 называется строка ∑ 𝑎 𝑖 𝑚 𝑖=1 = 𝑎 1 ⊕ … ⊕ 𝑎 𝑚 ; 2 ⊗: 𝐹 × 𝐹 → 𝐹 – отображение, определенное для 𝐹 = 𝑉 𝑛 и 𝐹 = 𝐺𝐹(2 𝑛 )[𝑥]/ 𝑓 𝑛 (𝑥), где многочлен 𝑓 𝑛 (𝑥) задан в разделе 5.6.2. В случае 𝐹 = 𝑉 𝑛 , отображение ставит в соответствие двум строкам 𝑎 = (𝑎 𝑛−1 ∥ ⋯ ∥ 𝑎 0 ) и 𝑏 = (𝑏 𝑛−1 ∥ ⋯ ∥ 𝑏 0 ), 𝑎, 𝑏 ∈ 𝑉 𝑛 , строку 𝑐 = 𝑎 ⊗ 𝑏 = (𝑐 𝑛−1 ∥ ⋯ ∥ 𝑐 0 ), 𝑐 ∈ 𝑉 𝑛 ; строка 𝑐 соответствует многочлену Poly 𝑛 (𝑐), который является результатом умножения двух многочленов Poly 𝑛 (𝑎) и Poly 𝑛 (𝑏) в поле 𝐺𝐹(2 𝑛 )[𝑥]/𝑓(𝑥); для 𝑛 = 64 порождающим многочленом является 𝑓(𝑥) = 𝑥 64 + 𝑥 4 + 𝑥 3 + 𝑥 + 1, для 𝑛 = 128 порождающим многочленом является 𝑓(𝑥) = 𝑥 128 + 𝑥 7 + 𝑥 2 + 𝑥 + 1. В случае 𝐹 = 𝐺𝐹(2 𝑛 )[𝑥]/𝑓 𝑛 (𝑥), отображение ставит в соответствие двум элементам поля 𝑎(𝑥) ∈ 𝐺𝐹(2 𝑛 )[𝑥]/𝑓 𝑛 (𝑥) и 𝑏(𝑥) ∈ 𝐺𝐹(2 𝑛 ) элемент поля 𝑐(𝑥) ∈ 𝐺𝐹(2 𝑛 )/𝑓 𝑛 (𝑥), который является результатом умножения элементов 𝑎(𝑥) и 𝑏(𝑥) в поле 𝐺𝐹(2 𝑛 )[𝑥]/𝑓 𝑛 (𝑥). incr 𝑙 : 𝑉 𝑛 → 𝑉 𝑛 – отображение, ставящее в соответствие строке 𝐿 ∥ 𝑅, где 𝐿, 𝑅 ∈ 𝑉 𝑛/2 , строку incr 𝑙 (𝐿 ∥ 𝑅) = Vec 𝑛/2 (Int 𝑛/2 (𝐿) ⊞ 𝑛/2 1) ∥ 𝑅; incr 𝑟 : 𝑉 𝑛 → 𝑉 𝑛 – отображение, ставящее в соответствие строке 𝐿 ∥ 𝑅, где 𝐿, 𝑅 ∈ 𝑉 𝑛/2 , строку incr 𝑟 (𝐿 ∥ 𝑅) = 𝐿 ∥ Vec 𝑛/2 (Int 𝑛/2 (𝑅) ⊞ 𝑛/2 1) ; len: 𝑉 𝑠 → 𝑉 𝑛/2 – отображение, ставящее в соответствие строке 𝑎 ∈ 𝑉 𝑠 строку len(𝑎) = Vec 𝑛/2 (|𝑎|) ∈ 𝑉 𝑛/2 . " I 𝑚 – процедура инициализации, определенная в разделе 4.2 T 𝑠 – процедура усечения, определенная в разделе 4.3 Раздел 3. Перечисление после фразы «Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования:» дополнить подпунктами: "- режим гаммирования с преобразованием ключа (CTR-ACPKM, англ. Counter Advanced Cryptographic Prolongation of Key Material); - режим аутентифицированного шифрования с ассоциированными данными (AEAD , англ. Authenticated Encryption with Associated Data). " Раздел 3. Заменить предложение: "Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока 𝑛." на предложение: "Режим гаммирования с преобразованием ключа может использоваться в качестве режима для блочных шифров с чётной длиной блока 𝑛, режим аутентифицированного шифрования с ассоциированными данными может использоваться в качестве режима для блочных шифров с длиной блока 𝑛 = 64 и 𝑛 = 128, остальные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока 𝑛." Подраздел 4.2. Заменить фразу: "все значения синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования, должны быть уникальными, т.е. попарно различными" на фразу: " все значения синхропосылок, выработанных для зашифрования на одном и том Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 3 же ключе в режимах гаммирования, гаммирования с преобразованием ключа, аутентифицированного шифрования с ассоциированными данными, должны быть уникальными, т.е. попарно различными". Раздел 4 дополнить подразделом: "4.4 Процедура преобразования ключа Для преобразования ключа используется функция ACPKM, которая принимает на вход ключ 𝐾 длины 𝑘 ≤ 256 бит и преобразует его в ключ 𝐾′ той же длины. Функция ACPKM использует базовый алгоритм блочного шифрования и определяется следующим образом: 𝐾 ′ = ACPKM(𝐾) = LSB 𝑘 (e 𝐾 (𝐷 1 ) ∥ ⋯ ∥ e 𝐾 (𝐷 𝐽 )), где 𝐽 = ⌈𝑘/𝑛⌉, 𝐷 1 ∥ ⋯ ∥ 𝐷 𝐽 = LSB 𝐽⋅𝑛 (𝐷), 𝐷 1 , … , 𝐷 𝐽 𝑉 𝑛 Константа 𝐷 𝑉 256 в шестнадцатеричной системе счисления задана следующим образом: 𝐷 = 808182838485868788898a8b8c8d8e8f909192939495969798999a9b9c9d9e9f." Раздел 5 дополнить подразделом: "5.7 Режим гаммирования с преобразованием ключа 5.7.1 Общие положения Параметром, определяющим порядок функционирования режима