GOST 28147-89

GOST 28147-89

Teremtő	KGB , 8. Igazgatóság (kriptográfusok csoportja) - Zabotin Ivan Alekszandrovics (vezető), Lopatin Vjacseszlav Alekszandrovics, Lopatkin Alekszej Vasziljevics, Afanasjev Alekszandr Alekszandrovics, Fedjukin Mihail Vladimirovics
Létrehozva	1978
közzétett	1989
Szabványok	GOST 34.12-2018 , GOST R 34.12-2015 , GOST 28147-89, RFC 5830 , RFC 8891
Kulcsméret	256 bites
Blokkméret	64 bites
A körök száma	32\16
Típusú	Feistel hálózat

GOST 28147-89 “ Információfeldolgozó rendszerek. Kriptográfiai védelem. Kriptográfiai konverziós algoritmus "- a Szovjetunió elavult (lásd a használat kronológiáját ) állami szabványa (és később a FÁK államközi szabványa ), amely leírja a szimmetrikus blokk titkosítási algoritmust és annak működési módjait .

Ez egy példa a DES - szerű kriptorendszerekre , amelyeket a klasszikus Feistel iteratív séma szerint hoztak létre .

A rejtjel létrehozásának történetét és a fejlesztők kritériumait először 2014 -ben mutatta be nyilvánosan Zabotin Ivan Alexandrovich algoritmus fejlesztői csoportjának vezetője egy előadáson, amelyet az orosz szabvány elfogadásának 25. évfordulója alkalmából tartottak. szimmetrikus titkosítás [1] [2] .

A szabvány alapját képező algoritmus kidolgozása a Magma téma (információk titkosítási módszerekkel történő védelme az Unified System sorozat számítógépeiben ) részeként kezdődött a Nyolcadik Főigazgatóság Tudományos és Műszaki Tanácsa megbízásából . a Szovjetunió KGB-je (jelenleg az FSZB struktúrájában), 1978 márciusában a DES szabvány 1976 -ban közzétett hosszadalmas előzetes tanulmányozása után . Valójában a DES algoritmushoz hasonló algoritmus (vagy algoritmuscsoport) megalkotása már 1976 -ban elkezdődött .

Kezdetben a művek " Szigorúan titkos " címkét kaptak. Aztán leminősítették a " Titkos " bélyegzőre. 1983- ban az algoritmust visszaminősítették " Restricted "-re. Az algoritmust 1989 -ben az utolsó jelzéssel készítették elő publikálásra . 1987. március 9- én kriptográfusok egy csoportja (kérelmező - katonai egység 43753) 333297 elsőbbségi számú szerzői jogi tanúsítványt kapott egy Magma-2 algoritmust használó titkosító eszköz találmányára [3] .

A használat kronológiája

Jóváhagyva a Szovjetunió Állami Szabványáról szóló 1989. június 2-i 1409. számú rendelettel, 1990. július 1-jén léptették hatályba [4] .

1996. március 31- én újra kiadták és a FÁK államközi szabványaként léptették életbe [5] .

A Fehérorosz Köztársaság állami szabványáról szóló, 1992. december 17-i 3. számú rendelettel a Fehérorosz Köztársaság állami szabványaként léptették életbe . 2011 márciusában újra kiadták [6] .

Az Ukrajna Állami Fogyasztói Szabványai 2008. január 22-i, 495. számú rendelete alapján a GOST 28147-89-et újra kiadták Ukrajna területén, és 2009. február 1-jén lépett hatályba DSTU GOST 28147: 2009 néven [ 7] . A jelenlegi rendelések szerint a DSTU GOST 28147:2009 2022. január 1-ig lesz érvényes [8] . Fokozatosan lecserélik a DSTU 7624:2014 ( kód: „Kalina”).

A szabványt 2019. május 31. óta törölték Oroszország és a FÁK területén az új államközi szabványok elfogadása miatt, amelyek teljesen felváltják a GOST 34.12-2018 (leírja a Magma és Grasshopper titkosításokat ) és a GOST 34.13-2018 (leírja a blokk titkosítások működési módjai ).

A GOST 28147-89 blokktitkosítási algoritmus használatára vonatkozó eljárásról szóló FSB közlemény szerint az államtitkot nem tartalmazó információk védelmére tervezett kriptográfiai információvédelmi eszközöket , beleértve a GOST 28147-89 algoritmust megvalósító eszközöket , nem szabad használni. 2019. június 1. után fejlesztették ki , kivéve, ha az ilyen eszközökben a GOST 28147-89 algoritmust úgy tervezték, hogy biztosítsa a kompatibilitást az ezt az algoritmust megvalósító meglévő eszközökkel [9] .

