Алгоритм криптографического преобразования предназначен для аппаратной или программной реализации, удовлетворяет криптографическим требованиям и по своим возможностям не накладывает ограничений на степень секретности защищаемой информации.

Стандарт является обязательным для организаций, предприятий и учреждений, применяющих криптографическую защиту данных, хранимых и передаваемых в сетях ЭВМ, в отдельных вычислительных комплексах или в ЭВМ.

Структурная схема алгоритма криптографического преобразования (криптосхема), приведенного на рисунке 1, содержит:

- ключевое запоминающее устройство (КЗУ) на 256 бит, состоящее из восьми 32-разрядных накопителей (Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇);

- четыре 32-разрядных накопителя (N₁, N₂, N₃, N₄);

- два 32-разрядных накопителя (N₅, N₆) с записанными в них постоянными заполнения С₂, С₁;

- два 32-разрядных сумматора по модулю 2³² (СМ₁, СМ₃);

- 32- разрядный сумматор поразрядного суммирования по модулю 2 (СМ₂);

- 32-разрядный сумматор по модулю (2³²-1) (СМ₄);

- сумматор по модулю 2 (СМ₅), ограничение на разрядность сумматора СМ₅ не накладывается;

- блок подстановки (К);

- регистр циклического сдвига на одиннадцать шагов в сторону старшего разряда (R).

Рисунок 1.

Блок подстановки К состоит из восьми узлов замены К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₈ с памятью на 64 бита каждый. Поступающий на блок подстановки 32-разрядный вектор разбивается на восемь последовательно идущих 4-разрядных векторов, каждый из которых преобразуется в 4-разрядный вектор соответствующим узлом замены, представляющим собой таблицу из шестнадцати строк, содержащих по четыре бита заполнения в строке. Входной вектор определяет адрес строки в таблице, заполнение данной строки является выходящим вектором. Затем 4-разрядные выходные векторы последовательно объединяются в 32-разрядный вектор.

При сложении и циклическом сдвиге двоичных векторов старшими разрядами считаются разряды накопителей с большими номерами.

При перезаписи информации содержимое p-го разряда одного накопителя (сумматора) переписывается в p-й разряд другого накопителя (сумматора).

Значение постоянной заполнения С₁ (константа) накопителя N₆ приведено в таблице 1.

Таблица 1

Значение постоянной заполнения С₂ (константа) накопителя N₅ приведено в таблице 2.

Таблица 2

Ключи, определяющие заполнения КЗУ и таблиц блока подстановки К, являются секретными элементами и поставляются в установленном порядке.

Заполнение таблиц блока подстановки К является долговременным ключевым элементом, общим для сети ЭВМ.

Организация различных видов связи достигается построением соответствующей ключевой системы. При этом может быть использована возможность выработки ключей (заполнения КЗУ) в режиме простой замены и зашифрования их в режиме простой замены с обеспечением имитозащиты для передачи по каналам связи или хранения в памяти ЭВМ.

В криптосхеме предусмотрены четыре вида работы:

- зашифрование (расшифрование) данных в режиме простой замены;

- зашифрование (расшифрование) данных в режиме гаммирования:

- зашифрование (расшифрование) данных в режиме гаммирования с обратной связью;

- режим выработки имитовставки.

3. Шифрование в режиме простой замены

3.1. Зашифрование открытых данных в режиме простой замены

Криптосхема, реализующая алгоритм зашифрования в режиме простой замены, должна иметь вид, приведенный на рисунке 2.

Рисунок 2

Открытые данные, подлежащие зашифрованию, разбиваются на блоки по 64 бита в каждом. Ввод любого блока Т₀=(a₁(0), a₂(0), …, a₃₂(0), b₁(0), b₂(0), …, b₃₂(0)) двоичной информации в накопители N₁ и N₂ производится так, что значение a₁(0) вводится в 1-й разряд N₁, значение a₂(0) вводится во 2-й разряд N₁, и т.д., значение a₃₂(0) вводится в 32-й разряд N₁; значение b₁(0) вводится в 1-й разряд N₂, значение b₂(0) вводится во 2-й разряд N₂ и т.д., значение b₃₂(0) вводится в 32-й разряд N₂. В результате получают состояние (a₃₂(0), a₃₁(0), …, a₂(0), a₁(0)) накопителя N₁ и состояние (b₃₂(0), b₃₁(0), …, b₂(0), b₁(0)) накопителя N₂.

