Задание данного раздела предусматривает зашифрование открытого сообщения с присоединенной к нему цифровой подписью в одном из предлагаемых ниже режимов 1-14.

1. Режим электронной кодовой книги – ЕСВ (Electronic Code Book). В ГОСТ 28147-89 этот режим называется режимом простой замены.

Режим ЕСВ – простейший режим шифрования. Все блоки открытого текста шифруются независимо друг от друга. Уравнения зашифрования и расшифрования имеют вид (см. рис. 1):

 

(а) Зашифрование

 

(б) Расшифрование

Рис.1. Режим электронной кодовой книги ЕСВ

2. Режим сцепления блоков шифртекста – СВС (Cipher Block Chaining). Уравнения зашифрования и расшифрования имеют вид (см. рис.2):

C_i:= E_k(P_i Å C_i-1),

P_i:= D_k(C_i) Å C_i-1,

Здесь С₀ – блок, значение которого известно как отправителю, так и получателю сообщения. Блок С₀ называют вектором инициализации (iv – initial vector, русский термин – синхропосылка). Рекомендуется для каждого сообщения выбирать уникальный вектор инициализации (используя, например, метку времени) и передавать его получателю в зашифрованном виде.

(a) Зашифрование (б) Расшифрование

Рис.2. Режим сцепления блоков шифртекста СВС

 

3. Режим обратной связи по шифртексту – CFB (Cipher Feed Back). В ГОСТ 28147-89 аналогичный режим называется режимом гаммирования с обратной связью. Уравнения зашифрования и расшифрования имеют вид (см. рис.3):

C_i:= P_i Å E_k(C_i-1),

P_i:= C_i Å E_k(C_i-1),

Значение С₀ задается при помощи вектора инициализации и передается получателю в открытом виде.

Рис.3. Режим обратной связи по шифртексту CFB

 

4. Режим обратной связи по выходу – OFB (Output Feed Back). Уравнения зашифрования и расшифрования имеют вид (см. рис.4а):

С_i:= P_i Å g_I,

P_i:= C_i Å g_I,

Последовательность g₁, g₂, …, называемая гаммой шифра, вырабатывается по правилу:

g_i:= E_k(g_i-1),

Значение g₀, задаваемое вектором инициализации (синхропосылкой), должно быть уникальным для каждого сообщения, но сохранять его в тайне не обязательно.

5. Режим счетчика – Counter. В ГОСТ 28147-89 ему соответствует режим гаммирования. Уравнения зашифрования и расшифрования имеют вид (см. рис.4б):

С_i:= P_iÅg_i,

P_i:= C_iÅg_i,

Гамма шифра g₁, g₂,… вырабатывается по правилу:

g_i = E_k(s_i),

где s_i – некоторая последовательность чисел, определяемая формулой s_i=s_i-1+1 либо каким-либо другим способом.

 

(а) (б)

Рис.4. (а) Зашифрование в режиме OFB; (б) зашифрование в режиме счетчика (ГПК – генератор псевдослучайных кодов). Расшифрование осуществляется аналогично

 

6. Режим сцепления блоков открытого текста – РВС (Plaintext Block Chaining) – является обратным к режиму СВС. Уравнения зашифрования и расшифрования имеют вид (см. рис.5):

С_i:= E_k(P_i)Å P_i-1, ;

P_i:= D_k(C_iÅ P_i-1),

Значение Р₀ задается вектором инициализации (синхропосылкой).

(a) Зашифрование (б) Расшифрование

Рис.5. Режим сцепления блоков открытого текста РВС

 

7. Режим обратной связи по открытому тексту – PFB (Plaintext Feed Back) – является обратным к режиму CFB. Уравнения зашифрования и расшифрования имеют вид (см. рис.6):

С_i:= P_iÅE_k(P_i-1),

P_i:= C_iÅE_k(P_i-1),

Значение Р₀ задается вектором инициализации (синхропосылкой).

 

Рис.6. Режим обратной связи по открытому тексту PFB

 

8. Режим усиленного сцепления блоков шифртекста – модификация режима СВС. Уравнения зашифрования и расшифрования имеют вид

С_i:= P_i-1 Å E_k(P_i Å C_i-1),

P_i:= C_i-1 Å D_k(C_i Å P_i-1),

Значения С₀ и Р₀ задаются векторами инициализации (синхропосылками).

 

 

(a) Зашифрование (б) Расшифрование

Рис.7. Режим усиленного сцепления блоков шифртекста

 

9. Режим сцепления блоков шифртекста с распространением ошибки – РСВС (Propagating Cipher Block Chaining), как и предыдущий режим, является модификацией режима СВС. Уравнения зашифрования и зашифрования имеют вид (см. рис.8):

C_i:= E_k(P_i Å P_i-1ÅC_i-1),

P_i:= D_k(C_i)Å C_i-1ÅP_i-1,

Значение С₀ Å Р₀ задается вектором инициализации.