гаммирования с преобразованием ключа, является длина секции 𝑁. Значение 𝑁 выражено в битах и фиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и суммарной длине данных, обработанных на одном ключе. Длина секции 𝑁 должна быть кратна длине блока 𝑛 используемого базового алгоритма блочного шифрования. Дополнительный параметр режима гаммирования с преобразованием ключа — это длина блока гаммы 𝑠, 0 < 𝑠 ≤ 𝑛, выраженная в битах. Величина 𝑠 должна делить длину блока 𝑛. Режим гаммирования с преобразованием ключа использует функцию ACPKM, определенную в разделе 4.4. Пусть 𝑃 𝑗 ∈ 𝑉 ∗ , 𝑗 = 1, 2, …, – множество сообщений, подлежащих зашифрованию. При обработке каждого сообщения 𝑃 = 𝑃 𝑗 , 𝑗 = 1, 2, …, в режиме гаммирования с преобразованием ключа сообщение разбивается на 𝑙 = ⌈|𝑃|/𝑁⌉ секций и представляется в виде 𝑃 = 𝑀 1 ║𝑀 2 ║ … ║𝑀 𝑙 , где 𝑀 𝑖 𝑉 𝑁 , 𝑖 = 1, 2, … , 𝑙 − 1, 𝑀 𝑙 𝑉 𝑤 , 𝑤 ≤ 𝑁. Первая секция каждого сообщения обрабатывается на секционном ключе 𝐾 1 , который равен начальному ключу 𝐾. Для обработки 𝑖-ой секции каждого сообщения, 𝑖 = 2, … , 𝑙, используется секционный ключ 𝐾 𝑖 , который вычисляется из ключа 𝐾 𝑖−1 с помощью функции ACPKM. Преобразование ключа в процессе обработки сообщений в режиме гаммирования с преобразованием ключа представлено на рисунке 14. 4 P 1 P 2 P m 𝐾 𝑙 𝑚 𝑎𝑥 −1 𝐾 𝑙 𝑚𝑎𝑥 𝐾 2 𝐾 1 = 𝐾 𝑝 𝑚𝑎𝑥 ACPKM ACPKM 𝑁 бит Рисунок 14 Преобразование ключа в процессе обработки сообщений в режиме гаммирования с преобразованием ключа П р и м е ч а н и е — На рисунке 1 через 𝑝 max обозначена максимальная длина сообщения, выраженная в битах, 𝑙 max = ⌈𝑝 max /𝑁⌉, 𝑚 – количество обрабатываемых сообщений. При использовании режима гаммирования с преобразованием ключа не требуется применение процедуры дополнения сообщения. Длина 𝑝 сообщения, обрабатываемого в режиме гаммирования с преобразованием ключа, не должна превышать значения 2 𝑛/2−1 ∙ 𝑠 бит. Для зашифрования (расшифрования) каждого отдельного открытого текста (шифртекста) на одном ключе используется уникальное значение синхропосылки 𝐼𝑉 ∈ 𝑉 𝑛/2 Зашифрование (расшифрование) открытого текста (шифртекста) в режиме гаммирования с преобразованием ключа заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s путем зашифрования последовательности значений счётчика 𝐶𝑇𝑅 𝑖 ∈ 𝑉 𝑛 , 𝑖 = 1, 2, …, базовым алгоритмом блочного шифрования с использованием соответствующего секционного ключа с последующим усечением выходного значения. Начальным значением счётчика является 𝐶𝑇𝑅 1 = I 𝑛 (𝐼𝑉) = 𝐼𝑉 ∥ 0 𝑛/2 . Последующие значения счётчика вырабатываются с помощью функции Add: 𝑉 𝑛 → 𝑉 𝑛 следующим образом: 𝐶𝑇𝑅 𝑖+1 = Add(𝐶𝑇𝑅 𝑖 ) = Vec 𝑛 (Int 𝑛 (𝐶𝑇𝑅 𝑖 ) ⊞ 𝑛 1), 𝑖 = 1, 2, … (14) 5.7.2 Зашифрование Открытый текст 𝑃 ∈ 𝑉 ∗ представляется в виде 𝑃 = 𝑃 1 ∥ ⋯ ∥ 𝑃 𝑞 , где 𝑃 𝑖 ∈ 𝑉 𝑠 , 𝑖 = 1, 2, … , 𝑞 − 1, 𝑃 𝑞 ∈ 𝑉 𝑟 , 1 ≤ 𝑟 ≤ 𝑠. Блоки шифртекста вычисляются по следующему правилу: 𝑞 = ⌈|𝑃|/𝑠⌉, 𝑙 = ⌈|𝑃|/𝑁⌉; 𝐶𝑇𝑅 1 = 𝐼𝑉║0 𝑛/2 ; 𝐶𝑇𝑅 𝑖+1 = Add(𝐶𝑇𝑅 𝑖 ), 𝑖 = 1, 2, 3, … , 𝑞 − 1; 𝐾 1 = 𝐾; 𝐾 𝑗 = ACPKM(𝐾 𝑗−1 ), 𝑗 = 2, 3, … , 𝑙; 𝐶 𝑖 = 𝑃 𝑖 ⊕ T 𝑠 (e 𝐾 𝑗 (𝐶𝑇𝑅 𝑖 )), 𝑖 = 1, 2, … , 𝑞 − 1, 𝑗 = ⌈𝑖 ∙ 𝑠/𝑁⌉; (15) Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 5 Результирующий шифртекст имеет вид: 𝐶 = 𝐶 1 ∥ ⋯ ∥ 𝐶 𝑞 Зашифрование в режиме гаммирования с преобразованием ключа представлено на рисунке 15. IV I n CTR 1 Add CTR q T s CTR i Add Add CTR i+1 T s T s ACPKM T r 𝐶 𝑞 𝑃 𝑞 . . . . . . . . . . . . 