В КЗУ вводятся 256 бит ключа. Содержимое восьми 32-разрядных накопителей Х₀, Х₁, …, Х₇ имеет вид:

Х₀=(W₃₂, W₃₁, …, W₂, W₁)

Х₁=(W₆₄, W₆₃, …, W₃₄, W₃₃)

. . . . . . . . . . . . .

Х₇=(W₂₅₆, W₂₅₅, …, W₂₂₆, W₂₂₅)

Алгоритм зашифрования 64-разрядного блока открытых данных в режиме простой замены состоит из 32 циклов.

В первом цикле начальное заполнение накопителя N₁ суммируется по модулю 2³² в сумматоре СМ₁ с заполнением накопителя Х₀, при этом заполнение накопителя N₁ сохраняется.

Результат суммирования преобразуется в блоке подстановки К и полученный вектор поступает на вход регистра R, где циклически сдвигается на одиннадцать шагов в сторону старших разрядов. Результат сдвига суммируется поразрядно по модулю 2 в сумматоре СМ₂ с 32-разрядным заполнением накопителя N₂. Полученный в СМ₂ результат записывается в N₁, при этом старое значение N₁ переписывается в N₂. Первый цикл заканчивается.

Последующие циклы осуществляются аналогично, при этом во 2-м цикле из КЗУ считывается заполнение Х₁, в 3-м цикле из КЗУ считывается заполнение Х₂ и т.д., в 8-м цикле из КЗУ считывается заполнение Х₇. В циклах с 9-го по 16-й, а также в циклах с 17-го по 24-й заполнения из КЗУ считываются в том же порядке:

Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇.

В последних восьми циклах с 25-го по 32-й порядок считывания заполнений КЗУ обратный:

Х₇, Х₆, Х₅, Х₄, Х₃, Х₂, Х₁, Х₀.

Таким образом, при зашифровании в 32 циклах осуществляется следующий порядок выбора заполнений накопителей:

Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇, Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇,

Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇, Х₇, Х₆, Х₅, Х₄, Х₃, Х₂, Х₁, Х₀.

В 32-м цикле результат из сумматора СМ₂ вводится в накопитель N₂, а в накопителе N₁ сохраняется старое заполнение.

Полученные после 32-го цикла зашифрования заполнения накопителей N₁ и N₂ являются блоком зашифрованных данных, соответствующих блоку открытых данных.

3.2. Расшифрование зашифрованных данных в режиме простой замены

Криптосхема, реализующая алгоритм расшифрования в режиме простой замены, имеет тот же вид (см. рисунок 2), что и при зашифровании. В КЗУ вводятся 256 бит того же ключа, на котором осуществлялось зашифрование. Зашифрованные данные, подлежащие расшифрованию, разбиты на блоки по 64 бита в каждом. Ввод любого блока Т_ш=(а₁(32), а₂(32), …, а₃₂(32), b₁(32), b₂(32), …, b₃₂(32)) в накопители N₁ и N₂ производится так, что значение а₁(32) вводится в 1-й разряд N₁, значение a₂(32) вводится во 2-й разряд N₁, и т.д., значение a₃₂(32) вводится в 32-й разряд N₁; значение b₁(32) вводится в 1-й разряд N₂, значение b₂(32) вводится во 2-й разряд N₂ и т.д., значение b₃₂(32) вводится в 32-й разряд N₂.

Расшифрование осуществляется по тому же алгоритму, что и зашифрование открытых данных, с тем изменением, что заполнения накопителей Х₀, Х₁, …, Х₇ считываются из КЗУ в циклах расшифрования в следующем порядке:

Х₀, Х₁, Х₂, Х₃, Х₄, Х₅, Х₆, Х₇, Х₇, Х₆, Х₅, Х₄, Х₃, Х₂, Х₁, Х₀,

Х₇, Х₆, Х₅, Х₄, Х₃, Х₂, Х₁, Х₀, Х₇, Х₆, Х₅, Х₄, Х₃, Х₂, Х₁, Х₀.

Полученные после 32 циклов работы заполнения накопителей N₁ и N₂ составляют блок открытых данных.

Т₀=(a₁(0), a₂(0), …, a₃₂(0), b₁(0), b₂(0), …, b₃₂(0)), соответствующий блоку зашифрованных данных, при этом значение а₁(0) блока Т₀ соответствует содержимому 1-го разряда N₁, значение а₂(0) соответствует содержимому 2-го разряда N₁ и т.д., значение а₃₂(0) соответствует содержимому 32-го разряда N₁; значение b₁(0) соответствует содержимому 1-го разряда N₂, значение b₂(0) соответствует содержимому 2-го разряда N₂, и т.д., значение b₃₂(0) соответствует содержимому 32-го разряда N₂.

