Последовательность битов блока открытого текста

Т₀ = (а₁(0), а₂(0),…,а₃₁(0), а₃₂(0), b₁(O), b₂(0),...,b₃₁(0), b₃₂(0)) разбивают на две последовательности по 32 бита: b(0) а(0), где b(0) - левые или старшие биты, а(0) - правые или младшие биты.

Эти последовательности вводят в накопители N₁ и N₂ пе­ред началом первого цикла зашифрования. В результате началь­ное заполнение накопителя N₁

а (0) = (а₃₂(0), а₃₁(0),…,a₂(0), a₁(0),

32, 31,…, 2, 1 номер разряда N₁

начальное заполнение накопителя N₂

b(0) = (b₃₂(0), b₃₁(0),…,b₂(0), b₁(0)).

32, 31, ... 2, 1 номер разряда N₂.

5. Первый цикл (i=1) процедуры зашифрования 64-разрядного блока открытых данных можно описать уравнениями:

a(1) = f(a(0) [+] K₀) + b(0),

b(1) = a(0).

Здесь а(1) - заполнение N₁ после 1-го цикла зашифрова­ния; b(1) - заполнение N₂ после 1-го цикла зашифрования; f -функция шифрования.

Аргументом функции f является сумма по модулю 2³² чис­ла а(0) (начального заполнения накопителя N₁) и числа К₀ - подключа, считываемого из накопителя Х₀ КЗУ. Каждое из этих чисел равно 32 битам.

Функция f включает две операции над полученной 32-разрядной суммой (а (0) [+] К₀).

Первая операция называется подстановкой (заменой) и выполняется блоком подстановки S. Блок подстановки S состоит из восьми узлов замены (S-блоков замены) S₁,S₂,…,S₈ с памятью 64 бит каждый. Поступающий из CM₁ на блок подстановки S 32-разрядный вектор разбивают на восемь последовательно идущих 4-разрядных векторов, каждый из которых преобразуется в четы­рехразрядный вектор соответствующим узлом замены. Каждый узел замены можно представить в виде таблицы-перестановки шестнадцати четырехразрядных двоичных чисел в диапазоне 0000... 1111. Входной вектор указывает адрес строки в таблице, а число в этой строке является выходным вектором. Затем четы­рехразрядные выходные векторы последовательно объединяют в 32-разрядный вектор. Узлы замены (таблицы-перестановки) пред­ставляют собой ключевые элементы, которые являются общими для сети ЭВМ и редко изменяются. Эти узлы замены должны со­храняться в секрете.

Вторая операция - циклический сдвиг влево (на 11 разря­дов) 32-разрядного вектора, полученного с выхода блока подста­новки S. Циклический сдвиг выполняется регистром сдвига R.

Далее результат работы функции шифрования f суммиру­ют поразрядно по модулю 2 в сумматоре СМ₂ с 32-разрядным на­чальным заполнением b(0) накопителя N₂. Затем полученный на выходе СМ₂ результат (значение а(1)) записывают в накопитель N₁, а старое значение N₁ (значение а(0)) переписывают в накопи­тель N₂ (значение Ь(1) = а(0)). Первый цикл завершен.

6. Последующие циклы осуществляются аналогично, при этом во втором цикле из КЗУ считывают заполнение X₁ – подключ K₁, в третьем цикле - подключ К₂ и т.д., в восьмом цикле - под­ключ К₇. В циклах с 9-го по 16-й, а также в циклах с 17-го по 24-й подключи из КЗУ считываются в том же порядке: К₀, К_1,К₂,...,К₆,К₇. В последних восьми циклах с 25-го по 32-й порядок считывания подключей из КЗУ обратный: К₇, К₆,…, К_., К₁, К₀.

Таким образом, при зашифровании в 32 циклах осуществляется следующий поря­док выборки из КЗУ подключей:

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₀, К₁, К₂, Кз, К₄, К₅, К₆, К₇,

К₀, K₁, K₂, К₃, К₄, К₅, К₆, К₇, К₇, К₆, K₅, К₄, Кз, К₂, K₁, К₀.