𝑃 𝑖+1 𝑃 𝑖 𝑃 1 𝐶 𝑖+1 𝐶 𝑖 𝐶 1 e 𝐾 1 e 𝐾 𝑙 e 𝐾 𝑗 e 𝐾 𝑗 +1 Рисунок 15 Зашифрование в режиме гаммирования с преобразованием ключа 5.7.3 Расшифрование Шифртекст представляется в виде 𝐶 = 𝐶 1 ∥ ⋯ ∥ 𝐶 𝑞 , где 𝐶 𝑖 ∈ 𝑉 𝑠 , 𝑖 = 1, 2, … , 𝑞 − 1, 𝐶 𝑞 ∈ 𝑉 𝑟 , 1 ≤ 𝑟 ≤ 𝑠. Блоки открытого текста вычисляются по следующему правилу: Результирующий открытый текст имеет вид: 𝑃 = 𝑃 1 ∥ ⋯ ∥ 𝑃 𝑞 Расшифрование в режиме гаммирования с преобразованием ключа представлено на рисунке 16. 𝐶 𝑞 = 𝑃 𝑞 ⊕ T 𝑟 (e 𝐾 𝑙 (𝐶𝑇𝑅 𝑞 )). 𝑞 = ⌈|𝐶|/𝑠⌉, 𝑙 = ⌈|𝐶|/𝑁⌉; 𝐶𝑇𝑅 1 = 𝐼𝑉║0 𝑛/2 ; 𝐶𝑇𝑅 𝑖+1 = Add(𝐶𝑇𝑅 𝑖 ), 𝑖 = 1, 2, 3, … , 𝑞 − 1; 𝐾 1 = 𝐾; 𝐾 𝑗 = ACPKM(𝐾 𝑗−1 ), 𝑗 = 2, 3, … , 𝑙; 𝑃 𝑖 = 𝐶 𝑖 ⊕ T 𝑠 (e 𝐾 𝑗 (𝐶𝑇𝑅 𝑖 )), 𝑖 = 1, 2, … , 𝑞 − 1, 𝑗 = ⌈𝑖 ∙ 𝑠/𝑁⌉; 𝑃 𝑞 = 𝐶 𝑞 ⊕ T 𝑟 (e 𝐾 𝑙 (𝐶𝑇𝑅 𝑞 )). (16) 6 IV I n CTR 1 Add CTR q T s CTR i Add Add CTR i+1 T s T s ACPKM T r . . . . . . . . . . . . 𝑃 1 𝑃 𝑖 𝐶 𝑖+1 𝑃 𝑖+1 𝑃 𝑞 𝐶 𝑞 𝐶 𝑖 𝐶 1 e 𝐾 𝑙 e 𝐾 1 e 𝐾 𝑗 e 𝐾 𝑗 +1 Рисунок 16 Расшифрование в режиме гаммирования с преобразованием ключа" Раздел 5 дополнить подразделом: "5.8 Режим аутентифицированного шифрования с ассоциированными данными 5.8.1 Общие положения В данном разделе описан режим аутентифицированного шифрования с ассоциированными данными MGM (Multilinear Galois Mode). Параметром режима MGM является длина имитовставки 𝑠, выраженная в битах, 32 ≤ 𝑠 ≤ 𝑛. Значение 𝑠 должно быть зафиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и требований к стойкости режима относительно угрозы нарушения имитозащиты. Данный режим обеспечивает конфиденциальность и имитозащиту сообщений. При этом сообщения состоят из двух частей. Первая часть содержит ассоциированные данные 𝐴, а вторая часть содержит открытый текст 𝑃. Одна из двух частей может быть равна пустой строке. Ассоциированные данные не подлежат шифрованию, но требуют имитозащиты. Открытый текст подлежит как шифрованию, так и имитозащите. На длину ассоциированных данных и длину открытого текста накладываются следующие ограничения: 0 ≤ |𝐴| < 2 𝑛/2 , 0 ≤ |𝑃| < 2 𝑛/2 , кроме того, 0 ≤ |𝐴| + |𝑃| < 2 𝑛/2 Режим MGM использует синхропосылку 𝐼𝑉 ∈ 𝑉 𝑛−1 Значение синхропосылки должно быть уникальным для каждого сообщения при фиксированном ключе 𝐾. Выработка уникальных значений синхропосылки может быть реализована с использованием счётчика. Шифрование в режиме MGM осуществляется путем побитового сложения открытого текста с секретной гаммой, получаемой в результате зашифрования последовательных значений счётчика базовым алгоритмом блочного шифрования. В качестве начального значения счётчика используется значение синхропосылки, дополненное до размера блока нулевым битом слева и зашифрованное блочным шифром. Вычисление имитовставки от шифртекста и ассоциированных данных в режиме MGM выполняется с помощью мультилинейной функции с секретными коэффициентами, получаемыми в результате зашифрования последовательных значений счётчика базовым алгоритмом блочного шифрования. В качестве начального значения счётчика используется значение синхропосылки, дополненное до размера блока единичным битом слева и зашифрованное блочным шифром. Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 7 5.8.2 Зашифрование с выработкой имитовставки Открытый текст 𝑃 ∈ 𝑉 ∗ представляется в виде 𝑃 = 𝑃 1 ∥ ⋯ ∥ 𝑃 𝑞 ∗ , где 𝑃 𝑖 ∈ 𝑉 𝑛 , 𝑖 = 1, 2, … , 𝑞 − 1, 𝑃 𝑞 ∗ ∈ 𝑉 𝑟 , 1 ≤ 𝑟 ≤ 𝑛. Если длина открытого текста равна нулю, то 𝑃 𝑞 ∗ ∈ 𝑉 0 , 𝐶 𝑞 ∗ = 𝑃 𝑞 ∗ , 𝑞 = 0, 𝑟 = 𝑛. Ассоциированные данные представляются в виде 𝐴 = 𝐴 1 ∥ ⋯ ∥ 𝐴 ℎ ∗ , где 𝐴 𝑗 ∈ 𝑉 𝑛 , 𝑗 = 1, 2, … , ℎ − 1, 𝐴 ℎ ∗ ∈ 𝑉 𝑡 , 1 ≤ 𝑡 ≤ 𝑛. Если длина ассоциированных данных равна нулю, то 𝐴 ℎ ∗ ∈ 𝑉 0 , ℎ = 0, 𝑡 = 𝑛. Если длина открытого текста не равна нулю, то блоки шифртекста вычисляются по следующему правилу: 𝑌 1 = e 𝐾 (0 ∥ 𝐼𝑉); 𝑌 𝑖 = incr 𝑟 (𝑌 𝑖−1 ), 𝑖 = 2, 3, … , 𝑞; 𝐶 𝑖 = 𝑃 𝑖 ⊕ e 𝐾 (𝑌 𝑖 ), 𝑖 = 1, 2, … , 𝑞 − 1; 𝐶 𝑞 ∗ = 𝑃 𝑞 ∗ ⊕ T 𝑟 (e 𝐾 (𝑌 𝑞 )). (17) Результирующий шифртекст имеет вид: 𝐶 = 𝐶 1 ∥ ⋯ ∥ 𝐶 𝑞 ∗ Если открытый текст 𝑃 равен пустой строке, то шифртекст 𝐶 также полагается равным пустой строке. К ассоциированным данным 𝐴 и шифртексту 𝐶 применяется процедура 1 дополнения сообщения до длины блока 𝑛. После применения процедуры дополнения последний блок ассоциированных данных 𝐴 ℎ и последний блок шифртекста 𝐶 𝑞 принимают следующий вид: 𝐴 ℎ = 𝐴 ℎ ∗ ∥ 0 𝑛−𝑡 ; 𝐶 𝑞 = 𝐶 𝑞 ∗ ∥ 0 𝑛−𝑟 (18) Значение имитовставки вычисляется по следующему правилу: 𝑍 1 = e 𝐾 (1 ∥ 𝐼𝑉); 𝑍 𝑖 = incr 𝑙 (𝑍 𝑖−1 ), 𝑖 = 2, 3, … , ℎ + 𝑞 + 1; 𝐻 𝑖 = e 𝐾 (𝑍 𝑖 ), 𝑖 = 1, 2, … , ℎ + 𝑞 + 1; 𝑀𝐴𝐶 = T 𝑠 (e 𝐾 (∑ (𝐻 𝑖 ⊗ 𝐴 𝑖 ) ℎ 𝑖=1 ⊕ ∑ (𝐻 ℎ+𝑗 ⊗ 𝐶 𝑗 ) 𝑞 𝑗=1 ⊕ 𝐻 ℎ+𝑞+1 ⊗ (len(𝐴) ∥ len(𝐶)))). (19) Результатом вычисления имитовставки является значение 𝑀𝐴𝐶. Зашифрование с выработкой имитовставки в режиме MGM представлено на рисунке 17. 8 17) 19) 18) incr 𝑟 𝑌 𝑞 𝑃 𝑞 ∗ 𝐶 𝑞 ∗ 𝑃 1 𝐶 1 𝑌 1 0 IV 𝐶 𝑞 ∗ 0 𝑛−𝑟 𝐶 𝑞 𝐻 ℎ+1 𝐻 ℎ+𝑞 𝐻 1 𝑍 ℎ+𝑞+1 𝑍 1 incr 𝑙 𝐻 ℎ+𝑞+1 𝐴 ℎ ∗ 0 𝑛−𝑡 𝐴 ℎ 𝐻 1 𝐻 ℎ 𝐴 1 𝐻 ℎ+𝑞+1 𝑙𝑒𝑛 𝐴 𝑙𝑒𝑛(𝐶) e K e K e K T r e K T s MAC 1 IV e K e K e K Рисунок 17 Зашифрование с выработкой имитовставки в режиме MGM 5.8.3 Расшифрование с проверкой имитовставки Шифртекст представляется в виде 𝐶 = 𝐶 1 ∥ ⋯ ∥ 𝐶 𝑞 ∗ , где 𝐶 𝑖 ∈ 𝑉 𝑛 , 𝑖 = 1, 2, … , 𝑞 − 1, 𝐶 𝑞 ∗ ∈ 𝑉 𝑟 , 1 ≤ 𝑟 ≤ 𝑛. Если длина шифртекста равна нулю, то 𝐶 𝑞 ∗ ∈ 𝑉 0 , 𝑃 𝑞 ∗ = 𝐶 𝑞 ∗ , 𝑞 = 0, 𝑟 = 𝑛. Ассоциированные данные представляются в виде 𝐴 = 𝐴 1 ∥ ⋯ ∥ 𝐴 ℎ ∗ , где 𝐴 𝑗 ∈ 𝑉 𝑛 , 𝑗 = 1, 2, … , ℎ − 1, 𝐴 ℎ ∗ ∈ 𝑉 𝑡 , 1 ≤ 𝑡 ≤ 𝑛. Если длина ассоциированных данных равна нулю, то 𝐴 ℎ ∗ ∈ 𝑉 0 , ℎ = 0, 𝑡 = 𝑛. К ассоциированным данным 𝐴 и шифртексту 𝐶 применяется процедура 1 дополнения сообщения до длины блока 𝑛. После применения процедуры дополнения последний блок ассоциированных данных 𝐴 ℎ и последний блок шифртекста 𝐶 𝑞 принимают следующий вид: 𝐴 ℎ = 𝐴 ℎ ∗ ∥ 0 𝑛−𝑡 ; 𝐶 𝑞 = 𝐶 𝑞 ∗ ∥ 0 𝑛−𝑟 (20) Проверка корректности имитовставки выполняется по следующему правилу: 𝑍 1 = e 𝐾 (1 ∥ 𝐼𝑉); 𝑍 𝑖 = incr 𝑙 (𝑍 𝑖−1 ), 𝑖 = 2, 3, … , ℎ + 𝑞 + 1; 𝐻 𝑖 = e 𝐾 (𝑍 𝑖 ), 𝑖 = 1, 2, … , ℎ + 𝑞 + 1; 𝑀𝐴𝐶′ = T 𝑠 (e 𝐾 (∑ (𝐻 𝑖 ⊗ 𝐴 𝑖 ) ℎ 𝑖=1 ⊕ ∑ (𝐻 ℎ+𝑗 ⊗ 𝐶 𝑗 ) 𝑞 𝑗=1 ⊕ 𝐻 ℎ+𝑞+1 ⊗ (len(𝐴) ∥ len(𝐶)))). (21) Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 9 Если 𝑀𝐴𝐶 ′ ≠ 𝑀𝐴𝐶, то в качестве результата расшифрования возвращается ошибка. Если 𝑀𝐴𝐶 ′ = 𝑀𝐴𝐶, то выполняется расшифрование. Если длина шифртекста не равна нулю, то блоки открытого текста вычисляются по следующему правилу: 𝑌 1 = e 𝐾 (0 ∥ 𝐼𝑉); 𝑌 𝑖 = incr 𝑟 (𝑌 𝑖−1 ), 𝑖 = 2, 3, … , 𝑞; 𝑃 𝑖 = 𝐶 𝑖 ⊕ e 𝐾 (𝑌 𝑖 ), 𝑖 = 1, 2, … , 𝑞 − 1; 𝑃 𝑞 ∗ = 𝐶 𝑞 ∗ ⊕ T 𝑟 (e 𝐾 (𝑌 𝑞 )). (22) Результирующий открытый текст имеет вид: 𝑃 = 𝑃 1 ∥ ⋯ ∥ 𝑃 𝑞 ∗ Если шифртекст 𝐶 равен пустой строке, то открытый текст 𝑃 также полагается равным пустой строке. Расшифрование с проверкой имитовставки в режиме MGM представлено на рисунке 18. 22) 21) 20) incr 𝑟 𝑌 𝑞 𝐶 𝑞 ∗ 𝑃 𝑞 ∗ 𝐶 1 𝑃 1 𝑌 1 0 𝐼𝑉 𝐶 𝑞 ∗ 0 𝑛−𝑟 𝐶 𝑞 𝐻 ℎ+1 𝐻 ℎ+𝑞 𝐻 1 𝑍 ℎ+𝑞+1 𝑍 1 incr 𝑙 𝐻 ℎ+𝑞+1 𝐴 ℎ ∗ 0 𝑛−𝑡 𝐴 ℎ 𝐻 1 𝐻 ℎ 𝐴 1 𝐻 ℎ+𝑞+1 𝑙𝑒𝑛(𝐴) 𝑙𝑒𝑛(𝐶) 𝐶 1 e K T s MAC 1 IV e K e K e K e K T r e K e K Рисунок 18 Расшифрование с проверкой имитовставки в режиме MGM" Приложение A. Подпункт A.2.1 исключить. Приложение A. Подпункт A.2.2 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. 10 Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Подпункт A.2.3.1 дополнить абзацем в начале: " Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Подпункт A.2.4.