---

ГОСУДАРСТВЕННЫЙ СТАНДАРТ
СОЮЗА ССР

СИСТЕМЫ ОБРАБОТКИ
ИНФОРМАЦИИ.
ЗАЩИТА КРИПТОГРАФИЧЕСКАЯ

АЛГОРИТМ КРИПТОГРАФИЧЕСКОГО ПРЕОБРАЗОВАНИЯ

ГОСТ 28147—89

Издание официальное

ИПК ИЗДАТЕЛЬСТВО СТАНДАРТОВ Москва

СОДЕРЖАН И Е

1. Структурная схема алгоритма криптографического преобразования 1

2. Режим простой замены 4

3. Режим гаммирования 8

4. Режим гаммирования с обратной связью 11

5. Режим выработки имитовставки 14

Приложение 1. Термины, применяемые в настоящем стандарте, и их оп­ределения 16

Приложение 2. Значения констант Cl, С2 18

Приложение 3. Схемы программной реализации алгоритма криптографического преобразования 19

Приложение 4. Правила суммирования по модулю 2³² и по модулю (2³²— 1) 25ГОСУДАРСТВЕННЫЙ СТАНДАРТ СОЮЗА ССР

С

ГОСТ
28147-89

ИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ.
ЗАЩИТА КРИПТОГРАФИЧЕСКАЯ

Алгоритм криптографического преобразования

ОКП 40 4000

Дата введения 01.07.90

Настоящий стандарт устанавливает единый алгоритм криптогра­фического преобразования для систем обработки информации в сетях электронных вычислительных машин (ЭВМ), отдельных вы­числительных комплексах и ЭВМ, который определяет правила шиф­рования данных и выработки имитовставки.

Алгоритм криптографического преобразования предназначен для аппаратной или программной реализации, удовлетворяет криптогра­фическим требованиям и по своим возможностям не накладывает ограничений на степень секретности защищаемой информации.

Стандарт обязателен для организаций, предприятий и учрежде­ний, применяющих криптографическую защиту данных, хранимых и передаваемых в сетях ЭВМ, в отдельных вычислительных комплексах или в ЭВМ.

Термины, применяемые в настоящем стандарте, и их определения приведены в приложении 1.

1. СТРУКТУРНАЯ СХЕМА АЛГОРИТМА КРИПТОГРАФИЧЕСКОГО
   ПРЕОБРАЗОВАНИЯ

   1. Структурная схема алгоритма криптографического преобра­зования (криптосхема) содержит (см.черт. 1):

ключевое запоминающее устройство (КЗУ) на 256 бит, состоящее из восьми 32-разрядных накопителей (Х_о, X_t, Х₂, Х₂Х4, Х₅, Х₆, Х₇);

четыре 32-разрядных накопителя (tV|, N₂, N₃, TV₄);

П

Издание официальное

ерепечатка воспрещена

© Издательство стандартов, 1989 © И ПК. Издательство стандартов, 1996два 32-разрядных накопителя (N5, Л^,) с записанными в них постоянными заполнениями Су, С;

два 32-разрядных сумматора по модулю 2³² (СЛ/j, СЛ/₃);

32-разрядный сумматор поразрядного суммирования по модулю 2 (СЛ/₂);

32-разрядный сумматор по модулю (2^J2 — 1) (СЛ/₄);

сумматор по модулю 2(СЛ/₅), ограничение на разрядность сумма­тора СЛ/5 не накладывается;

блок подстановки (Л);

регистр циклического сдвига на одиннадцать шагов в сторону старшего разряда (/?).

КЗУ значение вводится в 1-й разряд накопителя Xq, значение вводится во 2-й разряд накопителя Х$, ... , значение ИЗ2 вводится в 32-й разряд накопителя Xq; значение И'зз вводится в 1-й разряд накопителя Х, значение вводится во 2-й разряд накопителя Х, ... , значение вводится в 32-й разряд накопителя Х^ значение Иб5 вводится в 1-й разряд накопителя Ху и т.д., значение вводится в 32-й разряд накопителя Ху.

Черт. 1

Заполнение таблиц блока подстановки К является долговремен­ным ключевым элементом, общим для сети ЭВМ.

