Р 1323565.1.026-2019
Группа П85
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Информационная технология
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Режимы работы блочных шифров, реализующие аутентифицированное шифрование
Information technology. Cryptographic data security. Authenticated encryption block cipher operation modes
ОКС 35.040
ОКСТУ 5002
Дата введения 2019-12-01
Предисловие
1 РАЗРАБОТАНЫ Центром защиты информации и специальной связи ФСБ России при участии Общества с ограниченной ответственностью "КРИПТО-ПРО" (ООО "КРИПТО-ПРО")
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2019 г. N 646-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящие рекомендации содержат описание режима работы блочных шифров. Данный режим определяет правила криптографического преобразования данных и выработки имитовставки для сообщений произвольной длины.
Необходимость разработки настоящих рекомендаций вызвана потребностью в определении режима работы блочных шифров, осуществляющего одновременно шифрование и выработку имитовставки, соответствующего современным требованиям к криптографической стойкости.
Примечание - Основная часть настоящих рекомендаций дополнена приложениями А и Б.
1 Область применения
Режим работы блочных шифров, определенный в настоящих рекомендациях, рекомендуется использовать при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.
2 Нормативные ссылки
В настоящих рекомендациях использована нормативная ссылка на следующий стандарт:
ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Обозначения и сокращения
3.1 Обозначения
В настоящих рекомендациях использованы следующие обозначения:
| - | множество битовых строк длины |
| - | множество всех битовых строк конечной длины, включая пустую строку; |
| - | множество байтовых строк длины |
| - | длина битовой строки |
|| | - | конкатенация битовых строк; если |
| - | битовая строка длины |
| - | операция покомпонентного сложения по модулю 2 двух битовых строк одинаковой длины; |
| - | битовая строка, являющаяся результатом покомпонентного сложения по модулю 2 битовых строк одинаковой длины. Суммой строк |
- | кольцо вычетов по модулю | |
| - | отображение, ставящее в соответствие битовой строке |
| - | отображение, ставящее в соответствие битовой строке |
| - | отображение, обратное к отображению |
| - | отображение, реализующее базовый блочный шифр и осуществляющее преобразование блока открытого текста |
| - | отображение, реализующее функцию зашифрования с использованием ключа |
| - | параметр блочного шифра, называемый длиной ключа, в рамках настоящих рекомендаций измеряемый в битах; |
- | параметр блочного шифра, называемый длиной блока, в рамках настоящих рекомендаций измеряемый в битах и соответствующий значению 64 или 128; | |
| - | отображение, ставящее в соответствие строке |
| - | операция сложения в кольце |
| - | отображение, ставящее в соответствие двум строкам |
| - | отображение, сопоставляющее строке |
| - | отображение, сопоставляющее строке |
| - | - биективное отображение, ставящее в соответствие битовой строке |
| - | биективное отображение, обратное к отображению BitToByte. |
; нумерация подстрок и компонент строки осуществляется слева направо, начиная с единицы. При 
состоит из единственной пустой строки длины 0;
. Строка 
принадлежит множеству 
, если 
; при этом элементы 
называются байтами строки 
состоит из единственной пустой строки длины 0;
(если 
=0);
, 
, то 
называется строка 
;
, 
, 
;
называется строка 
;
;
строку 
, 
;
число 
;
;
с использованием ключа (шифрования) 
в блок шифртекста 
;
, т.е. 
для всех 
;
строку 
;
и 
, 
, строку 
, 
; строка 
, который является результатом умножения двух многочленов 
и 
в поле 
; для 
, для 
;
, где 
, строку 
;
, где 
, строку 
1);
, 
, байтовую строку 
, 
, где 
, 
называется байтовым представлением строки 
3.2 Сокращения
В настоящих рекомендациях применены следующие сокращения:
- AAD - (Additional Authenticated Data) - дополнительные имитозащищаемые данные;
- AEAD - (Authenticated Encryption with Associated Data) шифрование с имитозащитой и ассоциированными данными;
- nonce - (number used once) уникальный вектор.
4 Общие положения
Настоящие рекомендации определяют режим MGM (Multilinear Galois Mode) - режим работы блочного шифра. Данный режим можно использовать в качестве режима работы блочного шифра с длиной блока =64 или
=128. Для определенных в ГОСТ Р 34.12-2015 блочных шифров "Магма" и "Кузнечик", используемых в режиме MGM, выделены идентификаторы 1.2.643.7.1.1.5.1.3 (id-tc26-cipher-gostr3412-2015-magma-mgm) и 1.2.643.7.1.1.5.2.3 (id-tc26-cipher-gostr3412-2015-kuznyechik-mgm) соответственно.
Данный режим является AEAD-режимом и обеспечивает конфиденциальность и имитозащиту сообщений. При этом сообщения могут состоять из одной или двух частей. Если сообщение состоит из двух частей, то первая часть содержит дополнительные имитозащищаемые данные AAD и обозначается через 
, а вторая часть называется открытым текстом и обозначается через 
. Если сообщение состоит из одной части, то пустой строке должны быть равны либо дополнительные имитозащищаемые данные, либо открытый текст. Дополнительные имитозащищаемые данные не подлежат шифрованию, но требуют имитозащиты. Для открытого текста обеспечены конфиденциальность и имитозащита.
Параметром режима MGM является длина имитовставки 
, выраженная в битах, 
. Значение 
должно быть зафиксировано в рамках каждого конкретного протокола исходя из требований к производительности системы и требований к стойкости режима относительно угрозы нарушения имитозащиты.
5 Режим MGM
5.1 Зашифрование
Процесс зашифрования сообщения, изображенный на рисунке 1, осуществляется при помощи функции MGM-Encrypt.
Функция MGM-Encrypt принимает на вход следующие значения:
- ключ шифрования 
;
- уникальный вектор 
. Значение вектора 
должно быть уникальным для каждого сообщения при фиксированном ключе 
. Выработка уникальных векторов может быть реализована с использованием счетчика;
- дополнительные имитозащищаемые данные А, 
. Дополнительные имитозащищаемые данные разбивают на 
блоков и представляют в виде 
, где 
, =1,2,...,
, 
, 
. Если длина дополнительных имитозащищаемых данных нулевая, то последний блок 
равен пустой строке, а значения параметров 
и устанавливаются следующим образом:
=0, 
;
- открытый текст 
, 
. Открытый текст разбивают на 
блоков и представляют в виде 
, где 
, =1,2,...,
, 
, 
. Если длина открытого текста нулевая, то последний блок открытого текста 
равен пустой строке, а значения параметров 
и устанавливаются следующим образом:
=0, 
.