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Подпункт A.2.5.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 11 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Подпункт A.2.6.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Подпункт A.2.7 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011." Приложение A. Пункт A.2 дополнить подпунктом: " А.2.8 Режим гаммирования с преобразованием ключа А.2.8.1 Зашифрование Пример использует следующие параметры: Ключ: 𝐾 = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - семь 128-битных блоков: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 12 𝑃 4 = 2233445566778899aabbcceeff0a0011, 𝑃 5 = 33445566778899aabbcceeff0a001122, 𝑃 6 = 445566778899aabbcceeff0a00112233, 𝑃 7 = 5566778899aabbcceeff0a0011223344. 𝑛 = 128, 𝑠 = 𝑛 = 128, 𝑁 = 256, 𝐼𝑉 = 1234567890abcef0. Таблица А.6а – Выработка секционных ключей с помощью функции преобразования ключа ACPKM Номер секции 𝑖 Секционный ключ 𝐾 𝑖 1 8899aabbccddeeff0011223344556677fedcba98765432100123456 789abcdef 2 2666ed40ae687811745ca0b448f57a7b390adb5780307e8e9659a c403ae60c60 3 bb3dd5402e999b7a3debb0db45448ec530f07365dfee3aba8415f7 7ac8f34ce8 4 23362fd553cad2178299a5b5a2d4722e3bb83c730a8bf57ce2dd00 4017f8c565 Таблица А.6б – Зашифрование секции 𝑀 1 в режиме гаммирования с преобразованием ключа 𝑖 1 2 𝑃 𝑖 1122334455667700ffeeddccbbaa 9988 00112233445566778899aabbcceef f0a Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567890abcef000000000000 00000 1234567890abcef0000000000000 0001 Выходной блок (e 𝐾 1 (𝐶𝑇𝑅 𝑖 )) e0b7ebfa9468a6db2a95826efb17 3830 85ffc500b2f4582a7ba54e08f0ab21 ee 𝐶 𝑖 f195d8bec10ed1dbd57b5fa240bd a1b8 85eee733f6a13e5df33ce4b33c45d ee4 Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 13 Таблица А.6в – Зашифрование секции 𝑀 2 в режиме гаммирования с преобразованием ключа 𝑖 3 4 𝑃 𝑖 112233445566778899aabbcceeff 0a00 2233445566778899aabbcceeff0a0 011 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567890abcef000000000000 00002 1234567890abcef0000000000000 0003 Выходной блок (e 𝐾 2 (𝐶𝑇𝑅 𝑖 )) 5aecd8cb31093bd99bdbdebb07a e200 7a4f09a00ea71ca094f3f8412f8a50 57 𝐶 𝑖 4bceeb8f646f4c55001706275e85 e800 587c4df568d094393e4834afd0805 046 Таблица А.6г – Зашифрование секции 𝑀 3 в режиме гаммирования с преобразованием ключа 𝑖 5 6 𝑃 𝑖 33445566778899aabbcceeff0a00 1122 445566778899aabbcceeff0a00112 233 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567890abcef000000000000 00004 1234567890abcef0000000000000 0005 Выходной блок (e 𝐾 3 (𝐶𝑇𝑅 𝑖 )) fc74a010f126754ba73082ce618a 984c 9ba8619b09af9cfdc0a1c47e34323 40d 𝐶 𝑖 cf30f57686aeece11cfc6c316b8a8 96e dffd07ec813636460c4f3b74342316 3e 14 Таблица А.6д – Зашифрование секции 𝑀 4 в режиме гаммирования с преобразованием ключа 𝑖 7 𝑃 𝑖 5566778899aabbcceeff0a001122 3344 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567890abcef000000000000 00006 Выходной блок (e 𝐾 4 (𝐶𝑇𝑅 𝑖 )) 316fde4a1b507318872d2be7eaf4 ed19 𝐶 𝑖 6409a9c282fac8d469d221e7fdd6 de5d А.2.8.2 Расшифрование С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐶 с помощью операции расшифрования воспроизводятся значения 𝑃 1 , 𝑃 2 , 𝑃 3 , 𝑃 4 , 𝑃 5 , 𝑃 6 , 𝑃 7 ." Приложение A. Пункт A.2 дополнить подпунктом: " А.2.9 Режим аутентифицированного шифрования с ассоциированными данными А.2.9.1 Зашифрование с выработкой имитовставки Пример использует следующие параметры: Ключ: K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст - четыре 128-битных блока и один 24-битный блок: 𝑃 1 = 1122334455667700ffeeddccbbaa9988, 𝑃 2 = 00112233445566778899aabbcceeff0a, 