Magma

2015 -ben az új „ Grasshopper ” algoritmus mellett a GOST 28147-89 algoritmus egy változata is megjelent „ Magma ” néven a GOST R 34.12-2015 szabvány részeként, majd később a GOST 34.12-2018 részeként. szabvány . 2020-ban a Magma algoritmus RFC 8891 néven jelent meg .

Sajátosságok:

fix cserecsomópont használata id-tc26-gost-28147-param-Z ;
a kulcs értéke egyetlen kisvégű egész számként kerül beolvasásra ( a GOST 28147-89-ben használt little-endian- nal ellentétben), ami más kerek kulcsokat eredményez;
A titkosított adatok kis endian egész számként is olvashatók ( a GOST 28147-89-ben használt kis endiannal szemben) .

A rejtjel leírása

A GOST 28147-89 egy blokk titkosítás 256 bites kulccsal és 32 átalakítási körrel (úgynevezett körökkel), amely 64 bites blokkon működik. A rejtjelezési algoritmus alapja a Feistel hálózat .

A GOST 28147-89 négy üzemmóddal rendelkezik:

Üzemmódok

Easy Swap mód

A titkosításhoz ebben a módban egy 64 bites nyílt szövegblokkot először két részre kell osztani: T o = ( A 0 , B 0 ) [10] . Az i -edik ciklusban az X i alkulcs kerül felhasználásra :

A_{i+1}=B_{i}\oplus f(A_{i},X_{i})

( = bináris " exkluzív vagy "),

\oplus

B_{i+1}=A_{i}.

Alkulcsok generálásához az eredeti 256 bites kulcsot nyolc 32 bites számra osztják: K 0 ... K 7 .

Az X 0 ... X 23 alkulcsok a K 0 ... K 7 ciklikus ismétlődései . Az X 24 ... X 31 dugók K 7 ... K 0 .

Az algoritmus mind a 32 körének eredménye egy 64 bites titkosított szövegblokk : T w = ( A 32 , B 32 ) .

A visszafejtés ugyanazon algoritmus szerint történik, mint a titkosítás, azzal a változtatással, hogy az alkulcsok sorrendje megfordul: X 0 ... X 7 K 7 ... K 0 , X 8 ... X 31 pedig ciklikus ismétlés a K 7 ... K 0 .

A bemeneti és kimeneti adatokban a 32 bites számok a legkisebb jelentőségű bittől a legjelentősebbig ( little endian ) sorrendben vannak ábrázolva.

A függvény kiszámítása a következőképpen történik: $f(A_{i},X_{i})$

A i és X i modulo 2 hozzáadásra kerül 32 .

Az eredmény nyolc 4 bites részszekvenciára van osztva, amelyek mindegyike a helyettesítő táblázat csomópontjának bemenetére kerül (a bit elsőbbségének növekvő sorrendjében), az alábbi S-box néven . A szabványban szereplő S-boxok száma összesen nyolc, ami megegyezik az alsorozatok számával. Minden S-doboz 0-tól 15-ig terjedő számok permutációja (az S-dobozok konkrét formája nincs meghatározva a szabványban). Az első 4 bites részsorozat az első S-box bemenete, a második a második bemenete, és így tovább.

Ha az S-box csomópont így néz ki:

1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

és az S-box bemenete 0, akkor a kimenet 1 lesz; ha a bemenet 4, akkor a kimenet 5 lesz; ha a bemenet 12, akkor a kimenet 6 stb.

Mind a nyolc S-box kimenetét egy 32 bites szóvá egyesítik, majd a teljes szót 11 bittel balra forgatják (magas sorrendben).

Az egyszerű csere módnak a következő hátrányai vannak:

Csak olyan egyszerű szövegek titkosításához használható, amelyek hossza 64 bit többszöröse [11]
A nyílt szöveg azonos blokkjainak titkosítása azonos titkosított szövegblokkokat eredményez, amelyek bizonyos információkat adhatnak a kriptoanalizátornak.

Így a GOST 28147-89 használata az egyszerű csere módban csak a kulcsadatok titkosításához kívánatos [11] .

Szerencsejáték

Amikor a GOST 28147-89 gamma módban működik, a fent leírt módon kriptográfiai gamma jön létre, amelyet azután bitenként modulo 2 hozzáadnak az eredeti nyílt szöveghez, hogy titkosított szöveget kapjanak . A gamma módban történő titkosítás mentes az egyszerű helyettesítési módban rejlő hátrányoktól [11] . Tehát még a forrásszöveg azonos blokkjai is eltérő titkosított szöveget adnak, és a 64 bit nem többszöröse hosszúságú szövegeknél az „extra” gamma biteket eldobjuk. Ezenkívül a gamma előre generálható, ami megfelel a titkosító működésének streaming módban.

