Режим гаммирования

Зашифрование открытых данных в режиме гаммирования. Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования, показана на рис.3.13. Открытые данные разбивают на 64‑разрядные блоки

Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀⁽ⁱ⁾,..., Т₀^(m),

где Т₀⁽ⁱ⁾ – i-й 64-разрядный блок открытых данных, i = 1…m, m определяется объемом шифруемых данных.

Эти блоки поочередно зашифровываются в режиме гаммирования путем поразрядного сложения по модулю 2 в сумматоре СМ₅ с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита, т.е.

Г_ш=(Г_ш⁽¹⁾, Г_ш⁽²⁾,..., Г_ш⁽ⁱ⁾, Г_ш^(m)),

где Г_ш⁽ⁱ⁾ – i-й 64-разрядный блок, i = 1…m.

Рисунок 3.13 – Схема реализации режима гаммирования

Число двоичных разрядов в блоке Т₀^(m) может быть меньше 64, при этом неиспользованная для зашифрования часть гаммы шифра из блока Г_ш^(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования имеет вид

Т_ш⁽ⁱ⁾ = Т₀⁽ⁱ⁾  Г_ш⁽ⁱ⁾,

где Г_ш⁽ⁱ⁾=А(Y_i–1 ⊞ C₂, Z_i–1 ⊞´C₁),i=1…m; Т_ш⁽ⁱ⁾ – i-й блок 64-разрядного блока зашифрованного текста; А(·) – функция зашифрования в режиме простой замены; С₁, С₂ – 32-разрядные двоичные константы; Y_i, Z_i– 32‑разрядные двоичные последовательности.

Величины Y_i, Z_i определяются итерационно по мере формирования гаммы Г_ш следующим образом:

(Y₀, Z₀) = А (),

где – синхропосылка (64-разрядная двоичная последова-тельность),

(Y_i, Z_i) = (Y_i–1 ⊞ С₂, Z_i–1 ⊞ C₁), i= 1…m.

Рассмотрим реализацию процедуры зашифрования в режиме гаммирования. В накопители N₆ и N₅ заранее записаны 32-разрядные двоичные константы С₁ и С₂, имеющие следующие значения (в шестнадцатеричной форме):

С₁ = 01010104₍₁₆₎, С₂ = 01010101₍₁₆₎.

В КЗУ вводится 256 бит ключа; в накопители N₁ и N₂ – 64-разрядная двоичная последовательность (синхропосылка)

= (S₁, S₂,..., S₆₄).

Синхропосылка является исходным заполнением накопителей N₁ и N₂ для последовательной выработки m блоков гаммы шифра.

Исходное заполнение накопителя N₁:

(S₃₂, S₃₁,...,S₂, S₁);

32, 31,..., 2, 1  номер разряда N₁

исходное заполнение накопителя N₂:

(S₆₄, S₆₃,..., S₃₄, S₃₃).

64, 63,..., 34, 33  номер разряда N₂

Исходное заполнение N₁ и N₂ (синхропосылка ) зашифровывается в режиме простой замены. Результат зашифрования

A() = (Y₀, Z₀)

переписывается в 32-разрядные накопители N₃ и N₄ так, что заполнение N₁ переписывается в N₃, а заполнение N₂ – в N₄.

Заполнение накопителя N₄ суммируют по модулю (2³² –1) в сумматоре СМ₄ с 32-разрядной константой С₁ из накопителя N₆. Результат записывается в N₄. Заполнение накопителя N₃ суммируется по модулю 2³² в сумматоре СМ₃ с 32-разрядной константой С₂ из накопителя N₅. Результат записывается в N₃. Заполнение N₃ переписывают в N₁, а заполнение N₄ – в N₂, при этом заполнения N₃, N₄ сохраняются. Заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены.

Полученное в результате зашифрования заполнение накопителей N₁, N₂ образует первый 64-разрядный блок гаммы шифра Г_ш⁽¹⁾=(₁⁽¹⁾, ₂⁽¹⁾,..., ₆₃⁽¹⁾, ₆₄⁽¹⁾), который суммируют поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных

Т₀⁽¹⁾ = (t₁⁽¹⁾, t₂⁽¹⁾,..., t₆₃⁽¹⁾, t₆₄⁽¹⁾).

В результате суммирования по модулю 2 значений Г_ш⁽¹⁾ и Т₀⁽¹⁾ получают первый 64-разрядный блок зашифрованнных данных:

Т_ш⁽¹⁾ = Г_ш⁽¹⁾  Т₀⁽¹⁾ = (₁⁽¹⁾, ₂⁽¹⁾,..., ₆₃⁽¹⁾, ₆₄⁽¹⁾),

где _i⁽¹⁾ = t_i⁽¹⁾  _i⁽¹⁾, i = 1…64.

Для получения следующего 64-разрядного блока гаммы шифра Г_ш⁽²⁾ заполнение N₄ суммируется по модулю (2³² –1) в сумматоре СМ₄ с константой С₁ из N₆. Результат записывается в N₄. Заполнение N₃ суммируется по модулю 2³² в сумматоре СМ₃ с константой С₂ из N₅. Результат записывается в N₃. Новое заполнение N₃ переписывают в N₁, а новое заполнение N₄ – в N₂ , при этом заполнения N₃ и N₄ сохраняют. Заполнения N₁, N₂ зашифровывают в режиме простой замены.

Полученное в результате зашифрования заполнение накопителей N₁ и N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ со вторым блоком открытых данных Т₀⁽²⁾:

Т_ш⁽²⁾ = Г_ш⁽²⁾  Т₀⁽²⁾.

Аналогично вырабатываются блоки гаммы шифра Г_ш⁽³⁾, Г_ш⁽⁴⁾,..., Г_ш^(m) и зашифровываются блоки открытых данных Т₀⁽³⁾, Т₀⁽⁴⁾,..., Т₀^(m).

В канал связи или память ЭВМ передаются синхропосылка и блоки зашифрованных данных

Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m).

Расшифрование в режиме гаммирования. При расшифровании криптосхема имеет тот же вид, что и при зашифровании (см. рис.3.13).

Уравнение расшифрования:

Т₀⁽ⁱ⁾ = Т_ш⁽ⁱ⁾  Г_ш⁽ⁱ⁾ = T_ш⁽ⁱ⁾  A (Y_i–1 ⊞ C₂, Z_i–1 ⊞´ C₁), i = 1…m.

Следует отметить, что расшифрование данных возможно только при наличии синхропосылки, которая не является секретным элементом шифра и может храниться в памяти ЭВМ или передаваться по каналам связи вместе с зашифрованными данными.

Рассмотрим реализацию процедуры расшифрования. В КЗУ вводят 256 бит ключа, с помощью которого осуществляется зашифрование данных Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m). В накопители N₁ и N₂ вводится синхропосылка, и осуществляется процесс выработки m блоков гаммы шифра Г_ш⁽¹⁾, Г_ш⁽²⁾,..., Г_ш^(m). Блоки зашифрованных данных Т_ш⁽¹⁾, Т_ш⁽²⁾,..., Т_ш^(m) суммируются поразрядно по модулю 2 в сумматоре СМ₅ с блоками гаммы шифра Г_ш⁽¹⁾,..., Г_ш^(m). В результате получаются блоки открытых данных

Т₀⁽¹⁾, Т₀⁽²⁾,..., Т₀^(m);

при этом Т₀^(m) может содержать меньше 64 разрядов.