В 32-м цикле результат из сумматора СМ₂ вводится в на­копитель N₂, а в накопителе N₁ сохраняется прежнее заполнение. Полученные после 32-го цикла зашифрования заполнения накопи­телей N₁ и N₂ являются блоком зашифрованных данных Тш, соот­ветствующим блоку открытых данных То.

Уравнения зашифрования в режиме простой замены имеют вид:

a(j) = f(a(j-1) [+] K_{(j-1) mod 8}) + b(j-1) при j =1…24,

b(j) = a(j-1)

a(j) = f(a(j-1) [+] K_32-j ) + b(j-1) при j = 25…31

b(j) = a(j-1)

a(32) = f(a(31) [+] K₀ ) + b(31) при j= 32

b(32) = b(31)

где a (j) = (a₃₂(j), a₃₁(j),…, a₁(j) ) - заполнение N₁ после j-го цикла зашифрования;

b(j) = (b₃₂(j), b₃₁(j),…, b₁(j)) – заполнение N₂ после j-го цикла зашифрования, j =1…32.

7. Блок зашифрованных данных Тш (64 разряда) выводится из накопителей N₁, N₂ в следующем порядке: из разрядов 1...32 накопителя N₁, затем из разрядов 1...32 накопителя N₂, т.е. начи­ная с младших разрядов:

Тш= (a₁(32), a₂(32), ..., а₃₂(32), b₁(32), b₂(32), ..., b₃₂(32)).

Остальные блоки открытых данных зашифровываются в режиме простой замены аналогично.

Расшифрование в режиме простой замены.

Криптосхема, реализующая алгоритм расшифрования в режиме простой за­мены, имеет тот же вид, что и при зашифровании (см. рис. 15).

В КЗУ вводят 256 бит ключа, на котором осуществлялось зашифрование. Зашифрованные данные, подлежащие расшифро­ванию, разбиты на блоки Тш по 64 бита в каждом. Ввод любо­го блока

Тш= (a₁(32), a₂(32), ..., а₃₂(32), b₁(32), b₂(32), ..., b₃₂(32))

в накопители N₁ и N₂ производят так, чтобы начальное значение накопителя N₁ имело вид

(а₃₂(32), а₃₁(32), ..., а₂(32), a₁(32)),

32, 31,..., 2, 1 <-номер разряда N₁

а начальное заполнение накопителя N₂ - вид

(b₃₂(32),b₃₁(32),....,b₂(32),b₁(32)).
32, 31,..., 2, 1 <-номер разряда N₂

Расшифрованиеосуществляется по тому же алгоритму, что и зашифрование, с тем изменением, что заполнения накопите­лей Х₀, X₁, ..., Х₇ считываются из КЗУ в циклах расшифрования в следующем порядке:

К₀, K₁, К₂, К₃, К₄, К₅, К_б, К₇, К₇, К₆, К₅, К₄, К₃, К₂, K₁, K₀,

К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀.

Уравнения расшифрования имеют вид:

a(32-j) = f(a(32-j+1) [+] K_j-1 ) + b(32-j+1) при j = 1…8;

b(32-j) = a(32-j+1)

a(32-j) = f(a(32-j+1) [+] K_{(32-j) mod 8}) + b(32-j+1) при j=9…31;

b(32-j) = a(32-j+1)

a(0) = f(a(1) [+] K₀ ) + b(1)

b(0) = b(1) при j = 32.

Полученные после 32 циклов работы заполнения накопи­телей N₁ и N₂ образуют блок открытых данных

Т₀= (а₁(0), а₂(0), ..., а₃₂(0), b₁(0), b₂(0) b₃₂(0)),

соответствующий блоку зашифрованных данных Тш. При этом со­стояние накопителя N₁

(а₃₂(0), a₃₁(0), .... a₂(0), a₁(0)),

32, 31,…, 2, 1 номер разряда N₁

состояние накопителя N₂

(b₃₂(0), b₃₁(0), .... b₂(0), b₁(0)).

32, 31,…, 2, 1 номер разряда N₂

Аналогично расшифровываются остальные блоки зашиф­рованных данных.