A gamma a kulcs és az úgynevezett szinkron üzenet alapján jön létre, amely a generátor kezdeti állapotát állítja be. A generálási algoritmus a következő:

A szinkronizálási üzenetet a leírt egyszerű cserealgoritmus segítségével titkosítják, a kapott értékeket a segéd 32 bites N 3 és N 4 regiszterekbe írják - a legkisebb és legjelentősebb bitek.
N 3 összege modulo 2 32 a C 2 = 1010101 16 konstanssal
N 4 összege modulo 2 32 −1 a C 1 = 1010104 16 konstanssal
N 3 és N 4 átíródik N 1 -re, illetve N 2 -re , amelyeket azután az egyszerű cserealgoritmus segítségével titkosítanak. Az eredmény 64 bites gamma.
A 2-4. lépéseket a titkosított szöveg hosszának megfelelően megismételjük.

A visszafejtéshez ugyanazt a gammát kell kidolgozni, majd apránként hozzá kell adni modulo 2-höz a titkosított szöveggel. Nyilvánvaló, hogy ehhez ugyanazt a szinkronizálási üzenetet kell használnia, mint a titkosításhoz. Ebben az esetben a gamma egyediségének követelményei alapján nem lehetséges egyetlen szinkronizálási üzenet több adattömb titkosítására. A szinkronizálási üzenetet általában a titkosított szöveggel együtt valamilyen módon továbbítják.

A GOST 28147-89 egyik jellemzője a gamma módban, hogy amikor a titkosított szöveg egy bitje megváltozik, a visszafejtett szövegnek csak egy bitje változik. Ez egyrészt pozitív hatással lehet a zajvédelemre; másrészt a támadó módosíthat a szövegen anélkül, hogy megfejtné [11] .

Visszajelzés gamification

A titkosítási algoritmus hasonló a gamma módhoz, de a gamma az előző titkosított adatblokkon alapul, így az aktuális blokk titkosítási eredménye is függ az előző blokkoktól. Emiatt ezt az üzemmódot interlocking skálázásnak is nevezik.

A titkosítási algoritmus a következő:

A szinkronizálási üzenet az N 1 és N 2 regiszterekbe kerül .
Az N 1 és N 2 regiszterek tartalma az egyszerű cserealgoritmus szerint titkosítva van. Az eredmény egy 64 bites gamma blokk.
A gamma blokkot bitenként modulo 2-vel adják hozzá a nyílt szöveg blokkhoz. Az így kapott rejtjelezett szöveget az N 1 és N 2 regiszterekbe írjuk be .
A 2-3. műveleteket a többi, titkosítást igénylő szövegblokkra hajtja végre.

A visszacsatoló gamma algoritmussal kapott rejtjelezett szöveg egy bitjének megváltoztatásakor csak egy bit változik a megfelelő dekódolt szövegblokkban, és az ezt követő nyílt szöveg blokk is érintett. Ebben az esetben az összes többi blokk változatlan marad [11] .

Ennek a módnak a használatakor ne feledje, hogy a szinkronizálási üzenetet nem lehet újra felhasználni (például logikailag elkülönülő információblokkok – hálózati csomagok, merevlemez szektorok stb.) titkosításakor. Ez annak a ténynek köszönhető, hogy a titkosított szöveg első blokkját csak modulo two összeadással kapjuk meg a titkosított szinkronizálási üzenettel; így az eredeti és a rejtjelezett szöveg első 8 bájtjának ismerete lehetővé teszi bármely más rejtjelezett szöveg első 8 bájtjának elolvasását a szinkronizálási üzenet újrafelhasználása után.

A szimulált beillesztés generálásának módja

Ez a mód nem a hagyományos értelemben vett titkosítási mód. A beillesztési szimulációs módban végzett munka során egy további blokk jön létre, amely a teljes szövegtől és kulcsadatoktól függ. Ez a blokk annak ellenőrzésére szolgál, hogy a titkosított szöveget nem manipulálták-e véletlenül vagy szándékosan. Ez különösen fontos a gamma-módú titkosításnál, ahol a támadó a kulcs ismerete nélkül is megváltoztathat bizonyos biteket; más üzemmódban történő működés esetén azonban a valószínű torzítások nem észlelhetők, ha a továbbított adatokban nincs redundáns információ.

Utánzat jön létre M ≥ 2 64 bites egyszerű szöveges blokkhoz. Az algoritmus a következő:

A nyílt adatblokk az N 1 és N 2 regiszterekbe kerül , majd az első 16 titkosítási ciklusnak megfelelő transzformáción megy keresztül egyszerű csere módban.
A következő nyílt adatblokkot bitenként modulo 2 hozzáadjuk a kapott eredményhez. Az utolsó blokkot szükség esetén nullákkal töltjük ki. Az összeget az (1) bekezdésnek megfelelően titkosítják is.
Az utolsó blokk hozzáadása és titkosítása után az eredményből kiválasztunk egy L bit hosszúságú imitációs betétet: 32 − L bitszámtól 32-ig (a számolás 1-től kezdődik). A szabvány az L választást javasolja annak alapján, hogy a hamis adatok kiszabásának valószínűsége 2 − L . A hamisítás a kommunikációs csatornán keresztül kerül továbbításra a titkosított blokkok után.