 

(а) Зашифрование (б) Расшифрование

Рис.8. Режим сцепления блоков шифртекста с распространением ошибки РСВС

 

10. Режим нелинейной обратной связи по выходу – OFBNLF (Output Feed Back with Nonlinear Function) – смешанный вариант режимов OFB и ECB, где ключ изменяется в каждом блоке. Уравнения зашифрования и расшифрования имеют вид (см. рис.9):

C_i:=E_ki(P_i), k_i=E_k(k_i-1),

P_i:=D_ki(C_i), k_i=E_k(k_i-1),

Значение k₀ задается вектором инициализации (синхропосылкой).

 

(а) Зашифрование (б) Расшифрование

Рис.9. Режим нелинейной обратной связи по выходу OFBNLF

 

11. Режим счетчика с нелинейной функцией – CNLF (Counter with Nonlinear Function). Уравнения зашифрования и расшифрования имеют вид (см. рис.10):

C_i:=E_ki(P_i), k_i=E_k(s_i),

P_i:=D_ki(C_i), k_i=E_k(s_i),

Последовательность s₁, s₂, … вырабатывается, например, по правилу s_i=s_i-1+1 либо каким-нибудь другим способом (например, с использованием ГПК – генератора псевдослучайных кодов), исходя из начального значения s₀, заданного вектором инициализации (синхропосылкой).

 

 

(а) Зашифрование (б) Расшифрование

Рис.10. Режим счетчика с нелинейной функцией CNLF

 

12. Режим сцепления блоков – ВС (Block Chaining mode). Уравнения зашифрования и расшифрования имеют вид (см. рис.11):

С_i:=E_k(P_i Å F_i),

P_i:=D_k(C_i) Å F_i,

Значение F₁ задается вектором инициализации, а F_i=F_i-1Å C_i-1 при .

 

 

(а) Зашифрование (б) Расшифрование

Рис.11. Режим сцепления блоков ВС mode

 

13. Режим заимствования шифрованного текста – CTS (Cipher Text Stealing) – модификация режима СВС, допускающая обработку текста любой длины и генерирующая шифртекст точно такой же длины.

Пусть Р=Р₁Р₂…Р_m-1P_m – открытый текст, разбитый на блоки Р_i, 1£i£m, где Р_m – неполный блок, имеющий длину q битов вместо положенной длины n битов для полного блока, q<n. Шифртекст С=С₁ С₂ … С_m-1 C_m, где C_m – неполный блок длины q, получается по схеме (см. рис.12):

1) первые m-2 блоков Р_i шифруются с помощью стандартной техники СВС:

С_i:=E_k(P_iÅC_i-1),

2) шифруется побитовая сумма блоков Р_m-1 и C_m-2:

X:=E_k(P_m-1ÅC_m-2);

в блоке Х выбираются первые q битов, которые образуют неполный блок С_m;

3) блок Р_m дополняется нулями до полного блока и суммируется с блоком Х; результат шифруется, что дает блок С_m-1:

C_m-1:=E_k((P_m || 0) Å X).

Расшифрование выполняется по схеме:

1) P_i:=D_k(C_i)ÅC_i-1,

2) X:=D_k(C_m-1)Å(C_m||0);

3) P_m образуют первые битов блока ;

4) P_m-1:=D_k(C_m||X′)Å C_m-2,

где X′ - блок, образованный последними битами блока .

 

(а) Зашифрование (б) Расшифрование

Рис.12. Режим CTS (зашифрование и расшифрование двух последних блоков; начальные блоки шифруются в режим СВС)

14. Вероятностное шифрование. Основным недостатком режима СВС является тот факт, что одинаковые блоки шифруются одинаково. Чтобы устранить этот недостаток и повысить стойкость шифрования, можно использовать вероятностное шифрование, суть которого заключается в подмешивании случайных данных к шифруемому сообщению.

Пусть обозначает некоторую функцию шифрования t-битового блока данных под управлением ключа К, – обратную функцию, R – r-битовый случайный (псевдослучайный) блок, генерируемый датчиком случайных чисел ДСЧ, Р – s‑битовый блок шифруемых данных, С – (r+s)‑битовый блок шифртекста, результат зашифрования блока Р, (R,P)ºR||P – конкатенацию блоков R и Р. Некоторые варианты вероятностного шифрования представлены на рис.13 и 14.

В первом варианте блок P следующим образом преобразуется в блок C шифртекста:

Т:= (Р); С:= (R||T).

Расшифрование выполняется по схеме:

(R,T):= (C); P:= (T).

Во втором варианте блок R разбивается на два блока: r₁‑битовый R₁ и r₂‑битовый R₂, а блок P следующим образом преобразуется в блок C шифртекста:

T:= (R₂||P); C:= (R₁||T).

Расшифрование выполняется по схеме:

(R₁,T):= (C); (R₂,P):= (T).

 

Рис.13. Схема с предварительным шифрованием данных под управлением случайного ключа

Рис.14. Двухступенчатое вероятное шифрование

 

Еще один вариант представлен на рис.15.

 

Зашифрование: R1:= (R); P1:= (PÅR1); C:=R1||P1.   Расшифрование: P:= (P1)ÅR1.

Рис.15. Объединение нескольких блочных алгоритмов

 

К недостаткам предложенных режимов вероятностного шифрования относится увеличение размера шифртекста по сравнению с открытым текстом.