Если алгоритм зашифрования в режиме простой замены 64-битового блока Т₀ обозначить через А, то

А(То) = А(а (0), Ь(0)) = (а (32), b(32))=Т_Ш.

Следует иметь в виду, что режим простой замены допус­тимо использовать для шифрования данных только в ограничен­ных случаях - при выработке ключа и зашифровании его с обес­печением имитозащиты для передачи по каналам связи или для хранения в памяти ЭВМ.

Режим гаммирования.

Зашифрование открытых данных в режиме гаммиро­вания. Криптосхема, реализующая алгоритм зашифрования в ре­жиме гаммирования, показана на рис. 24.

Открытые данные раз­бивают на 64-разрядные блоки

T₀⁽¹⁾, T₀⁽²⁾,…,T₀⁽ⁱ⁾,…,T₀^(m),

где Т₀⁽ⁱ⁾ - i-й 64-разрядный блок открытых данных, i = 1...m, m оп­ределяется объемом шифруемых данных.

Эти блоки поочередно зашифровываются в режиме гамми­рования путем поразрядного сложения по модулю 2 в сумматоре СМ₅ с гаммой шифра Гш, которая вырабатывается блоками по 64 бита, т.е.

Гш = (Гш⁽¹⁾, Гш⁽²⁾,…, Гш⁽ⁱ⁾,…, Гш^(m)),

где Гш⁽ⁱ⁾ - i-й 64-разрядный блок, i = 1...m.

Число двоичных разрядов в блоке Т₀^(m) может быть мень­ше 64, при этом неиспользованная для зашифрования часть гам­мы шифра из блока Гш^(m) отбрасывается.

Рис. 24. Схема реализации режима гаммирования

Уравнение зашифрования данных в режиме гаммирования имеет вид

Тш⁽ⁱ⁾ = T₀⁽ⁱ⁾+ Гш⁽ⁱ⁾,

где Гш⁽ⁱ⁾=А(У_i-1 [+]C₂, Z_i-1 {+} С₁), i=1 ...m; Тш⁽ⁱ⁾ - i-й блок 64-разрядного блока зашифрованного текста; А() - функция зашифрования в режиме простой замены; C₁, С₂ - 32-разрядные двоичные констан­ты; Yi, Zi - 32-разрядные двоичные последовательности.

Величины Yi, Zi определяются итерационно по мере фор­мирования гаммы Гш следующим образом:

(Y₀, Z₀) = A(S),

где S - синхропосылка (64-разрядная двоичная последова­тельность),

(Yi, Zi) = (Y_i-1 [+] С₂, Z_i-1 {+} C₁), i = 1...m.

Рассмотрим реализацию процедуры зашифрования в ре­жиме гаммирования.

1. В накопители N₆ и N₅ заранее записаны 32-разрядные двоичные константы С₁ и С₂, имеющие следующие значения (в шестнадцатеричной форме):

C₁ = 01010104₍₁₆₎, С₂ = 01010101₍₁₆₎.

2. В КЗУ вводится 256 бит ключа.

3. В накопители N₁ и N₂ вводится 64-разрядная двоичная последовательность (синхропосылка)

S = (S₁, S₂, ..., S₆₄).

Синхропосылка S является исходным заполнением накопителей N₁ и N₂ для последовательной выработки m блоков гаммы шифра.

Исходное заполнение накопителя N₁:

(S₃₂, S₃₁, ...,S₂, S₁);

32, 31, ..., 2, 1 номер разряда N_1.

Исходное заполнение накопителя N₂:

(S₆₄, S₆₃, … , S₃₄, Sзз)-

32, 31, ..., 2, 1 номер разряда N_2.

4. Исходное заполнение N₁ и N₂ (синхропосылка S) зашиф­ровывается в режиме простой замены. Результат зашифрования

A(S) = (Yo,Z₀)

переписывается в 32-разрядные накопители N₃ и N₄ так, что за­полнение N₁ переписывается в N₃, а заполнение N₂ - в N₄.