Az ellenőrzéshez a fogadó fél a leírthoz hasonló eljárást hajt végre. Ha az eredmény nem egyezik az átadott szimulációs beillesztéssel, akkor az összes megfelelő M blokkot hamisnak tekintjük.

A beillesztési imitáció előállítása a titkosítással párhuzamosan is végrehajtható a fent leírt üzemmódok valamelyikével [11] .

Csere csomópontok (S-blokkok)

Mind a nyolc S-box különböző lehet. Egyesek úgy vélik, hogy további kulcsanyagok lehetnek, amelyek növelik a kulcs tényleges hosszát; vannak azonban gyakorlati támadások, amelyek lehetővé teszik ezek meghatározását [12] . A kulcs hosszának növelésére azonban nincs szükség, jelenleg 256 bit is elég [13] . A helyettesítési táblák jellemzően hosszú távú sémabeállítások, amelyek a felhasználók egy bizonyos csoportjában közösek.

A GOST 28147-89 szabvány szövege azt jelzi, hogy a töltőpótló egységek (S-blokkok) szállítását az előírt módon, azaz az algoritmus fejlesztője végzi.

Az RFC 4357 által meghatározott cserecsomópontok

ID: id-Gost28147-89-CryptoPro-A-ParamSet

OID: 1.2.643.2.2.31.1

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	9	6	3	2	nyolc	B	egy	7	A	négy	E	F	C	0	D	5
2	3	7	E	9	nyolc	A	F	0	5	2	6	C	B	négy	D	egy
3	E	négy	6	2	B	3	D	nyolc	C	F	5	A	0	7	egy	9
négy	E	7	A	C	D	egy	3	9	0	2	B	négy	F	nyolc	5	6
5	B	5	egy	9	nyolc	D	F	0	E	négy	2	3	C	7	A	6
6	3	A	D	C	egy	2	0	B	7	5	9	négy	nyolc	F	E	6
7	egy	D	2	9	7	A	6	0	nyolc	C	négy	5	F	3	B	E
nyolc	B	A	F	5	0	C	E	nyolc	6	2	3	9	egy	7	D	négy

Ezt a helyettesítő csomópontot alapértelmezés szerint a CryptoPRO CSP használja. Ezt a helyettesítési csomópontot a Verba-O szoftver is használja [14] .

ID: id-Gost28147-89-CryptoPro-B-ParamSet

OID: 1.2.643.2.2.31.2

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	nyolc	négy	B	egy	3	5	0	9	2	E	A	C	D	6	7	F
2	0	egy	2	A	négy	D	5	C	9	7	3	F	B	nyolc	6	E
3	E	C	0	A	9	2	D	B	7	5	nyolc	F	3	6	egy	négy
négy	7	5	0	D	B	6	egy	2	3	A	C	F	négy	E	9	nyolc
5	2	7	C	F	9	5	A	B	egy	négy	0	D	6	nyolc	E	3
6	nyolc	3	2	6	négy	D	E	B	C	egy	7	F	A	0	9	5
7	5	2	A	B	9	egy	C	3	7	négy	D	0	6	F	nyolc	E
nyolc	0	négy	B	E	nyolc	3	7	egy	A	2	9	6	F	D	5	C

Ezt a helyettesítő csomópontot a CryptoPRO CSP használja.

Azonosító: id-Gost28147-89-CryptoPro-C-ParamSet

OID: 1.2.643.2.2.31.3

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	egy	B	C	2	9	D	0	F	négy	5	nyolc	E	A	7	6	3
2	0	egy	7	D	B	négy	5	2	nyolc	E	F	C	9	A	6	3
3	nyolc	2	5	0	négy	9	F	A	3	7	C	D	6	E	egy	B
négy	3	6	0	egy	5	D	A	nyolc	B	2	9	7	E	F	C	négy
5	nyolc	D	B	0	négy	5	egy	2	9	3	C	E	6	F	A	7
6	C	9	B	egy	nyolc	E	2	négy	7	3	6	5	A	0	F	D
7	A	9	6	nyolc	D	E	2	0	F	3	5	B	négy	egy	C	7
nyolc	7	négy	0	5	A	2	F	E	C	6	egy	B	D	9	3	nyolc

Ezt a helyettesítő csomópontot a CryptoPRO CSP használja.