𝑃 3 = 112233445566778899aabbcceeff0a00, 𝑃 4 = 2233445566778899aabbcceeff0a0011, 𝑃 5 ∗ = aabbcc, Ассоциированные данные – два 128-битных блока и один 72-битный блок: 𝐴 1 = 02020202020202020101010101010101, 𝐴 2 = 04040404040404040303030303030303, 𝐴 3 ∗ = ea0505050505050505. n = 128, s = n = 128, Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 15 𝐼𝑉 = 1122334455667700ffeeddccbbaa9988, 𝑌 1 = 𝑒 𝐾 (0 ∥ 𝐼𝑉) = 7f679d90bebc24305a468d42b9d4edcd, 𝑍 1 = 𝑒 𝐾 (1 ∥ 𝐼𝑉) = 7fc245a8586e6602a7bbdb2786bdc66f. Таблица А.6е – Зашифрование в режиме аутентифицированного шифрования с ассоциированными данными 𝑖 1 2 𝑃 𝑖 1122334455667700ffeeddccbbaa99 88 00112233445566778899aabbcceef f0a Входной блок (𝑌 𝑖 ) 7f679d90bebc24305a468d42b9d4e dcd 7f679d90bebc24305a468d42b9d4 edce Выходно й блок (e 𝐾 (𝑌 𝑖 )) b85748c512f31990aa567ef15335d b74 8064f0126fac9b2c5b6eac21612f94 33 𝐶 𝑖 a9757b8147956e9055b8a33de89f4 2fc 8075d2212bf9fd5bd3f7069aadc16 b39 Продолжение таблицы А.6е 𝑖 3 4 𝑃 𝑖 112233445566778899aabbcceeff0a 00 2233445566778899aabbcceeff0a0 011 Входной блок (𝑌 𝑖 ) 7f679d90bebc24305a468d42b9d4e dcf 7f679d90bebc24305a468d42b9d4 edd0 Выходно й блок (e 𝐾 (𝑌 𝑖 )) 5858821d40c0cd0d0ac1e6c247098 f1c e43f5081b58f0b49012f8ee86acd6 dfa 𝐶 𝑖 497ab15915a6ba85936b5d0ea9f68 51c c60c14d4d3f883d0ab94420695c76 deb 16 Окончание таблицы А.6е 𝑖 5 𝑃 𝑖 aabbcc Входной блок (𝑌 𝑖 ) 7f679d90bebc24305a468d42b9d4e dd1 Выходно й блок (e 𝐾 (𝑌 𝑖 )) 86ce9e2a0a1225e3335691b20d5a 3348 𝐶 𝑖 ∗ 2c7552 Дополнение последнего блока шифртекста и последнего блока ассоциированных данных: С 5 = 2c755200000000000000000000000000, 𝐴 3 = ea050505050505050500000000000000. Таблица А.6ж – Вычисление имитовставки в режиме аутентифицированного шифрования с ассоциированными данными 𝑖 1 2 Входной блок (𝑍 𝑖 ) 7fc245a8586e6602a7bbdb2786bdc 66f 7fc245a8586e6603a7bbdb2786bdc 66f Выходно й блок (𝐻 𝑖 ) 8db187d653830ea4bc446476952c3 00b 7a24f72630e3763721c8f3cdb1da0 e31 Продолжение таблицы А.6ж i 3 4 Входной блок (𝑍 𝑖 ) 7fc245a8586e6604a7bbdb2786bdc 66f 7fc245a8586e6605a7bbdb2786bdc 66f Выходно й блок (𝐻 𝑖 ) 4411962117d20635c525e0a24db4 b90a d8c9623c4dbfe814ce7c1c0ceaa95 9db Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 17 Продолжение таблицы А.6ж 𝑖 5 6 Входной блок (𝑍 𝑖 ) 7fc245a8586e6606a7bbdb2786bdc 66f 7fc245a8586e6607a7bbdb2786bdc 66f Выходно й блок (𝐻 𝑖 ) a5e1f195333e1482969931bfbe6dfd 43 b4ca808caccfb3f91724e48a2c7ee9 d2 Продолжение таблицы А.6ж 𝑖 7 8 Входной блок (𝑍 𝑖 ) 7fc245a8586e6608a7bbdb2786bdc 66f 7fc245a8586e6609a7bbdb2786bdc 66f Выходно й блок (𝐻 𝑖 ) 72908fc074e469e8901bd188ea91c 331 23ca2715b02c68313bfdacb39e4d0f b8 Окончание таблицы А.6ж 𝑖 9 Входной блок (𝑍 𝑖 ) 7fc245a8586e660aa7bbdb2786bdc 66f Выходно й блок (𝐻 𝑖 ) bcbce6c41aa355a4148862bf64bd8 30d len(𝐴) ∥ len(𝐶) = 00000000000001480000000000000218. 𝑀𝐴𝐶 = cf5d656f40c34f5c46e8bb0e29fcdb4c. А.2.8.2 Расшифрование С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐴, 𝐶 и 𝑀𝐴𝐶 с помощью операции расшифрования с проверкой имитовставки выполняется проверка имитовставки 𝑀𝐴𝐶 и воспроизводятся значения 𝑃 1 , 𝑃 2 , 𝑃 3 , 𝑃 4 , 𝑃 5 ∗ . " Приложение A. Подпункт A.3.1 исключить. Приложение A. Подпункт A.3.2 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 18 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Приложение A. Подпункт A.3.3.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Приложение A. Подпункт A.3.4.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Приложение A. Подпункт A.3.5.