5. Заполнение накопителя N₄ суммируют по модулю (2³² -1) в сумматоре СМ₄ с 32-разрядной константой C₁ из накопителя N₆. Результат записывается в N₄. Заполнение накопителя N₃ сумми­руется по модулю 2³² в сумматоре СМ₃ с 32-разрядной константой С₂ из накопителя N₅. Результат записывается в N₃.

6. Заполнение N₃ переписывают в N₁, а заполнение N₄ - в N₂, при этом заполнения N₃, N₄ сохраняются.

7. Заполнение накопителей N₁ и N₂ зашифровы­вается в режиме простой замены.

8. Полученное в результате зашифрования заполнение нако­пителей N₁, N₂ образует первый 64-разрядный блок гаммы шифра Г_Ш⁽¹⁾⁼(y₁⁽¹⁾, y₂⁽¹⁾, …, y₆₃⁽¹⁾, y₆₄^{1)). Блок гаммы суммируют поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком откры­тых данных

T₀⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,…, t₆₃⁽¹⁾, t₆₄⁽¹⁾).

В результате суммирования по модулю 2 значений Г_ш⁽¹⁾ и Т₀⁽¹⁾ по­лучают первый 64-разрядный блок зашифрованных данных.

9. Для получения следующего 64-разрядного блока гаммы шифра Г_ш⁽²⁾ заполнение N₄ суммируется по модулю (2³² -1) в сум­маторе СМ₄ с константой C₁ из N₆. Результат записывается в N₄. Заполнение N₃ суммируется по модулю 2³² в сумматоре СМ₃ с константой С₂ из N₅. Результат записывается в N₃. Новое заполне­ние N₃ переписывают в N₁, а новое заполнение N₄ - в N₂, при этом заполнения N₃ и N₄ сохраняют. Заполнения N₁, N₂ зашифровывают в режиме простой замены.

10. Полученное в результате зашифрования заполнение нако­пителей N₁ и N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾:

Тш⁽²⁾ = Гш⁽²⁾ + Т₀⁽²⁾.

11. Аналогично вырабатываются блоки гаммы шифра Г_ш⁽³⁾, Гш⁴, …, Г_ш^(m) и зашифровываются блоки открытых данных Т₀⁽³⁾, T₀⁽⁴⁾, …, T₀^(m).

В канал связи или память ЭВМ передаются синхропосылка S и блоки зашифрованных данных

Т_ш⁽¹⁾, Т_ш⁽²⁾, …, Т_ш^(m).

Предполагается также, что получатель знает ключ шифрования данных.

Расшифрование в режиме гаммирования.При расшиф­ровании криптосхема имеет тот же вид, что и при зашифровании (см. рис. 16).

Уравнение расшифрования:

To⁽ⁱ⁾ = Т_ш⁽ⁱ⁾ + Г_ш⁽ⁱ⁾ = Т_ш⁽ⁱ⁾ + A(Y_i-1 [+] C₂, Z_i-1 {+} C₁), i =1…m.

Следует отметить, что расшифрование данных возможно только при наличии синхропосылки, которая не является секрет­ным элементом шифра и может храниться в памяти ЭВМ или передаваться по каналам связи вместе с зашифрованными данными.

Рассмотрим реализацию процедуры расшифрования.

1. В КЗУ вводят 256 бит ключа, с помощью которого осуществляется зашифрование данных Т₀⁽¹⁾, Т₀⁽²⁾, ..., Т₀^(m).

2. В накопители N₁ и N₂ вводится синхропосылка, и осуществляется процесс выработки m блоков гаммы шифра Г_ш⁽¹⁾, Г_ш⁽²⁾, ..., Г_ш^(m).

3. Блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾,…, Т_ш^(m) суммируются поразрядно по модулю 2 в сумматоре СМ₅ с блоками гаммы шифра Г_ш⁽¹⁾, •••, Г_ш^(m). В резуль­тате получаются блоки открытых данных

T₀⁽¹⁾, T₀⁽²⁾,…, T₀^(m);

при этом Т₀^(m) может содержать меньше 64 разрядов.