ID: id-Gost28147-89-CryptoPro-D-ParamSet

OID: 1.2.643.2.2.31.4

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	F	C	2	A	6	négy	5	0	7	9	E	D	egy	B	nyolc	3
2	B	6	3	négy	C	F	E	2	7	D	nyolc	0	5	A	9	egy
3	egy	C	B	0	F	E	6	5	A	D	négy	nyolc	9	3	7	2
négy	egy	5	E	C	A	7	0	D	6	2	B	négy	9	3	F	nyolc
5	0	C	nyolc	9	D	2	A	B	7	3	6	5	négy	E	F	egy
6	nyolc	0	F	3	2	5	E	B	egy	A	négy	7	C	9	D	6
7	3	0	6	F	egy	E	9	2	D	nyolc	C	négy	B	A	5	7
nyolc	egy	A	6	nyolc	F	B	0	négy	C	3	5	9	7	D	2	E

Ezt a helyettesítő csomópontot a CryptoPRO CSP használja.

Az RFC 7836 által meghatározott cserecsomópontok

Cserecsomópont, amelyet a Rosstandart „Titkosított információvédelmi” (TC 26) szabványügyi műszaki bizottsága határoz meg [15] .

Azonosító: id-tc26-gost-28147-param-Z

OID: 1.2.643.7.1.2.5.1.1

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	C	négy	6	2	A	5	B	9	E	nyolc	D	7	0	3	F	egy
2	6	nyolc	2	3	9	A	5	C	egy	E	négy	7	B	D	0	F
3	B	3	5	nyolc	2	F	A	D	E	egy	7	négy	C	9	6	0
négy	C	nyolc	2	egy	D	négy	F	6	7	0	A	5	3	E	9	B
5	7	F	5	A	nyolc	egy	6	D	0	9	3	E	B	négy	2	C
6	5	D	F	6	9	2	C	A	B	7	nyolc	egy	négy	3	E	0
7	nyolc	E	2	5	6	9	egy	C	F	négy	B	0	D	A	3	7
nyolc	egy	7	E	D	0	5	nyolc	3	négy	F	A	6	9	C	B	2

Ez a csomópont a TK26 irányelvekben [16] ajánlottak szerint van rögzítve , és ez az egyetlen a GOST R 34.12-2015 [17] és GOST 34.12-2018 [18] szabványok , valamint az RFC 7836 és RFC szabványok új változatában. 8891 .

Ukrajnában meghatározott csereegységek

1. számú csere a 114. számú utasításból

1. számú cserecsomópont ( DKE No. 1 – ukrán kettős karakterláncú kulcselem ) , amelyet az "Útmutató a kriptográfiai információvédelmi eszközök kulcsainak megadására és használatára vonatkozó eljáráshoz " [19] határoz meg .

S-blokk szám	Jelentése
S-blokk szám	0	egy	2	3	négy	5	6	7	nyolc	9	A	B	C	D	E	F
egy	A	9	D	6	E	B	négy	5	F	egy	3	C	7	0	nyolc	2
2	nyolc	0	C	négy	9	6	7	B	2	3	egy	F	5	E	A	D
3	F	6	5	nyolc	E	B	A	négy	C	0	3	7	2	9	egy	D
négy	3	nyolc	D	9	6	B	F	0	2	5	C	A	négy	E	egy	7
5	F	nyolc	E	9	7	2	0	D	C	6	egy	5	B	négy	3	A
6	2	nyolc	9	7	5	F	0	B	C	egy	D	E	A	3	6	négy
7	3	nyolc	B	5	6	négy	E	A	2	C	egy	7	9	F	D	0
nyolc	egy	2	3	E	6	D	B	nyolc	F	A	C	5	7	9	0	négy

Az Ukrajna Speciális Kommunikációs Szolgálatának 1273/35556 számú, 2020. december 21-i, „Műszaki specifikációi az RFC 5652 -hez ” rendelete szerint ez a cserecsomópont alapértelmezés szerint használatban van, és csomagolt formában (64 bájt) tartalmazza a a DSTU 4145-2002 [20] szerint előállított nyilvános kulcs tanúsítvány paraméterei .

A szabvány előnyei

a brute-force támadás hiábavalósága ( az XSL támadásokat nem vesszük figyelembe, mivel hatékonyságuk jelenleg még nem bizonyított teljes mértékben);
végrehajtási hatékonyság és ennek megfelelően nagy teljesítmény a modern számítógépeken . (Valójában a GOST 28147-89 szoftveres implementációi, mint minden Feistel hálózati rejtjel, lassabbak, mint a modern titkosítók, mint például az AES és mások. És csak a FreeBSD operációs rendszerhez készült „GEOM_GOST” egyik megvalósításában, a GOST 28147- sebessége A 89 titkosítás összehasonlíthatónak bizonyult az AES titkosítás sebességével a GEOM alrendszer lemezmeghajtók FreeBSD operációs rendszerben való megvalósításának jellemzői miatt. .);
a hamis adatok előírása elleni védelem (hamis beillesztés kialakulása) és ugyanaz a titkosítási ciklus a szabvány mind a négy algoritmusában.

