Стандарт России — ГОСТ 28147-89

ГОСТ 28 147–89 — это блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. В криптоалгоритме также используется дополнительный ключ, который рассматривается ниже. Для шифрования открытый текст сначала разбиваеться на левую и правую половины L и R. На i-м цикле используется подключ K_i:

L_i=R_i-1,.

R_i=L_i-1 XOR (f(R_i-1, K_i)).

Один цикл криптографического преобразования показан на рис. 7.

Рис 7.

Функция f реализована следующим образом. Сначала правая половина и i-й складываются по модулю 2³². Результат разбивается на восемь 4-битовых подпоследовательностей, каждая из которых поступает на вход своего S-блока. ГОСТ использует восемь различных S-блоков, первые 4 бита попадают в первый S-блок, вторые 4 бита — во второй S-блок и т. д. Каждый S-юлок представляет собой перестановку чисел от 0 до 15. Например, S-блок может выглядеть так: 7,10,2,4,15,9,0,3,6,12,5,13,1,8,11. В этом случае, если на входе S-блока 0, то на выходе 7. Если на входе 1, то на выходе 10 и т. д. Все восемь S-блоков различны, они фактически являются дополнительным ключевым материалом.

Выходы всех восьми S-блоков объединяются в 32-битное слово, затем все слово циклически сдвигается влево на 11 битов. Наконец, результат объединяется с помощью операции XOR с левой половиной, и получается новая правая половина, а правая половина становиться новой левой половиной. Для генерации подключей исходный 256-битный ключ разбивается на восемь 32-битных блоков: k₁, k₂,., k₈. На каждом цикле используется свой подключ.

Дешифрование выполняется так же, как и шифрование, но инвертируется порядок подключей k_i. Стандарт не определяет способ генерации S-блоков.

Главные различия меду DES и ГОСТом заключаются в следующем: DES использует сложную процедуру для генерации подключей из ключей.

В ГОСТе эта процедура очень проста; в DES 56-битный ключ, а в ГОСТе — 256-битный. Если добавить секретные перестановки S-блоков, то полный объем секретной информации ГОСТа составляет примерно 610 бит; у S-блоков DES 6-битные входы и 4-битные выходы, а у S-блоков ГОСТа 4-битные входы и выходы. В обоих алгоритмах используется по восемь S-блоков, но размер S-блока ГОСТа равен четверти размера S-блока DES; в DES используется нерегулярные перестановки, названные P-блоком, а в ГОСТе используется 11-битный циклический сдвиг влево; в DES 16 циклов, а в ГОСТе — 32.

Силовая атака на гост абсолютно бесперспективна. ГОСТ использует 256 битный ключ, а если учитывать секретные S-блоки, то длина ключа будет еще больше.

ГОСТ, по-видимому более устойчив к дифференциальному и линейному криптоанализу, чем DES. Хотя случайные S-блоки при некотором выборе не гарантируют высокой криптостойкости по сравнению с фиксированными S-блоками DES, их секретность увеличивает устойчивость ГОСТа к дифференциальному и линейному криптоанализу. К тому же эффективность этих криптоаналитических методов зависит от количества циклов преобразования — чем больше циклов, тем труднее криптоанализ. ГОСТ использует в два раза больше циклов, чем DES, что, возможно, приводит к несостоятельности дифференциального и линейного криптоанализа. ГОСТ не использует существующую в DES перестановку с расширением. Удаление этой перестановки из DES ослабляет его из-за ументшения лавинного эффекта; разумно предположить, что отсутствие такой операции в ГОСТе отрицательно сказывается на его криптостойкости. С точки зрения криптостойкости операция арифметического сложения, используемая в ГОСТе, не хуже, чем операция XOR в DES. Основным различием представляется использование в ГОСТе циклического сдвига вместо перестановки. Перестановка DES увеличивает лавинный эффект. В ГОСТе изменение одного входного бита влияет на один S-блок одного цикла преобразования, который затем влияет на два S-блока следующего цикла, затем на три блока следующего цикла и т. д. Потребуется восемь циклов, прежде чем изменение одного входного бита повлияет на каждый бит результата; в DES для этого нужно только пять циклов. Однако ГОСТ состоит из 32 циклов, а DES только из 16. Разработчики ГОСТа пытались достигнуть равновесия между криптостойкостью и эффективностью. Взяв за основу конструкцию Фейстеля, они разработали криптоалгоритм, который лучше, чем DES, подходит для программной реализации. Для повышения криптостойкости введен сверхдлинный ключ и удвоено число циклов. Однако вопрос, увенчались ли усилия разработчиков созданием более криптостойкого, чем DES, криптоалгоритма, остается открытым.

Так же существуют другие известные блочные шифры, такие как RC2, RC5, IDEA, SAFER, FEAL, Skipjack, Blowfish, REDOC, LOKI, Khufu и др. Но такого распространения как ГОСТ и DES они не получили, из-за этого рассматривать мы их не будем.

Асимметричные криптосистемы