Аналогично расшифровываются остальные блоки зашифрованных данных.

4. Режим гаммирования

Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования, должна иметь вид, приведенный на рисунке 3.

Рисунок 3

Открытые данные, разбитые на 64-разрядные блоки Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(М-1), Т₀^(М), зашифровываются в режиме гаммирования путем поразрядного суммирования по модулю 2 в сумматоре СМ₅ с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита, т.е.

Г_ш=(Г_ш⁽¹⁾, Г_ш⁽²⁾, …, Г_ш^(М-1), Г_ш^(М)),

где М – определяется объемом шифруемых данных.

В КЗУ вводятся 256 бит ключа. В накопители N₁, N₂ вводится 64-разрядная двоичная последовательность (синхропосылка) S=(S₁, S₂, …, S₆₄), являющаяся исходным заполнением этих накопителей для последующей выработки М блоков гаммы шифра. Синхропосылка вводится в N₁ и N₂ так, что значение S₁ вводится в 1-й разряд N₁, значение S₂ вводится во 2-й разряд N₁, и т.д., значение S₃₂ вводится в 32-й разряд N₁; значение S₃₃ вводится в 1-й разряд N₂, значение S₃₄ вводится во 2-й разряд N₂ и т.д., значение S₆₄ вводится в 32-й разряд N₂.

Исходное заполнение накопителей N₁ и N₂ (синхропосылка S) зашифровывается в режиме простой замены в соответствии с требованиями пункта 1.3.1. Результат зашифрования переписывается в 32-разрядые накопители N₃ и N₄ так, что заполнение N₁ переписывается в N₃, а заполнение N₂ переписывается в N₄.

Заполнение накопителя N₄ суммируется по модулю (2³²-1) в сумматоре СМ₄ с 32-разрядной константой С₁ из накопителя N₆, результат записывается в N₄.

Заполнение накопителя N₃ суммируется по модулю 2³² в сумматоре СМ₃ с 32-разрядной константой С₂ из накопителя N₅, результат записывается в N₃.

Заполнение N₃ переписывается в N₁, а заполнение N₄ переписывается в N₂, при этом заполнение N₃, N₄ сохраняется.

Для получения следующего 64-разрядного блока гаммы шифра Г_ш⁽²⁾ заполнение N₄ суммируется по модулю (2³²-1) в сумматоре СМ₄ с константой С₁ из N₆, заполнение N₃ суммируется по модулю 2³² в сумматоре СМ₃ с константой С₂ из N₅. Новое заполнение N₃ переписывается в N₁, а новое заполнение N₄ переписывается в N₂, при этом заполнение N₃ и N₄ сохраняется.

Заполнение N₁ и N₂ зашифровывается в режиме простой замены в соответствии с требованиями пункта 3.1. Полученное в результате зашифрования заполнение N₁, N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾. Аналогично вырабатываются блоки гаммы шифра Г_ш⁽³⁾, Г_ш⁽⁴⁾ …, Г_ш^(М) и зашифровываются блоки открытых данных Т₀⁽³⁾, Т₀⁽⁴⁾ …, Т₀^(М). Если длина последнего М-го блока открытых данных Т₀^(М) меньше 64 бит, то из последнего М-го блока гаммы шифра Г_ш^(М) для зашифрования используется только соответствующее число разрядов гаммы шифра, остальные разряды отбрасываются.

В канал связи или память ЭВМ передаются синхропосылка S и блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾ …, Т_ш^(М).

4.2. Расшифрование зашифрованных данных в режиме гаммирования

При расшифровании криптосхема имеет тот же вид, что и при зашифровании (см. рисунок 3). В КЗУ вводятся 256 бит ключа, с помощью которого осуществлялось зашифрование данных Т₀⁽¹⁾, Т₀⁽²⁾ …, Т₀^(М) при этом Т₀^(М) может содержать меньше 64 разрядов.

5. Режим гаммирования с обратной связью

Криптосхема, реализующая режим гаммирования с обратной связью, должна иметь вид, приведенный на рисунке 4.