Kriptanalízis

Úgy tartják [21] , hogy a GOST ellenáll az olyan széles körben használt módszereknek, mint a lineáris és differenciális kriptoanalízis. Az utolsó nyolc körben használt billentyűk fordított sorrendje védelmet nyújt a csúsztatás és a tükröződés elleni támadás ellen. Rostovtsev A. G., Makhovenko E. B., Filippov A. S., Chechulin A. A. munkájukban [22] leírták a kriptoanalízis típusát, amely egy algebrai célfüggvény felépítésére és szélsőértékének megtalálására redukálódik. A gyenge billentyűk osztályait azonosították, különösen azt mutatták ki, hogy a ritka billentyűk (jelentős 0 vagy 1 dominanciával) gyengék. A szerzők szerint módszerük mindenképpen jobb, mint a kimerítő felsorolás, de számszerű becslések nélkül.

2011 májusában a jól ismert kriptoanalitikus, Nicolas Courtois bebizonyította, hogy létezik egy támadás ez a titkosítás ellen, amelynek bonyolultsága 28 ( 256)-szor kisebb, mint a kulcsok közvetlen felsorolásának bonyolultsága, feltéve, hogy 2 van. 64 „sima szöveg/zárt” szövegpár [23] [24 ] . Ez a támadás a gyakorlatban nem hajtható végre a túl nagy számítási bonyolultság miatt. Ezenkívül a 264 egyszerű szöveg/magánszöveg pár ismerete nyilvánvalóan lehetővé teszi a titkosított szövegek olvasását anélkül, hogy a kulcsot ki kellene számítani . A legtöbb más munka olyan támadásokat is leír, amelyek csak bizonyos feltételezések mellett alkalmazhatók, például bizonyos típusú kulcsok vagy helyettesítési táblák, az eredeti algoritmus bizonyos módosításai, vagy még mindig elérhetetlen mennyiségű memóriát vagy számítást igényelnek. Az a kérdés, hogy léteznek-e gyakorlati támadások anélkül, hogy kihasználnák az egyes kulcsok vagy helyettesítő táblák gyengeségét [12] .

A szabvány kritikája

A szabvány fő problémái a kulcsok és helyettesítési táblák előállítása tekintetében a szabvány hiányosságaihoz kapcsolódnak. Úgy gondolják, hogy a szabványban vannak „gyenge” kulcsok és helyettesítési táblázatok [22] [25] , de a szabvány nem írja le a „gyenge” kulcsok kiválasztásának és eldobásának kritériumait.

2010 októberében a Nemzetközi Szabványügyi Szervezet 1. Vegyes Műszaki Bizottságának (ISO / IEC JTC 1 / SC 27) ülésén a GOST-ot jelölték az ISO / IEC 18033-3 nemzetközi blokk titkosítási szabványba. Ezzel kapcsolatban 2011 januárjában rögzítették a helyettesítő csomópontokat, és elemezték azok kriptográfiai tulajdonságait. A GOST-t azonban nem fogadták el szabványként, és a megfelelő helyettesítési táblázatokat sem tették közzé [26] .

Így a meglévő szabvány nem határoz meg algoritmust helyettesítő táblák (S-box) generálására. Ez egyrészt további titkos információ lehet (a kulcson kívül), másrészt számos problémát vet fel:

lehetetlen meghatározni egy algoritmus kriptográfiai erősségét a helyettesítő táblázat előzetes ismerete nélkül;
az algoritmus különböző gyártóktól származó megvalósításai eltérő helyettesítési táblázatokat használhatnak, és összeférhetetlenek lehetnek egymással;
gyenge helyettesítési táblázatok szándékos rendelkezésre bocsátásának lehetősége az Orosz Föderáció engedélyező hatóságai által;
a lehetőség (a szabványban nincs tiltás) olyan helyettesítési táblázatok használatára, amelyekben a csomópontok nem permutációk, ami a rejtjel erősségének szélsőséges csökkenéséhez vezethet.

Lehetséges alkalmazások

Használat S/MIME -ben ( PKCS#7 , Cryptographic Message Syntax ) [27] .
Használja a kapcsolatok biztosítására TLS -ben ( SSL , HTTPS , WEB ) [28] .
Használja üzenetek védelmére XML titkosításban [29] .