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 19 Приложение A. Подпункт A.3.6.1 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Приложение A. Подпункт A.3.7 дополнить абзацем в начале: "Пример использует следующие параметры: Ключ: 𝐾 = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст - четыре 64-битных блока: 𝑃 1 = 92def06b3c130a59, 𝑃 2 = db54c704f8189d20, 𝑃 3 = 4a98fb2e67a8024c, 𝑃 4 = 8912409b17b57e41." Приложение A. Пункт A.3 дополнить подпунктом: " А.3.8 Режим гаммирования с преобразованием ключа А.3.8.1 Зашифрование Пример использует следующие параметры: Ключ: K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef. Открытый текст – семь 64-битных блоков: 𝑃 1 = 1122334455667700, 𝑃 2 = ffeeddccbbaa9988, 𝑃 3 = 0011223344556677, 𝑃 4 = 8899aabbcceeff0a, 𝑃 5 = 1122334455667788, 20 𝑃 6 = 99aabbcceeff0a00, 𝑃 7 = 2233445566778899. 𝑛 = 64, 𝑠 = 𝑛 = 64, 𝑁 = 128, 𝐼𝑉 = 12345678. Таблица А.12а – Выработка секционных ключей с помощью функции преобразования ключа ACPKM Номер секции 𝑖 Секционный ключ 𝐾 𝑖 1 8899aabbccddeeff0011223344556677fedcba98765432100123456 789abcdef 2 863ea017842c3d372b18a85a28e2317d74befc107720de0c9e8ab9 74abd00ca0 3 49a5e2677de555982b8ad5e826652d17eec847bf5b3997a81cf7fe 7f1187bd27 4 3256bf3f97b5667426a9fb1c5eaabe41893ccdd5a868f9b63b0aa90 720fa43c4 Таблица А.12б – Зашифрование секции 𝑀 1 в режиме гаммирования с преобразованием ключа 𝑖 1 2 𝑃 𝑖 1122334455667700 ffeeddccbbaa9988 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567800000000 1234567800000001 Выходно й блок (e 𝐾 1 (𝐶𝑇𝑅 𝑖 )) 3b9a2eaabe783bab 970fd90806c10d62 𝐶 𝑖 2ab81deeeb1e4cab 68e104c4bd6b94ea Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 21 Таблица А.12в – Зашифрование секции 𝑀 2 в режиме гаммирования с преобразованием ключа 𝑖 3 4 𝑃 𝑖 0011223344556677 8899aabbcceeff0a Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567800000002 1234567800000003 Выходно й блок (e 𝐾 2 (𝐶𝑇𝑅 𝑖 )) c73d459c287b3d1c 86361cacbc1f4c24 𝐶 𝑖 c72c67af6c2e5b6b 0eafb61770f1b32e Таблица А.12г – Зашифрование секции 𝑀 3 в режиме гаммирования с преобразованием ключа 𝑖 5 6 𝑃 𝑖 1122334455667788 99aabbcceeff0a00 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567800000004 1234567800000005 Выходно й блок (e 𝐾 3 (𝐶𝑇𝑅 𝑖 )) b08c4250cb8b640a 327edcd4e88de66f 𝐶 𝑖 a1ae71149eed1382 abd467180672ec6f Таблица А.12д – Зашифрование секции 𝑀 4 в режиме гаммирования с преобразованием ключа 𝑖 7 𝑃 𝑖 2233445566778899 Входной блок (𝐶𝑇𝑅 𝑖 ) 1234567800000006 Выходно й блок (e 𝐾 4 (𝐶𝑇𝑅 𝑖 )) a691b50e59bdfa58 𝐶 𝑖 84a2f15b3fca72c1 22 А.3.8.2 Расшифрование С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐶 с помощью операции расшифрования воспроизводятся значения 𝑃 1 , 𝑃 2 , 𝑃 3 , 𝑃 4 , 𝑃 5 , 𝑃 6 , 𝑃 7 ." Приложение A. Пункт A.3 дополнить подпунктом: " А.3.9 Режим аутентифицированного шифрования с ассоциированными данными А.3.9.1 Зашифрование с выработкой имитовставки Пример использует следующие параметры: Ключ: K = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff. Открытый текст – восемь 64-битных блоков и один 24-битный блок: 𝑃 1 = ffeeddccbbaa9988, 𝑃 2 = 1122334455667700, 𝑃 3 = 8899aabbcceeff0a, 𝑃 4 = 0011223344556677, 𝑃 5 = 99aabbcceeff0a00, 𝑃 6 = 1122334455667788, 𝑃 7 = aabbcceeff0a0011, 𝑃 8 = 2233445566778899, 𝑃 9 = aabbcc. Ассоциированные данные – пять 64-битных блоков и один 8-битный блок: 𝐴 1 = 0101010101010101, 𝐴 2 = 0202020202020202, 𝐴 3 = 0303030303030303, 𝐴 4 = 0404040404040404, 𝐴 5 = 0505050505050505, 𝐴 6 = ea. 𝑛 = 64, 𝑠 = 𝑛 = 64, 𝐼𝑉 = 12def06b3c130a59, 𝑌 1 = e 𝐾 (0 ∥ 𝐼𝑉) = 5623890162de31bf, 𝑍 1 = e 𝐾 (1 ∥ 𝐼𝑉) = 2b073f0494f372a0. Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 23 Таблица А.12е – Зашифрование в режиме аутентифицированного шифрования с ассоциированными данными 𝑖 1 2 𝑃 𝑖 ffeeddccbbaa9988 1122334455667700 Входной блок (𝑌 𝑖 ) 5623890162de31bf 5623890162de31C0 Выходно й блок (e 𝐾 (𝑌 𝑖 )) 387bdba0e43439b3 9433000610f7f2ae 𝐶 𝑖 c795066c5f9ea03b 85113342459185ae Продолжение таблицы А.12е 𝑖 3 4 𝑃 𝑖 8899aabbcceeff0a 0011223344556677 Входной блок (𝑌 𝑖 ) 5623890162de31c1 5623890162de31c2 Выходно й блок (e 𝐾 (𝑌 𝑖 )) 97b7aa6d73c58757 9415528bffc9e80a 𝐶 𝑖 1f2e00d6bf2b785d 940470b8bb9c8e7d Продолжение таблицы А.12е 𝑖 5 6 𝑃 𝑖 99aabbcceeff0a00 1122334455667788 Входной блок (𝑌 𝑖 ) 5623890162de31c3 5623890162de31c4 Выходно й блок (e 𝐾 (𝑌 𝑖 )) 03f768bff182d670 fd05f84e9b09d2fe 𝐶 𝑖 9a5dd3731f7ddc70 ec27cb0ace6fa576 24 Продолжение таблицы А.12е 𝑖 7 8 𝑃 𝑖 aabbcceeff0a0011 2233445566778899 Входной блок (𝑌 𝑖 ) 5623890162de31c5 5623890162de31c6 Выходно й блок (e 𝐾 (𝑌 𝑖 )) da4d908a95b175c4 65997396dac24bd7 𝐶 𝑖 70f65c646abb75d5 47aa37c3bcb5c34e Окончание таблицы А.12е 𝑖 9 𝑃 𝑖 aabbcc Входной блок (𝑌 𝑖 ) 5623890162de31c7 Выходно й блок (e 𝐾 (𝑌 𝑖 )) a900504a148dee26 𝐶 𝑖 ∗ 03bb9c Дополнение последнего блока шифртекста и последнего блока ассоциированных данных: С 5 = 03bb9c0000000000, 𝐴 3 = ea00000000000000. Таблица А.12ж – Вычисление имитовставки в режиме аутентифицированного шифрования с ассоциированными данными 𝑖 1 2 Входной блок (𝑍 𝑖 ) 2b073f0494f372a0 2b073f0594f372a0 Выходно й блок (𝐻 𝑖 ) 708a78191cdd22aa 6f02cc464b2fa0a3 Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 25 Продолжение таблицы А.12ж i 3 4 Входной блок (𝑍 𝑖 ) 2b073f0694f372a0 2b073f0794f372a0 Выходно й блок (𝐻 𝑖 ) 9f81f226fd196f05 b9c2ac9be5b5dff9 Продолжение таблицы А.12ж 𝑖 5 6 Входной блок (𝑍 𝑖 ) 2b073f0894f372a0 2b073f0994f372a0 Выходно й блок (𝐻 𝑖 ) 74b5ec96551bf888 7eb021a4035b04c3 Продолжение таблицы А.12ж 𝑖 7 8 Входной блок (𝑍 𝑖 ) 2b073f0a94f372a0 2b073f0b94f372a0 Выходно й блок (𝐻 𝑖 ) c2a9c3a8704d9bb0 f5d505a87b8383b5 Продолжение таблицы А.12ж 𝑖 9 10 Входной блок (𝑍 𝑖 ) 2b073f0c94f372a0 2b073f0d94f372a0 Выходно й блок (𝐻 𝑖 ) f795e75fdeb8933c 65a1a3e680f08145 26 Продолжение таблицы А.12ж 𝑖 11 12 Входной блок (𝑍 𝑖 ) 2b073f0e94f372a0 2b073f0f94f372a0 Выходно й блок (𝐻 𝑖 ) 1c74a5764cb0d595 dc8447a514e783e7 Продолжение таблицы А.12ж 𝑖 13 14 Входной блок (𝑍 𝑖 ) 2b073f1094f372a0 2b073f1194f372a0 Выходно й блок (𝐻 𝑖 ) a7e3afe004ee16e3 a5aabb0b7980d071 Окончание таблицы А.12ж 𝑖 15 16 Входной блок (𝑍 𝑖 ) 2b073f1294f372a0 2b073f1394f372a0 Выходно й блок (𝐻 𝑖 ) 6e104cc933525c5d 8311b6024aa966c1 len(𝐴) ∥ len(𝐶) = 0000014800000218. 𝑀𝐴𝐶 = a7928069aa10fd10. А.2.8.2 Расшифрование С использованием приведенных значений 𝐾, 𝐼𝑉, 𝐴, 𝐶 и 𝑀𝐴𝐶 с помощью операции расшифрования с проверкой имитовставки выполняется проверка имитовставки 𝑀𝐴𝐶 и воспроизводятся значения 𝑃 1 , 𝑃 2 , 𝑃 3 , 𝑃 4 , 𝑃 5 ∗ ." Изменение № 1 ГОСТ 34.13-2018 (проект, первая редакция) 27 УДК 681.3.06:006.354 ОКС 35. 040 ОКСТУ 5002 П85 Ключевые слова: зашифрование, расшифрование, имитозащита, режим работы блочного шифра, ключ Руководитель организации-разработчика ООО «КРИПТО-ПРО» Генеральный директор __________________ личная подпись Н. Г. Чернова Руководитель разработки Заместитель генерального директора __________________ личная подпись С. В. Смышляев Исполнитель Начальник отдела криптографических исследований __________________ личная подпись Е. К. Алексеев Исполнитель Инженер-аналитик 2 категории __________________ личная подпись Л. О. Никифорова |