Рисунок 4

В КЗУ вводятся 256 бит ключа. В накопители N₁, N₂ вводится 64-разрядная двоичная последовательность (синхропосылка) S=(S₁, S₂, …, S₆₄). Синхропосылка вводится в N₁ и N₂ так, что значение S₁ вводится в 1-й разряд N₁, значение S₂ вводится во 2-й разряд N₁, и т.д., значение S₃₂ вводится в 32-й разряд N₁; значение S₃₃ вводится в 1-й разряд N₂, значение S₃₄ вводится во 2-й разряд N₂ и т.д., значение S₆₄ вводится в 32-й разряд N₂.

Исходное заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены в соответствии с требованиями пункта 3.1. Полученное в результате зашифрования заполнение N₁ и N₂ образует первый 64-разрядный блок гаммы шифра Г_ш⁽¹⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных Т₀⁽¹⁾=(t₁⁽¹⁾, t₂⁽¹⁾, …, t₆₃⁽¹⁾, t₆₄⁽¹⁾).

Блок зашифрованных данных Т_ш⁽¹⁾ одновременно является также исходным состоянием N₁, N₂ для выработки второго блока гаммы шифра Г_ш⁽²⁾ и по обратной связи записывается в указанные накопители. При этом значение τ₁⁽¹⁾ вводится в 1-й разряд N₁, значение τ₂⁽¹⁾ вводится во 2-й разряд N₁ и т.д., значение τ₃₂⁽¹⁾ вводится в 32-й разряд N₁; значение τ₃₃⁽¹⁾ вводится в 1-й разряд N₂, значение τ₃₄⁽¹⁾ вводится во 2-й разряд N₂ и т.д., значение τ₆₄⁽¹⁾ вводится в 32-й разряд N₂.

Заполнение N₁, N₂ зашифровывается в режиме простой замены в соответствии с требованиями пункта 3.1. Полученное в результате зашифрования заполнение N₁, N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾.

В канал связи или память ЭВМ передаются синхропосылка S и блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾ …, Т_ш^(М).

5.2. Расшифрование зашифрованных данных в режиме гаммирования с обратной связью

При расшифровании криптосхема имеет тот же вид, что и при зашифровании (см. рисунок 4). В КЗУ вводятся 256 бит того же ключа, на котором осуществлялось зашифрование Т₀⁽¹⁾, Т₀⁽²⁾ …, Т₀^(М). Синхропосылка вводится в N₁, N₂ так, что значение S₁ вводится в 1-й разряд N₁, значение S₂ вводится во 2-й разряд N₁, и т.д., значение S₃₂ вводится в 32-й разряд N₁; значение S₃₃ вводится в 1-й разряд N₂, значение S₃₄ вводится во 2-й разряд N₂ и т.д., значение S₆₄ вводится в 32-й разряд N₂.

Исходное заполнение накопителей N₁ и N₂ (синхропосылка S) зашифровывается в режиме простой замены в соответствии с требованиями пункта 3.1. Полученное в результате зашифрования заполнение N₁, N₂ образует первый 64-разрядный блок гаммы шифра Г_ш⁽¹⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ с блоком зашифрованных данных Т_ш⁽¹⁾. В результате получается первый блок открытых данных Т₀⁽¹⁾.

Блок зашифрованных данных Т_ш⁽¹⁾ является исходным заполнением N₁, N₂ для выработки второго блока гаммы шифра Г_ш⁽²⁾. Блок Т_ш⁽¹⁾ записывается в N₁, N₂. При этом значение τ₁⁽¹⁾ вводится в 1-й разряд N₁, значение τ₂⁽¹⁾ вводится во 2-й разряд N₁ и т.д., значение τ₃₂⁽¹⁾ вводится в 32-й разряд N₁; значение τ₃₃⁽¹⁾ вводится в 1-й разряд N₂, значение τ₃₄⁽¹⁾ вводится во 2-й разряд N₂ и т.д., значение τ₆₄⁽¹⁾ вводится в 32-й разряд N₂. Полученное заполнение N₁, N₂ зашифровывается в режиме простой замены в соответствии с требованиями пункта 3.1, полученный в результате блок Г_ш⁽²⁾ суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком зашифрованных данных Т_ш⁽²⁾. В результате получается блок открытых данных Т₀⁽²⁾.

Аналогично в N₁, N₂ последовательно записываются блоки зашифрованных данных Т_ш⁽²⁾, Т_ш⁽³⁾ …, Т_ш^(М-1), из которых в режиме простой замены вырабатываются блоки гаммы шифра Г_ш⁽³⁾, Г_ш⁽⁴⁾, …, Г_ш^(М). Блоки гаммы шифра суммируются поразрядно по модулю 2 в сумматоре СМ₅ с блоками зашифрованных данных Т_ш⁽³⁾, Т_ш⁽⁴⁾ …, Т_ш^(М), в результате получаются блоки открытых данных Т₀⁽³⁾, Т₀⁽⁴⁾, …, Т₀^(М), при этом длина последнего блока открытых данных Т₀^(М) может содержать меньше 64-разрядов.

