[Из песочницы] В ГОСТе сидел «Кузнечик»07.09.2015 15:48

В июне этого года в России был принят новый стандарт блочного шифрования — ГОСТ Р 34.12–2015. Этот стандарт помимо старого доброго ГОСТ 28147–89, который теперь называется «Магма» и имеет фиксированный набор подстановок, содержит описание блочного шифра «Кузнечик». О нем я и расскажу в этом посте.
В отличие от ГОСТ 28147–89 новый шифр представляет собой не сеть Фейстеля, а т.н. SP-сеть: преобразование, состоящее из нескольких одинаковых раундов, при этом каждый раунд состоит из нелинейного и линейного преобразований, а также операции наложения ключа. В отличие от сети Фейстеля, при использовании SP-сети преобразуется весь входной блок, а не его половина. Такая структура иногда также называется AES-like (похожей на AES), однако, в отличие от последнего у «Кузнечика» есть ряд своих «фишек»:

  • линейное преобразование может быть реализовано в с помощью регистра сдвига;
  • ключевая развертка реализована с помощью сети Фейстеля, в которой в качестве функции используется раундовое преобразование исходного алгоритма.


Длина входного блока «Кузнечика» — 128 бит, ключа — 256 бит.

Преобразования


Шифрование основано на последовательном применении нескольких однотипных раундов, каждый из которых содержит три преобразования: сложение с раундовым ключом, преобразование блоком подстановок и линейное преобразование.

128-битный входной вектор очередного раунда складывается побитно с раундовым ключом:

de776018de3e4f4b851eaa7c21a63cd9.png

Нелинейное преобразование представляет собой применение к каждому 8-битному подвектору 128-битного входного вектора фиксированной подстановки:

f62e0916c4004ca8bc769475afbf6960.png

В «Кузнечике» используется та же подстановка, что и в хэш-функции «Стрибог».

Линейное преобразование, как я уже сказал, может быть реализовано не только как обычно в блочных шифрах — матрицей, но и с помощью РСЛОС — линейного регистра сдвига с обратной связью, который движется 16 раз.

7620c977dd064fc5b6428d13572d58c1.png

Сам регистр реализуется над полем Галуа по модулю неприводимого многочлена степени 8: b0fa5f1aebb14383a09dc7dd493dd6f0.png:

7f2d3e32f5d14ffd9f5272268b8d5b0e.png

Раундовое преобразование можно изобразить следующим образом:

49d03ca787f74c9591d789c8c74c2376.png

Выработка раундовых ключей


Рассмотрим теперь процедуру генерации раундовых ключей из мастер-ключа. Первые два получаются разбиением мастер-ключа пополам. Далее для выработки очередной пары раундовых ключей используется 8 итераций сети Фейстеля, где, в свою очередь, в качестве раундовых ключей используется счетчиковая последовательность, прошедшая через линейное преобразование алгоритма:

81cdd0d801754b7893481768425273d9.png
a2864264e3be46f9ab1fc1d676e04fbf.png
7e04876de820463bbf83926172848589.png

Раунд ключевой развертки можно представить следующим образом:

0d1895e83af94ab7ac60d3c13cd2509d.png

А всю процедуру выработки раундовых ключей так:

e11d1e2b21d8417bb3e81a4e34001285.png

Шифрование и расшифрование


В результате, шифрование одного 128-битного входного блока описывается следующим уравнением:

c975db8e31a446fa985a992f101aeb1d.png

А в виде блок-схемы может быть представлено так:

1203fcc8f1c9483aa1055f70138aa2b3.png

Расшифрование реализуется обращением базовых преобразований и применением их в обратном порядке:

c30ac9a84ac1437492cd0d744de7c722.png

Ссылки


© Habrahabr.ru