ГОСТ Р ИСО/МЭК 10116—93
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
РЕЖИМЫ РАБОТЫ ДЛЯ АЛГОРИТМА
П РАЗРЯДНОГО БЛОЧНОГО ШИФРОВАНИЯ
Издание официальное
БЗ 3—93/250
ГОССТАНДАРТ РОССИИ Москва
ПРЕДИСЛОВИЕ
1 РАЗРАБОТАН И ВНЕСЕН Техническим комитетом ТК 22 «Информационная технология»
2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 28.12.93 № 272
Настоящий стандарт подготовлен на основе применения аутентичного текста международного стандарта ИСО/МЭК 10116—91 «Информационная технология. Режимы работы для алгоритма п-разрядного блочного шифрования»
3 ВВЕДЕН ВПЕРВЫЕ
© Издательство стандартов, 1994
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Госстандарта России
государственный стандарт российской федерации
Информационная технология
РЕЖИМЫ РАБОТЫ ДЛЯ АЛГОРИТМА n-РАЗРЯДНОГО БЛОЧНОГО ШИФРОВАНИЯ
Information technology. Modes oi operation for an n-bit block cipher algorithm
Дата введения 1994—07—01
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт описывает четыре режима работы для алгоритма zz-разрядного блочного шифрования.
Примечание 1 — Приложение А содержит пояснения характеристик каждого режима
Настоящий стандарт устанавливает четыре определенных режима так, что при применении алгоритма п-разрядного блочного шифрования . (например, защиты передачи данных, хранения данных, подтверждения подлинности) этот стандарт представляет полезную справку, например для требований к режиму работы и значениям параметров (соответственно).
Для некоторых режимов набивка может требовать гарантий, чтобы все переменные открытого текста были необходимой длины.
Примечание 2 — Для режкма работы шифрования с обратной связью — CFB (Cipher Feedback) (см раздел 6) определяются два параметра: / и Ь-Для режима работы с обратной связью по выходу — OFB (Output Feedback) (см раздел 7) задается один параметр j. При использовании одного из этих режимов работы значение(я) параметров должно быть выбрано и применено всеми сторонами при передаче сообщений.
Издание официальное
2 ОПРЕДЕЛЕНИЯ
В настоящем стандарте использованы следующие определения.
2.1 Открытый текст — незашифрованная информация
2.2 Шифротекст — зашифрованная информация
2 3 Алгоритм л-разрядного блочного шифрования — алгоритм блочного шифрования, в котором блоки открытого текста и блоки шифротекста имеют длину п разрядов.
2.4 Связывание блоков — такое шифрование информации, при котором каждый блок шифротекста является криптографически зависимым от предшествующего блока шифротекста.
2.5 Начальное значение — IV (Initializing Value)—значение, используемое в определении начальной точки процесса шифрования.
2.6 Запускающая переменная — SV (Starting Variable) — переменная, полученная от начального значения и используемая в определении запускающей точки режимов работы.
Примечание 3 — Метод получения запускающей переменной от начального значения не определен в настоящем стандарте Он требует описания при любом использовании режимов работы
2.7 Криптографическая синхронизация — согласование процесса шифрования и дешифрования.
3 ОБОЗНАЧЕНИЯ
В настоящем стандарте функциональное отношение, определяемое алгоритмом блочного шифрования, записывается как
С = еК(Р), где Р — блок открытого текста;
С — блок шифротекста;
К — ключ.
Выражение еК является операцией шифрования, использующей ключ К-
Соответствующая функция дешифрования записывается как P=dK(C).
Переменная, обозначенная заглавной буквой, как например вышеуказанными буквами Р и С, представляет собой одномерный массив разрядов.
Например,
Д = (аь аг, ..., ат) ий= (6Ь Ь2, . ., dm) представляют собой массивы т разрядов, пронумерованных от I до т. Все массивы разрядов записываются с наибольшего значащего разряда в левой позиции.