6. Режим выработки имитовставки

Для обеспечения имитозащиты открытых данных, состоящих из М 64-разрядных блоков Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(М), М≥2, вырабатывается дополнительный блок из l бит (имитовставки И_l). Процесс выработки имитовставки единообразен для всех режимов шифрования.

Первый блок открытых данных Т₀⁽¹⁾=(t₁⁽¹⁾, t₂⁽¹⁾, …, t₆₄⁽¹⁾)=(a₁⁽¹⁾(0), a₂⁽¹⁾(0), …, a₃₂⁽¹⁾(0), b₁⁽¹⁾(0), b₂⁽¹⁾(0), …, b₃₂⁽¹⁾(0)) записывается в накопители N₁ и N₂, при этом значение t₁⁽¹⁾=a₁⁽¹⁾(0) вводится в 1-й разряд N₁, значение t₂⁽¹⁾=a₂⁽¹⁾(0) вводится во 2-й разряд N₁, и т.д., значение t₃₂⁽¹⁾=a₃₂⁽¹⁾(0) вводится в 32-й разряд N₁; значение t₃₃⁽¹⁾=b₁⁽¹⁾(0) вводится в 1-й разряд N₂ и т.д., значение t₃₄⁽¹⁾=b₃₂⁽¹⁾(0) вводится в 32-й разряд N₂.

Заполнение N₁ и N₂ подвергается преобразованию, соответствующему первым 16 циклам алгоритма зашифрования в режиме простой замены, в соответствии с требованиями пункта 3.1. В КЗУ при этом находится тот же ключ, которым зашифровываются блоки открытых данных Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(М) в соответствующие блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾, …, Т_ш^(М).

Полученное после 16 циклов работы заполнение N₁ и N₂, имеющее вид (a₁⁽¹⁾(16), a₂⁽¹⁾(16), …, a₃₂⁽¹⁾(16), b₁⁽¹⁾(16), b₂⁽¹⁾(16), …, b₃₂⁽¹⁾(16)), суммируется в СМ₅ по модулю 2 со вторым блоком Т₀⁽²⁾=(t₁⁽²⁾, t₂⁽²⁾, …, t₆₄⁽²⁾). Результат суммирования заносится в N₁ и N₂ и подвергается преобразованию, соответствующему первым 16 циклам алгоритма зашифрования в режиме простой замены.

Полученное заполнение N₁ и N₂ суммируется в СМ₅ по модулю 2 с третьим блоком Т₀⁽³⁾ и т.д., последний блок Т₀^(М)=(t₁^(М), t₂^(М), …, t₆₄^(М)), при необходимости дополненный до полного 64-разрядного блока нулями, суммируется в СМ₅ по модулю 2 с заполнением N₁, a₁^(М-1)(16), a₂^(М-1)(16), …, a₃₂^(М-1)(16), b₁^(М-1)(16), b₂^(М-1)(16), …, b₃₂^(М-1)(16). Результат суммирования заносится в N₁, N₂ и зашифровывается в режиме простой замены по первым 16 циклам работы алгоритма. Из полученного заполнения накопителей N₁ и N₂ выбираем отрезок И_l=[a_32-l+1^(М)(16), a_32-l+1^(М)(16), …, a₃₂^(М)(16)].

Имитовставка И_l передается по каналу связи или в память ЭВМ в конце зашифрованных данных, т.е. Т_ш⁽¹⁾, Т_ш⁽²⁾, …, Т_ш^(М), И_l.

Поступившие зашифрованные данные Т_ш⁽¹⁾, Т_ш⁽²⁾, …, Т_ш^(М) расшифровываются, из полученных блоков открытых данных Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(М) вырабатывается имитовставка И^′_l, которая затем сравнивается с имитовставкой И_l, полученной вместе с зашифрованными данными из канала связи или памяти ЭВМ. В случае несовпадения имитовставок полученные блоки открытых данных Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(М) считают ложными.

Значение параметра l (число двоичных разрядов в имитовставке) определяется действующими криптографическими требованиями, при этом учитывается, что вероятность навязывания ложных данных равна 2^-l.