Jegyzetek

↑ A GOST 28147-89 orosz titkosítási algoritmus évfordulója (2014. május 14.). Letöltve: 2020. január 9. (Orosz)
↑ Zelenograd kriptográfiai eszközök fejlesztői ünnepelték a titkosítási algoritmus évfordulóját (2014. május 23.). Letöltve: 2020. január 9. Az eredetiből archiválva : 2016. szeptember 21. (Orosz)
↑ Romanets, 2016 .
↑ GOST 28147-89 az FSUE "Standartinform" honlapján . (határozatlan)
↑ GOST 28147-89 az FSIS "Normdoc" weboldalán (elérhetetlen hivatkozás) . Letöltve: 2019. augusztus 26. Az eredetiből archiválva : 2019. augusztus 26.. (határozatlan)
↑ GOST 28147-89 a TNLA Nemzeti Alap honlapján . Letöltve: 2019. augusztus 25. Az eredetiből archiválva : 2019. augusztus 25. (határozatlan)
↑ A 495. számú állami szabvány 2008. december 22-i rendelete. A nemzetközi szabványok nemzetiként történő elfogadásáról a vonatkozó nemzetközi szabványok megerősítése és megállapítása útján . Letöltve: 2019. augusztus 25. Az eredetiből archiválva : 2019. május 5. (határozatlan)
↑ A DP "UkrNDNC" 539. számú, 2018. december 28-i végzése. A nemzeti és nemzetközi szabványok megújításáról . Letöltve: 2019. augusztus 25. Az eredetiből archiválva : 2019. augusztus 25. (határozatlan)
↑ Megjegyzés a GOST 28147-89 blokk titkosítási algoritmus használatához . Letöltve: 2019. augusztus 25. Az eredetiből archiválva : 2019. augusztus 25. (határozatlan)
↑ A GOST szabvány leírásában N 1 , illetve N 2 jelöléssel vannak ellátva.
↑ 1 2 3 4 5 6 A. Vinokurov. A GOST 28147-89 titkosítási algoritmus, használata és megvalósítása Intel x86 platform számítógépeken Archiválva : 2022. április 1. a Wayback Machine -nél
↑ 1 2 Panasenko S.P. GOST 28147-89 titkosítási szabvány Archiválva : 2012. december 1.
↑ Schneier B. Alkalmazott kriptográfia. Protokollok, algoritmusok, forrásszövegek C nyelven, 2. kiadás - M .: Triumph, 2002, 14.1
↑ Algoritmusok kriptográfiai paramétereinek azonosítói . Letöltve: 2014. április 21. Az eredetiből archiválva : 2013. július 28.. (határozatlan)
↑ Szabványosítási ajánlások „A helyettesítő csomópontok beállítása a GOST 28147-89 titkosítási algoritmus helyettesítési blokkjához 2017. szeptember 8-i archivált példány a Wayback Machine -n ”
↑ MP 26.2.003-2013 Archív másolat 2019. december 26-án a Wayback Machine -nál „Information Technology. Az információk kriptográfiai védelme. Helyettesítő csomópontok beállítása a GOST 28147-89 titkosítási algoritmus helyettesítési blokkjához
↑ GOST R 34.12-2015 „Információs technológia. Az információk kriptográfiai védelme. Rejtjelek blokkolása»
↑ GOST 34.12-2018 „Információs technológia. Az információk kriptográfiai védelme. Rejtjelek blokkolása»
↑ Ukrajna Speciális Kommunikációs Állami Szolgálatának 2007. június 12-i 114. sz. rendelete „Az információk kriptográfiai védelmének megszerzése előtti kulcsok megadására és kiválasztására vonatkozó utasítások jóváhagyásáról” (ukr.) . www.zakon.rada.gov.ua _ Ukrajna Miniszteri Kabinetje (2007. június 12.). Letöltve: 2019. augusztus 25. Az eredetiből archiválva : 2019. április 30.
↑ Az RFC 5652 előtti műszaki adatok . zakon.rada.gov.ua (2012. augusztus 20.). Letöltve: 2021. május 4. Az eredetiből archiválva : 2022. február 25. (határozatlan)
↑ Vitalij V. Shorin, Vadim V. Jelezniakov és Ernst M. Gabidulin. Az orosz GOST lineáris és differenciális kriptoanalízise // Elektronikus jegyzetek a diszkrét matematikában. - 2001. - S. 538-547 .
↑ 1 2 Rostovtsev A.G., Makhovenko E.B., Filippov A.S., Chechulin A.A. A GOST 28147–89 stabilitásáról // Az információbiztonság problémái. Számítógépes rendszerek. - 2003. - S. 75-83 . Archiválva az eredetiből 2011. július 7-én.
↑ Nicolas T. Courtois. A GOST 28147-89 biztonsági értékelése a nemzetközi szabványosításra tekintettel . Az eredetiből archiválva: 2012. december 7. (határozatlan). Cryptology ePrint Archívum: Jelentés 2011/211
↑ SecurityLab: GOST 28147-89 blokk titkosítás feltörve . Letöltve: 2011. május 22. Az eredetiből archiválva : 2013. május 14.. (határozatlan)
↑ Szergej Panasenko. GOST 28147-89 titkosítási szabvány (2007. augusztus 15.). Letöltve: 2012. november 30. Az eredetiből archiválva : 2012. december 1.. (Orosz)
↑ Szabványügyi Műszaki Bizottság (TC 26) "Cryptographiai információk védelme" A GOST 28147-89 titkosítási algoritmus nemzetközi szabványosításával kapcsolatos tevékenységekről (hozzáférhetetlen hivatkozás) . Letöltve: 2012. november 11. Az eredetiből archiválva : 2012. március 11. (határozatlan)
↑ Leontiev S., Chudov G. A GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 és GOST R 34.10-2001 algoritmusok kriptográfiai üzenetszintaxissal (CMS) használatával ( 2006. május). — RFC 4490 . Letöltve: 2009. június 21. Az eredetiből archiválva : 2011. augusztus 24..
↑ Leontiev, S., Szerk. és G. Chudov, szerk. GOST 28147-89 Cipher Suite for Transport Layer Security (TLS) ( 2008. december). — Internet-tervezetek, munka folyamatban. Letöltve: 2009. június 21. Az eredetiből archiválva : 2011. augusztus 24..
↑ S. Leontyev, P. Szmirnov, A. Cselpanov. GOST 28147-89, GOST R 34.10-2001 és GOST R 34.11-94 algoritmusok használata az XML biztonsághoz ( 2008. december). — Internet-tervezetek, munka folyamatban. Letöltve: 2009. június 21. Az eredetiből archiválva : 2011. augusztus 24..