Организация различных видов связи достигается построением соответствующей ключевой системы. При этом может быть исполь­зована возможность выработки ключей (заполнений К.ЗУ) в режиме простой замены и зашифрования их в режиме простой замены с обеспечением имитозащиты для передачи по каналам связи или хранения в памяти ЭВМ.

зашифрование (расшифрование) данных в режиме простой замены; зашифрование (расшифрование) данных в режиме гаммирования;

зашифрование (расшифрование) данных в режиме гаммирования с обратной связью;

режим выработки имитовставки.

Схемы программной реализации алгоритма криптографического преобразования приведены в приложении 3.

2. РЕЖИМ ПРОСТОЙ ЗАМЕНЫ

   1. Зашифрование открытых данных в режиме простой замены

      1. Криптосхема, реализующая алгоритм зашифрования в ре­жиме простой замены, должна иметь вид, указанный на черт.2.

Открытые данные, подлежащие зашифрованию, разбивают на блоки по 64 бита в каждом. Ввод любого блока Т_о = (а₁ (0), а₂(0), ..., а_3!(0), а₃₂(0), д](0), Л>₂(0), ... , £₃₂(0)) двоичной информации в накопители и А₂ производится так, что значение а^О) вводится в 1-й разряд N, значение а₂(0) вводится во 2-й разряд и т.д., значение а₃₂(0) вводится в 32-й разряд N; значение £](0) вводится в 1-й разряд Л/₂, значение />₂(0) вводится во 2-й разряд /V₂ и т.д., значение />₃₂(0) вводится в 32-й разряд А₂. В результате получают состояние (а₃₂(О), а₃₁(0), ... , а₂(0), Д|(0)) накопителя и состояние (/>₃₂(0), />₃₁ (0), ... , Z>i(0)) накопителя JV₂.

^ = (^2,^,, ...

= (wz₆₄, И4з, ... ,^з₄,^зз)

Л = (^256, и/₂₅₅,..., ц/₂₂₆, РГ₂₂₅)

В первом цикле начальное заполнение накопителя N суммирует­ся по модулю 2³² в сумматоре СМ с заполнением накопителя Х_о при этом заполнение накопителя N сохраняется.

Результат суммирования преобразуется в блоке подстановки К и полученный вектор поступает на вход регистра Л, где циклически сдвигается на одиннадцать шагов в сторону старших разрядов. Ре­зультат сдвига суммируется поразрядно по модулю 2 в сумматоре СЛ/₂ с 32-разрядным заполнением накопителя А₂. Полученный в СЛ/₂ результат записывается в N, при этом старое заполнение N перепи­сывается в А₂. Первый цикл заканчивается.

Последующие циклы осуществляются аналогично, при этом во 2-м цикле из КЗУ считывается заполнение X_t, в 3-м цикле из КЗУ считывается заполнение Ху и т.д., в 8-м цикле из КЗУ считывается заполнение Ху. В циклах с 9-го по 16-й, а также в циклах с 17-го по 24-й заполнения из КЗУ считываются в том же порядке:

ад, ад,ад,ад₇.

В последних восьми циклах с 25-го по 32-й порядок считывания заполнений КЗУ обратный:

ад₆,ад₄,ад₂,ад₀.

Таким образом, при зашифровании в 32 циклах осуществляется следующий порядок выбора заполнений накопителей:

ад, ад,ад,ад, ад, ад,ад₅,ад,
ад, ад,ад,ад, ад₆,ад₄,ад₂,ад₀.

Черт. 2

В 32 цикле результат из сумматора СМ2 вводится в накопитель N2, а в накопителе сохраняется старое заполнение.

Полученные после 32-го цикла зашифрования заполнения нако­пителей N и Л/₂ являются блоком зашифрованных данных, соответ­ствующим блоку открытых данных.

*(/) = (а(/- О _{mod8))^®^fc0- О

b(j) = a(j- 1)

при j ~ 1 -24;

J a(j) = (a(j~ 1) Ш X_O2__n)KR®b(j - 1) ]_*(/) =а и - і)

при j = 25 -і- 3 1;

а (32) =а (31)

b (32) = (д(31)Ш X_q)KR® b (Зі)

при j = 32,

где а(0) = (<2₃₂(0), а₃₁(0), ... , Д](0)) — начальное заполнение Wj перед первым циклом зашифрования;

6(0) = (6₃₂(0), 6_3](0), ... , 6](0)) — начальное заполнение N2 перед первым циклом зашифрования;

a(j) = (032(7), 031(7), , 0j (/')) —заполнение N_l после у-го цикла

зашифрования;

b(j) — (632(7), ^зі(/)> , b(j)) — заполнение N2 после у-го цикла

зашифрования, у = 132.

Знак ® означает поразрядное суммирование 32-разрядных векто­ров по модулю 2.

Знак И означает суммирование 32-разрядных векторов по мо­дулю 2³². Правила суммирования по модулю 2³² приведены в прило­жении 4;

R — операция циклического сдвига на одиннадцать шагов в сто­рону старших разрядов, т.е.

^(^/’32,^г31,^г30>^/,29,^г28,^г27,^г26,^г25,^г24,^/'23, ^г22,^г21,^г20>

⁼(^r2l,^r20> , ^r2,^rl>^/32,^,'31,^/30,^/29,^,'28,^/'27,^/26,^,25,^r24,^r23>^/22)-

Т_ш = (а,(32),а₂(32), «_З2(32), £,(32), £₂(32), 6₃₂(32)).

Остальные блоки открытых данных в режиме простой замены зашифровываются аналогично.

Т_ш= (а,(32),«₂(32), ..., «_З2(32), 6,(32), £₂(32), ..., 6₃₂(32))

в накопители Л', и У₂ производятся так, что значение а,(32) вводится в 1-й разряд 7V,, значение ау(32) вводится во 2-й разряд У, и т.д., значение «32(32) вводится в 32-й разряд У,; значение £,(32) вводится в 1-й разряд У₂^{и Т}-Д-, значение £₃₂(32) вводится в 32-й разряд У₂.

ад, х₂,х₃,х₄,х₅,х₆,х₇, ад,ад,ад,ад,
ад,ад,ад,ад, х₇,х₆,х₅,х₄,х₃,х₂,х₁,х₀.

Г а(32—/) = (а(32-/ + 1) Ш ,) KR Ф 6(32-/ + 1)

I 6(32—/) =д(32 -/ + 1)

при j = 1 + 8;

. «(32- /) = («(32 - / + 1) fflX₍₃₂__/)(mod8))^®6(32-/ ₊ 1)

6(32 —/) =в(32 —/+1)

при /=9-5-31;

а(0)=а(1)

6(0) = (а (І)ШЛо)КЛФб(І)

при / = 32.

Tq - (°1(0), О2(0), — , «32(0), £1(0), £₂(0), ... , £зг(О)), соответствую­щий блоку зашифрованных данных, при этом значение «1(0) блока То соответствует содержимому 1-го разряда N, значение о₂(0) соот­ветствует содержимому 2-го разряда N и т.д., значение а₃г(0) соот­ветствует содержимому 32-го разряда Л/]; значение Ь(0) соответствует содержимому 1-го разряда N2, значение />₃(0) соответствует содержи­мому 2-го разряда Л2 и т.д., значение />₃₃(0) соответствует содержи­мому 32-го разряда N₂.

Аналогично расшифровываются остальные блоки зашифрован­ных данных.

А (Т_о) = А (а (0), b (0)) = (а (32), b (32)) = Т_т.

2А. Режим простой замены допускается использовать для зашиф­рования (расшифрования) данных только в случаях, приведенных в п.1.7.

3. РЕЖИМ ГАММИРОВАНИЯ

   1. Зашифрование открытых данных в режиме гаммирования

      1. Криптосхема, реализующая алгоритм зашифрования в ре­жиме гаммирования, имеет вид, указанный на черт.З.

Открытые данные, разбитые на 64-разрядные блоки 7у>, 7р> ..., 7]М)₍ зашифровываются в режиме гаммирования путем пораз­рядного суммирования по модулю 2 в сумматоре СЛ/₅ с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита, т.е.