Операция сложения по модулю 2, известная также как функция «исключающее ИЛИ», представляется символом® . Операция, относящаяся к массивам, например к Л и В, определяется как А® 8= (Qi® blt агф Ь2, Ьт) .
Операция выбора совокупности / .старших слева разрядов массива А, чтобы генерировать /-разрядный массив, записывается как A~j = (ai, а2.....а,).
Эта операция определена только для jcm, где т — число разрядов в массиве А.
«Функция сдвига» S* определяется следующим образом.
Для заданных zn-разрядной переменной X и ^-разрядной переменной F, где k<.m, действие функции сдвига 5* (X|F) таково, что образует zn-разрядную переменную
S* (X|F) = (x*+i, Xk+2 fn /г>-..,/*) при k В результате происходят сдвиг разрядов массива X влево на k позиций с отбрасыванием jq,.. . ,хА и размещение массива/7 на самых правых k позициях массива X. Если k = mt происходит полное замещение массива X на F. Используется особый случай этой функции, в котором берется /n-разрядная переменная I (т) из последующих «1» битов и сдвигается переменной F из k разрядов, где В результате: |F) = (1, 1 ,..1, fi, f2,.. .,f*) при k = .. - ,fk) при k — m9 где m—k наиболее старших разрядов представляют собой «1». 4 РЕЖИМ ЭЛЕКТРОННОГО КОДОВОГО СПРАВОЧНИКА — ЕСВ (ELECTRONIC CODEBOOK) 4.1 Переменные, используемые для режима шифрования ЕСВ: a) последовательность из q блоков открытого текста Р\, Р2, • • • > Ря, каждый пол разрядов; b) ключ К; c) получающаяся в результате последовательность q блоков шифротекста С2/...» Cq, каждый по п разрядов. 4.2 Режим ЕСВ при шифровании описывается следующим образом: Ci = eK{Pi) лля i= L 2,. .., q. (1) 4.3 Режим ЕСВ при дешифровании описывается следующим образом: P, = dK(G) для i=l, 2,..., q. (2) 5 РЕЖИМ ПОСЛЕДОВАТЕЛЬНОГО БЛОЧНОГО ШИФРОВАНИЯ — СВС (CIPHER BLOCK CHAINING) 5.1 Переменные, используемые для режима СВС при шифровании: a) последовательность q блоков открытого текста Р\, Р2,..., Pq, каждый по п разрядов; b) ключ К\ c) запускающая переменная SV из п разрядов; d) последовательность q блоков шифротекста С], С2, . .., Cq, каждый по п разрядов. 5.2 Режим СВС при шифровании описывается следующим образом: шифрование первого блока открытого текста C^eK(P^SV), (3) далее С = Ci-О для i=2, (4) Данная процедура показана в верхней части рисунка 1. Запускающая переменная^V используется для генерации первых выходных данных шифротекста. Затем шифротекст суммируется по модулю 2 к последующему открытому тексту перед шифрованием. 5.3 Режим СВС при дешифровании описывается следующим образом: дешифрование первого зашифрованного блока Л=4К(С;)ф5У, (5) далее Pt=rfK(C()e С-t для i=2, 3,..., q. (6) Эта процедура показана в нижней части рисунка 1. 6 РЕЖИМ ШИФРОВАНИЯ С ОБРАТНОЙ СВЯЗЬЮ — CFB (CIPHER FEEDBACK) 6.1 Работу режима CFB определяют два параметра: — размер переменной обратной связи k, где 1<Лсп; — размер переменной открытого текста /, где 1<Л. Переменные, используемые при работе в режиме CFB, следующие: a) входные переменные; 1) последовательность q переменных открытого текста Ръ • • ■» Pq> каждая по / разрядов; 2) ключ 3) запускающая переменная SV, имеющая п разрядов; b) промежуточные результаты: Алгоритм ШНффОЫмХА Алгоритм лешифроааим Рисунок 1 — Режим работы последовательного блочного шифрования (СВС) 1) последовательность q входных блоков алгоритма Х29 ..., Xq, каждый по п разрядов; 2) последовательность q выходных блоков алгоритма Уь У2,. .., У*7> каждый по п разрядов; 3) последовательность q переменных Е2, каждая по и разрядов; 4) последовательность q—1 переменных обратной связи /ч» F2, -. -, Fq-\, каждая по k разрядов; с) выходные переменные, т. е. последовательность q переменных шифротекста С2,..., Сф каждая по / разрядов. 6.2 Входной блок X представляет собой ряд его начальных значений = Операция шифрования каждой переменной открытого текста включает в себя пять этапов: a) использование алгоритма шифрования У, = еК(Х(); b) выбор старших слева / разрядов (9) c) формирование переменной шифротекста С, = d) формирование переменной обратной связи F, = S,(I(k) |С,); e) функцию сдвига Эти этапы повторяются для f=l, 2,..., q, заканчиваясь урав-пением (12) на последнем цикле. Процедура представлена на левой стороне рисунка 2. Старшие слева / битов выходного блока Y алгоритма шифрования используются для шифрования /-разрядной переменной открытого текста сложением по модулю 2. Оставшиеся разряды блока У отбрасываются. Переменные открытого текста и шифротекста имеют разряды, пронумерованные от 1 до /. Переменная шифротекста дополняется размещением Л—/ битов «1» в позиции ее старших слева разрядов так, чтобы она стала ^-разрядной переменной обратной связи Л Затем разряды входного блока X сдвигаются влево на k позиций и F вставляется в самые правые k позиций, чтобы образовать новое значение X. В этой операции сдвига самые левые k разрядов блока X отбрасываются. 6.3. Переменные, используемые для дешифрования, являются такими же, как и те, которые используются для шифрования. Входной блок X представляет собой начальные значения Xt~SK Операция дешифрования каждой переменной шифротекста включает в себя пять этапов: а) использование алгоритма шифрования b) выбор самых левых j разрядов c) формирование переменной открытого текста (13) d) формирование переменной обратной связи F,=S,U(k){C,)-, (1 (15) (16, е) функцию сдвига )• <17) Эти этапы повторяются для i=l, 2,..., q, заканчиваясь уравнением (17) в последнем цикле. Процедура представлена в правой части рисунка 2. Самые левые / разрядов выходного блока У алгоритма шифрования используются для дешифрования /-разрядной переменной шифротекста сложением по модулю 2. Оставшиеся разряды блока У отбрасываются. Переменные открытого текста и шифротекста имеют разряды, пронумерованные от 1 до /. Теременная шифротекста дополняется размещением k—i битов «1» в позициях самых левых разрядов так, чтобы она стала /г-раз-рядной переменной обратной связи F. Затем разряды входного блока X сдвигаются влево на k позиций и F вставляется в самые правые k позиций, чтобы образовать новое значение X. В этой операции сдвига сямыр левые k разрядов блока X отбрасываются. Шифро«»и< Д»г*«фО0б*ми« Рисунок 2 — Режим работы шифрования с обратной связью (CFB) 6.4 Рекомендуется, чтобы режим CFB использовался с равными значениями / и k. При этой рекомендации tj=k) уравнений (И) и (16) moiут быть записаны в виде Е( — С (подставлено j = k). 7 РЕЖИМ С ОБРАТНОЙ СВЯЗЬЮ ПО ВЫХОДУ — OFB (OUTPUT FEEDBACK) 7.1 Режим работы OFB определяет один параметр, т. е. размер переменной открытого текста /, где 1<п. Переменные, используемые при работе в режиме OFB: a) входные переменные: 1) последовательность q переменных открытого текста Ръ Р? . Ря, по / разрядов каждая; 2) ключ К\ 3) запускающая переменная SV из и разрядов; b) промежуточные результаты: 1) последовательность q входных блоков алгоритма Х2, . ., по п разрядов каждый; 2) последовательность q выходных блоков алгоритма Уь У2, ..., У?, по л разрядов каждый; 3) последовательность q переменных Еи Е%,. .., Ея, по / разрядов каждая; с) выходные переменные, т. е. последовательность q переменных шифротекста , Ся, по / разрядов каждая. 7.2. Входной блок X представляет собой ряд его начальных значений X.-SK Операция шифрования каждой переменной открытого текста включает в себя четыре этапа: a) использование алгоритма шифрования У( = ^(Х,); b) выбор самых левых / разрядов (20) c) формирование переменных шифротекста Cf=P£t>E,-; d) операцию обратной связи (22) Эти этапы повторяются для i— 1, 2, q, заканчиваясь уравнением (21) на последнем цикле. Процедура показана в левой части рисунка 3. Результат каждого применения алгоритма шифрования, которым является блок ¥„ используется для обратной связи и становится следующим значением Xit а именно Х(+ь Самые левые / разрядов в У, используются для шифрования входной переменной. Рисунок 3 — Режим работы шифрования с обратной связью по выходу (OFB) 7.3. Переменные, используемые для дешифрования, являются такими же, как и используемые для шифрования. Входной блок X представляет собой ряд его начальных значений X( = SV. Операция дешифрования каждой переменной шифротекста включает в себя четыре этапа: a) использование алгоритма шифрования У< = еК(Х^ b) выбор самых левых / разрядов £. = У,~/; c) формирование переменной открытого текста Р, = с,ф d) операцию обратной связи = У, Эти этапы повторяются для i=l, 2,..., q, заканчиваясь уравнением (26) на последнем цикле. Процедура представлена в правой части рисунка 3. Значения X, и У„ используемые как для дешифрования, так и для шифрования, одинаковы; отличается только уравнение (25). ПРИЛОЖЕНИЕ А (информационное ) СВОЙСТВА РЕЖИМОВ РАБОТЫ АЛ Свойства режима работы электронного кодового справочника (ЕСВ> АЛЛ Условия применения Передаваемые блоки информации — это такой перенос информации между ЭВМ и людьми, который может иметь повторения или обычно используемые последовательности В режиме ЕСВ идентичный открытый текст синтезирует (при том же ключе) идентичные блоки шифротекста А 1 2 Характеристики режима ЕСВ: a) шифрование и дешифрование блоков могут осуществляться независимо от других блоков, b) переупорядочение блоков шифротекста приведет к соответствующему пе-оеупорядочению блоков открытого текста; c) тождественный блок открытого текста всегда породит тождественный блок шифротекста (при одном и том же ключе), делая его уязвимым к «словарной атаке» Режим ЕСВ обычно не рекомендуется для сообщений длиннее чем один блок Применение режима ЕСВ может в дальнейшем быть установлено в международных стандартах для таких специальных целей, когда повторение характеристик допустимо или блоки достчпны индивидуально А 1 3 Требования к набивке Только блоки по п разрядов могут быть зашифрованы и дешифрованы Блоки другой тлины должны быть дополнены до n-разрядного предела А 14 Распространение ошибки В режиме ЕСВ один или более ошибочных битов внутри отдельного блока шифротекста будут воздействовать только на дешифрование блока, в котором ошибка (ки) произошла (ли). При предположении, что шифр обладает свойством, при котором замена одного бита открытого текста вызывает в среднем 50 %-е изменение шифротекста, каждый бит восстановленной версии открытого текста этого блока будет иметь «реднюю ошибку порядка 50% А 1 5 Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой бита), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор. пока не будут восстановлены правильные границы блока Результат всех операций дешифрования будет неверным пока границы блока утрачены А 2 Свойства режима работы последовательного блочного шифрования (СВС) А 21 Условия применения Режим СВС порождает тождественный шифротокст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной Пользователям, которых интересует эта характеристика, необходимо знать, как следует заменять запуск открытого текста, ключа или запускающей переменной Во-первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме СВС блока информации. Во-вторых, для случая, когда шифруют записи, размеры которых не должны увеличиваться, — использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произвольной выборкой). А 2.2 Свойства Свойства режима СВС: a) последующая операция делает блоки шисррогекста зависимыми от текущего и всех предыдущих блоков открытого текста, и поэтому блоки не могут быть переставлены. b) использование различных значений SV исключает шифрование тождественного открытою текста в тождественный шифротекст. А23 Требование к набивке Только блоки по п разрядов могут быть зашифрованы и дешифрованы. Блоки другой длины должны быть дополнены до поразрядного предела. Если это не допустимо, последняя переменная может обрабатываться специальным путем Два примера специальной обработки приведены ниже. Первой возможностью обработать неполную последнюю переменную (т. е переменную Рч при j a) шифрование Ся=Ря&(еК(Сч_1)~]); (27) b) дешифрование Тем не менее эта последняя переменная уязвима к «выбранной атаке открытого текста», если SV не является секретной или если она используется более одного раза с тождественным ключом (см А 4) Вторая возможность известна как «шифротекст—упрятывание». Допустим, что последние две переменные открытого текста представляют собой Pq-t и Рч, где Pq-i есть n-разрядный блок, Ря является переменной из /<п разрядов я q должно быть больше 1 a) Шифрование Пусть С7-| является блоком шифротекста, получаемым из Рд-\ с использованием метода, описанного в 52 В таком случае (29) Последние две переменные шифротекста в таком случае представляют собой C b) Дешифрование С9 должна быть дешифрована первой, в результате чего она дает переменную Рч и самые правые п—j разрядов Cq_i SJ(Cq~l\Pq) = dK(Cq) (ЗС) Законченный блок C7-i теперь доступен, и Рч-х может быть получен с использованием метода, описанного в 5 3 Две замыкающие переменные шифротекста дешифруются в обратном порядке, что делает это решение менее пригодным для аппаратной реализации. А 2.4 Распространение ошибки В режиме СВС один и более ошибочных разрядов внутри отдельного блока шифротекста будут влиять на дешифрование двух блоков (блока, в котором ошибка совершена, и последующего блока) Если ошибки есть з i-ом блоке шифротекста, каждый разряд i-ro дешифрованного блока открытого» текста будет иметь в среднем порядка 50 % ошибок при предположении, что шифр обладает таким свойством, при котором изменение одного разряда открытого текста приводит в среднем к 50 %-=ному изменению в шифротексте Дешифрованный (*4-1) блок открытого текста будет наметь только те разряды в ошибке, которые прямо зависят от разрядов шифротекста в ошибке. Если ошибки содержит переменная из менее чем п разрядов, распространение ошибки зависит от выбранного метода специальной обработки В первом примере дешифрованный короткий блок будет иметь те разряды в ошибке, которые прямо связаны с разрядами шифротекста в ошибке Если ошибки есть в блоке, предшествующем блоку из менее чем и разрядов, дешифрованный короткий блок будет иметь среднее значение разрядов ошибки порядка 50 % В шифротексге, имеющем случайные ошибки, короткий блок или последний блок шифротекста приводит к ошибочным разрядам порядка 50 % А 2 5 Границы блока Если границы блока утрачиваются между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), синхронизация между операциями шифрования и дешифрования будет утеряна до тех пор, пока не будут восстановлены правильные границы блока Результат всех операций дешифрования будет неверным, пока границы блока утрачены А.З Свойства режима работы шифрования с обратной связью (CFB) АЗЛ Условия применения Режим CFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной Пользователям, которых интересует эта характеристика, необходимо знать, как заменить запуск открытого текста, ключ или запускающую переменную Во первых, это введение уникального идентификатора (например, счетчика прироста) в начало каждого передаваемого в режиме CFB блока информации Во-вторых, в случае, когда шифруют записи, размеры которых не должны увеличиваться, — использование некоторой переменной, например запускающей переменной, которая может быть вычислена из записи без знания ее компонентов (например, ее адреса в запоминающем устройстве с произволь ной выборкой) А32 Свойства Свойства режима CFB a) последующая операция делает переменные шифротекста зависимыми от текущей и всех предыдущих переменных открытого текста, и поэтому /-разрядные переменные связаны вместе и не могут быть переставлены, b) использование различных значений SV делает невозможным шифрование тождественного открытого текста в тождественный шифротекст; c) оба процесса шифрования и дешифрования в режиме CFB используют формулу шифрования алгоритма; d) мощность режима CFB зависит от размера k (максимальна, если /=Л); е) выбор малого значения / будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса А 3 3 Требования к набивке Только блоки по ] разрядов могут быть зашифрованы и дешифрованы Бло ки другой длины должны быть дополнены до /-разрядного предела Тем не ме нее в большинстве применений / следует выбирать равным размеру символа и набавка не потребуется А34 Распространение ошибки В режиме CFB ошибки в любом /-разрядном элементе шифротекста будут влиять на дешифрование следующего шифротекста до тех пор, пока биты в ошибке будут сдвигаться без сохранения выдвигаемых разрядов входного блока режима CFB Первый подверженный влиянию /-разрядный элемент открытого текста будет искажен именно в тех местах, где в шифротексге имеется ошибка При предположении, что шифр обладает свойством, при котором измененне одного бита открытого текста вызывает в среднем 50 %-е изменение в шифре-тексте, в последующем дешифрованном открытом тексте каждый разряд будет иметь среднюю ошибку порядка 50 % до тех пор, пока все ошибки будут сдвигаться без сохранения выдвигаемых разрядов входного блока А 3 5 Границы блока Если /-разрядные границы утеряны между шифрованием и дешифрованием (например, обусловлены ошибкой разряда), криптографическая синхронизация будет восстановлена до п разрядов после того, как восстановятся /-разрядные границы. Если блок из / разрядов утерян, синхронизация будет восстановлена автоматически после обработки п разрядов. А.4 Свойства режима работы с обратной связью по выходу (OFB) АЛЯ Условия применения Режим OFB порождает тождественный шифротекст всякий раз, когда шифруется тождественный открытый текст с использованием тождественных ключа и запускающей переменной. Кроме того, в режиме OFB порождается тождественный поток ключей, когда используются тождественные ключ и SV. Следовательно, из соображений секретности специальная SV должна быть использована только один раз для заданного ключа. А.4 2 Свойства Свойства режима OFB: a) отсутствие связанности делает режим OFB более уязвимым к специальным атакам; b) использование различных значений SV, порождая различные потоки ключей, препятствует шифрованию тождественного открытого текста в тождественный шифротекст, c) обе процедуры шифрования и дешифрования в режиме OFB используют формулу шифрования алгоритма; d) режим OFB не зависит от открытого текста при генерации потока ключей, используемых для сложения по модулю 2 к открытому тексту; e) выбор малого значения / будет требовать больше циклов на единицу открытого текста из-за алгоритма шифрования и, таким образом, вызовет большие непроизводительные издержки процесса. А.4.3 Требования к набивке Только блоки по / разрядов могут быть зашифрованы и дешифрованы Блоки другой длины должны быть дополнены до /-разрядного предела. Тем не менее, в большинстве применений / следует выбирать равным размеру символа и набивка не потребуется А44 Распространение ошибки Режим OFB не расширяет ошибки шифротекста на выходе результирующего открытого текста Каждый бит в ошибке шифротекста вызывает только один бит, который будет ошибочным в дешифрованном открытом тексте А.4 5 Границы блока Режим OFB не является самосннхронизирующимся Если две операции шифрования и дешифрования выходят из синхронизации, система нуждается в -приведении в исходное состояние (реинициализации). Такая потеря синхронизации может быть (если />1) из-за потери правильных границ блоков по / разрядов (например, обусловлена ошибкой разряда) Каждое восстановление исходного состояния должно использовать значение SV, отличное от значений SV, использованных до этого с тождественным ключом Основанием для этого является то, что для тождественных параметров всякий раз должен порождаться идентичный поток разрядов Указанные условия делают режим OFB уязвимым к «известной атаке открытого текста» ПРИЛОЖЕНИЕ В (информационное ) ИНФОРМАЦИЯ О ПАТЕНТАХ В процессе подготовки международного стандарта ИСО/МЭК 10116 была собрана информация о патентах, от которых может зависеть применение данного стандарта Было выявлено, что такие патенты принадлежат корпорациям IBM и UNISYS Однако Международная организация по стандартизации — ISO (International Organization for Standardisation) не может дать авторитетной или исчерпывающей информации об очевидности, обоснованности или области распространения патентов или подобных прав Владельцы патентов приняли положение, по которому в оговоренные периоды лицензии будут допускать предоставление права применения данного международною стандарта при условии, что те, кто желает получить лицензии, согласны отвечать взаимностью Дополнительная информация имеется в распоряжении фирм: Director of Commercial Relations International Business Machines Corporation (IBM) 2000 Purchase Street PURCHASE, N. Y. 10577 Director, Industry Relations UNISYS PO Box 500 Blue Bell, PA 19424 U. S. A. ПРИЛОЖЕНИЕ С (информационное ) ПРИМЕРЫ ДЛЯ РЕЖИМОВ РАБОТЫ С.1 Общие сведения В этом приложении приведены примеры для шифрования и дешифрования передаваемых блоков информации с использованием режимов работы, установленных в настоящем стандарте Используемые параметры a) алгоритм шифрования — алгоритм шифрования данных (DEA — Data Encryption Algontm) Значение п — 64, b) криптографический ключ — 01234567890ABCDEF, c) запускающая переменная — 1’234567®9OABCDEF, d) открытый текст — 7-битный код ASCII (американский стандартный код для обмена информацией) для слов «Now is the time for all> (в шестнадцатеричном представлении 4E6F772069,73(2074 68652074696D6520 666F7260616C6C20) Для режима CFB открытый текст — 7-битный код ASCII для слова «Now» (в шестнадцатеричном представлении 4E6F77) С 2 Режим ЕСВ Примеры шифровании и дешифрования в режиме ЕСВ даны в таблицах С I и С 2 соответственно Таблица С) — Режим ЕСВ. шифрование 1 Открытый текст Р, Входной блок алгоритма Выходной блок алгоритма Шифротскст Ci 1 4E6F772069732O74 4E6F772069732074 ЗГА40Е8Д984О4815 3FA40E8A984D4ftl5 2 6865207469606520 68O52O74696D652O 6A271787AB8883F9 6A27I787AB8883F9 3 666F72206I6C6C20 6&5F72206I6C6C2O 893O5IEC4B563B53 S93D51EC48563B53 ГОСТ Р ИСО/МЭК 10116—93 Таблица С 2 — Режим ЕСВ, дешифрование I Шнфротскст Р, Входной блок алгоритма Выходной блок алгоритма Открытый текст С, 1 3FA4OE8A9W4815 3FA40E8A984O48I5 4E6F772O697i32O74 4E6F7 7*2969732074 2 6А271787ЛВ8883Е9 6А271787АВ88вЗГ9 6865207469606520 6865207469606520 3 893D5iEC48563B53 893051ЕС4В563В53 666F72206I6C6C20 666Г7220316С6С20 С.Э Режим СВС Таблица С4— Режим СВС, дешифрование 1 Шнфротекст Р» Входной блок алгоритма Выходной блок алгоритма Открытый текст С, 1 E5C7CDOE872BF27C E5C7CDDE872BF27C 5C5B2I58F9W.D9B 4E6F772069732074 2 431 934OO8C389C0F 43E&340O8C389C0F 8DA2EDAAEEI&975C 6865207469606520 3 683788199A7CO5F6 683788499A7C05F6 2586452OED54FO2F 666F7220&I6C6C2O ГОСТ Р НСО/МЭК 10И6—93 Примеры шифрования и дешифрования в режиме СВС даны в таблицах СЗ и С 4 соответственно ТаблицаСЗ — Режим СВС, шифрование 1 Открытый текст Р, Входной блок алгоритма Выходной блок алгоритма Шнфротекст Ct 1 4E6F772069732074 5C5B2I58F9D8ED9B E&C7CDDE872BF27C E5C7CDDE872BF27C 2 68-52074696D6520 8DA2EDAAEE4G97&C 43E934008C389COF 43E3&IOO8C389COF 3 G66F72206I6C6C20 258G4620ED54F02F 683788499A7CO5F6 MJ788I99A7C06F6 Примеры шифрования и дешифрования в режиме CFB даны в таблицах^ 5 и С6 соответственно Для этих примеров выбраны параметры /■>*■■8; k разрядов обратной связи показаны наклонным (курсивным) шрифтом Таблица С 5 — Режим СРВ. шифрование Открытый текст Р, Входной блок алгоритма Выходной блок алгоритма Шнфротокст С» 1 IE I234567880ABCDEF BD56I5G9AE874E25 F3 2 БЕ 34567890ABCDEFF3 7O3954GF9AOF6330 IF 3 77 567890ABCDEFF3/F ADIH78B0BB37IBE7 DA ГОСТ Р ИСО/МЭК 10116—93 Таблица Сб — Режим CFB, дешифрование i Шпфротскст Pi Входной блок алгоритма Выходной блок алгоритма Открытый текст С, 1 F3 123456789OABCDEF BD66I569AE87IE25 4Е 2 IF 3456AWOABCDEFF3 70395I6F9AOF6330 6Е 3 DA 56789OABCDEFF3/F AD! B78BOBB37IВЕ7 77 С 5 Режим OFB Примеры шифрования и дешифрования в режиме ОГВ даны в таблниахС7 и С >8 соответственно Для этих примеров выбран параметр Таблица С7 — Режим OFB, шифрование 1 Открытый текст Р, Входной блок алгоритма Выходной блок алгоритма Шифротскст С< ) 4E6F772Q69732074 1234567690ABCDEF BD66I569AEH74E25 F3396S49C7F46E51 2 G8662074696D6&20 BD66I569AE874E25 5D976A5CI478668IF 35F24A242EEB3D3F 3 635F72206I6C6C20 5D976A5047&J581F 6ВО229С3443694 ЕЗ 3D&D5BE32&5AR&C3 Таблица СВ — Режим OFB, дешифрование 1 Шифрогекст Л Входной блок алгоритма Выходной блок алгоритма Открытый текст С, 1 ГЭ096249С7Г46Е5) 1234567Н90ЛВС1)Е|- В1)61>|669АЕЛ74Е25 4E6F772069732O74 2 35F24A242EEB3O3F ВО661569ЛЕ874Е25 50976X50-1786581F (^3520746961)6520 3 3D6O5BE3t256AFBC3 50976X504786591Г 5ВО2Й9С3443О94ЕЗ 6661-7220616C6C 20 ГОСТ Р ИСО/МЭК 10116 ГОСТ Р ИСО/МЭК 10116—93 УДК 681 33:006.354 П85 Ключевые слова: информационная технология, режим работы, алгоритм n-разрядного блочного шифрования, алгоритм шифрования, защита передачи данных, хранение данных, подтверждение подлинности, режим работы с обратной связью, режим работы с обратной связью по выходу, открытый текст, шифротекст, связывание блоков, запускающая переменная, криптографическая синхронизация ОКСТУ 4002 Редактор Л. В. Афанасенко Технический редактор О. Н. Никитина Корректор Т. А. Васильева Сдано в наб 04 02.91 Подп. в печ. 06 04.94. Усл. п л. 1,40. Усл кр.отт 1,40. Уч.-изд. л. 1,20. Тир. 411 экз. С 1167. Ордена «Знак Почета» Издательство стандартов. 107076, Москва. Колодезный пер., 14. Калужская типография стандартов, ул. Московская. 256. Зак. 296
<28)