Lásd még

Irodalom

Melnikov VV Információk védelme számítógépes rendszerekben. - M. : Pénzügy és statisztika, 1997.
Romanets Yu. V., Timofeev PA, Shangin VF Információvédelem számítógépes rendszerekben és hálózatokban. - M . : Rádió és kommunikáció, 1999.
Kharin Yu. S. , Bernik V. I., Matveev G. V. A kriptológia matematikai alapjai. - Mn. : BSU, 1999.
Gerasimenko V. A., Malyuk A. A. Az információbiztonság alapjai. — M. : MGIFI, 1997.
Leonov A.P., Leonov K.P., Frolov G.V. Az automatizált banki és irodai technológiák biztonsága. - Mn. : Nat. könyv. Fehéroroszországi Kamara, 1996.
Zima V. M., Moldovyan A. A., Moldovyan N. A. Számítógépes hálózatok és a továbbított információk védelme. - Szentpétervár. : Szentpétervári Állami Egyetem, 1998.
Schneier B. 14.1 Algoritmus GOST 28147-89 // Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód: C. - M . : Triumf, 2002. - S. 373-377. — 816 p. - 3000 példányban. - ISBN 5-89392-055-4 .
Popov, V., Kurepkin, I. és S. Leontiev. További kriptográfiai algoritmusok a GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 és GOST R 34.11-94 algoritmusokhoz // RFC 4357 . – IETF, 2006. január.
Spesivtsev A.V., Wegner V.A., Krutyakov A.Yu. stb . Személyi számítógépek információinak védelme . - M . : Rádió és kommunikáció, MP "Vesta", 1992. - 192 p. — (A rendszerprogramozó könyvtára). - ISBN 5-256-01137-5 . (Orosz)
Romanets Yu.V., Panasenko S.P., Zabotin I.A., Petrov S.V., Rakitin V.V., Dudarev D.A., Syrchin V.K., Salmanova Sh.A. 3. fejezet A GOST 28147-89 algoritmus létrehozásának története és az alapelvek // Az "ANKAD" cég - 25 év az információbiztonság szolgálatában Oroszországban / szerk. Yu. V. Romanets. - M. : Technosfera, 2016. - S. 9-19. — 256 p. - ISBN 978-5-94836-429-2 . (Orosz)

Linkek

A GOST 28147-89 „Információfeldolgozó rendszerek. Kriptográfiai védelem. Kriptográfiai konverziós algoritmus"
GOST az OpenSSL-hez . a Cryptocom LLC kriptográfiai projektje, amely orosz kriptográfiai algoritmusokat ad az OpenSSL könyvtárhoz. Letöltve: 2008. november 16. Az eredetiből archiválva : 2011. augusztus 24.. (határozatlan)
A https://github.com/gost-engine/engine az OpenSSL GOST-algoritmusainak nyílt megvalósítása.

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher