GOST 28147-89

GOST 28147-89

Skaber	KGB , 8. direktorat (en gruppe kryptografer) - Zabotin Ivan Alexandrovich (leder), Lopatin Vyacheslav Alexandrovich, Lopatkin Alexei Vasilievich, Afanasiev Alexander Alexandrovich, Fedyukin Mikhail Vladimirovich
Oprettet	1978
offentliggjort	1989
Standarder	GOST 34.12-2018 , GOST R 34.12-2015 , GOST 28147-89, RFC 5830 , RFC 8891
Nøglestørrelse	256 bit
Blokstørrelse	64 bit
Antal runder	32\16
Type	Feistel netværk

GOST 28147-89 “ Informationsbehandlingssystemer. Kryptografisk beskyttelse. Kryptografisk konverteringsalgoritme "- forældet (se brugskronologi ) statsstandard for USSR (og senere mellemstatsstandarden for CIS ), der beskriver den symmetriske blokkrypteringsalgoritme og dens funktionsmåder .

Det er et eksempel på DES - lignende kryptosystemer skabt efter det klassiske Feistel iterative skema .

Historien om oprettelsen af chifferen og kriterierne for udviklerne blev først præsenteret offentligt i 2014 af lederen af gruppen af udviklere af algoritmen Zabotin Ivan Alexandrovich ved et foredrag dedikeret til 25-årsdagen for vedtagelsen af den russiske standard for symmetrisk kryptering [1] [2] .

Arbejdet med algoritmen, som senere dannede grundlaget for standarden, begyndte som en del af Magma-temaet (beskyttelse af information ved kryptografiske metoder i computere i Unified System-serien ) på vegne af det videnskabelige og tekniske råd i det ottende hoveddirektorat for USSR's KGB (nu i FSB 's struktur ), i marts 1978 efter en længere foreløbig undersøgelse af DES- standarden offentliggjort i 1976 . Faktisk begyndte arbejdet med at skabe en algoritme (eller gruppe af algoritmer), der ligner DES -algoritmen , allerede i 1976 .

Oprindeligt blev værkerne mærket " Top Secret ". Så blev de nedgraderet til det " hemmelige " frimærke. I 1983 blev algoritmen nedgraderet til " Restricted ". Det var med det sidste mærke, at algoritmen blev klargjort til offentliggørelse i 1989 . Den 9. marts 1987 modtog en gruppe kryptografer (ansøger - militær enhed 43753) et ophavsretscertifikat med prioritet nr. 333297 for en opfindelse til en krypteringsenhed, der anvender Magma-2 algoritmen [3] .

Kronologi for brug

Godkendt ved dekret af USSRs statsstandard nr. 1409 af 2. juni 1989 , sat i kraft den 1. juli 1990 [4] .

Den 31. marts 1996 blev den genudgivet og sat i kraft som en mellemstatslig standard for CIS [5] .

Ved dekretet fra Republikken Belarus' statsstandard nr. 3 af 17. december 1992 blev det sat i kraft som statens standard for Republikken Belarus . Genudgivet i marts 2011 [6] .

Efter ordre fra Ukraines statsforbrugerstandarder nr. 495 af 22. januar 2008 blev GOST genudstedt på Ukraines territorium og trådte i kraft den 1. februar 2009 under navnet DSTU GOST 28147:2009 [ 7] . DSTU GOST 28147:2009 vil ifølge gældende påbud være gældende indtil 1. januar 2022 [8] . Der sker en gradvis udskiftning med DSTU 7624:2014 ( kode "Kalina").

Standarden er blevet annulleret på Ruslands og SNG -området siden 31. maj 2019 på grund af vedtagelsen af nye mellemstatslige standarder , der fuldstændig erstatter den GOST 34.12-2018 ( beskriver Magma- og Grasshopper - cifrene ) og GOST 34.13-2018 (beskriver driftstilstande for blokcifre ).

Ifølge FSB - meddelelsen om proceduren for brug af GOST 28147-89 blokkrypteringsalgoritmen, bør kryptografiske informationsbeskyttelsesværktøjer designet til at beskytte information , der ikke indeholder oplysninger, der udgør en statshemmelighed , herunder dem, der implementerer GOST 28147-89- algoritmen , ikke udviklet efter 1. juni 2019 , undtagen når GOST 28147-89-algoritmen i sådanne værktøjer er designet til at sikre kompatibilitet med eksisterende værktøjer, der implementerer denne algoritme [9] .

Magma

I 2015, sammen med den nye " Grasshopper " -algoritme, blev en variant af GOST 28147-89-algoritmen offentliggjort under navnet " Magma " som en del af GOST R 34.12-2015-standarden og senere som en del af GOST 34.12-2018 standard . I 2020 blev Magma- algoritmen udgivet som RFC 8891 .

Ejendommeligheder:

brug fast erstatningsknude id-tc26-gost-28147-param-Z ;
nøgleværdien læses som et enkelt lille- endian - heltal (i modsætning til little-endian brugt i GOST 28147-89), hvilket resulterer i andre runde nøgler;
krypterede data læses også som et lille endian heltal (i modsætning til little endian brugt i GOST 28147-89).

Beskrivelse af chifferen

GOST 28147-89 er en blokchiffer med en 256- bit nøgle og 32 runder (kaldet runder) af transformation, der opererer på 64-bit blokke. Grundlaget for chifferalgoritmen er Feistel -netværket .

Der er fire driftsformer GOST 28147-89:

simpel udskiftning
skalering
feedback skalering
imiteret indsættelsesgenereringstilstand .

Driftsmåder

Nem swap-tilstand

For at kryptere i denne tilstand opdeles en 64-bit klartekstblok først i to halvdele: To = ( A 0 , B 0 ) [10 ] . I den i -te cyklus bruges undernøglen X i :

A_{i+1}=B_{i}\oplus f(A_{i},X_{i})

( = binær " eksklusiv eller "),

\plus

B_{i+1}=A_{i}.

For at generere undernøgler er den originale 256-bit nøgle opdelt i otte 32-bit tal: K 0 ... K 7 .

Undertasterne X 0 ... X 23 er den cykliske gentagelse af K 0 ... K 7 . Stik X 24 ... X 31 er K 7 ... K 0 .

Resultatet af alle 32 runder af algoritmen er en 64-bit chiffertekstblok : Tw = ( A 32 , B 32 ) .

Dekryptering udføres efter samme algoritme som kryptering, med den ændring at rækkefølgen af undernøgler inverteres: X 0 ... X 7 er K 7 ... K 0 , og X 8 ... X 31 er cyklisk gentagelse af K 7 ... K 0 .

I input- og outputdataene er 32-bit tal repræsenteret i rækkefølge fra den mindst signifikante bit til den mest signifikante ( lille endian ).

Funktionen beregnes således: $f(A_{i},X_{i})$

A i og X i tilføjes modulo 2 32 .

Resultatet er opdelt i otte 4-bit undersekvenser, som hver føres til input fra dens substitutionstabelnode (i stigende rækkefølge efter bitprioritet), kaldet S-boks nedenfor . Det samlede antal S-bokse i standarden er otte, hvilket er det samme som antallet af delsekvenser. Hver S-boks er en permutation af tal fra 0 til 15 (den specifikke form for S-bokse er ikke defineret i standarden). Den første 4-bit undersekvens er input fra den første S-boks, den anden er input fra den anden, og så videre.

Hvis S-box noden ser sådan ud:

1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

og S-boksens input er 0, så vil outputtet være 1; hvis input er 4, så vil output være 5; hvis input er 12, så er output 6 osv.

Udgangene fra alle otte S-bokse kombineres til et 32-bit ord, hvorefter hele ordet roteres til venstre (høj orden) med 11 bit.

Enkel udskiftningstilstand har følgende ulemper:

Kan kun bruges til at kryptere almindelig tekst med en længde, der er et multiplum af 64 bit [11]
Kryptering af identiske blokke af klartekst resulterer i identiske blokke af chiffertekst, som kan give visse oplysninger til en kryptoanalytiker.

Således er brugen af GOST 28147-89 i den simple udskiftningstilstand kun ønskelig til kryptering af nøgledata [11] .

Gambling

Når GOST 28147-89 fungerer i gamma-tilstand , dannes en kryptografisk gamma på den ovenfor beskrevne måde, som derefter tilføjes bit for bit modulo 2 med den originale klartekst for at opnå en chiffertekst . Kryptering i gammatilstand er blottet for de ulemper, der er forbundet med den simple udskiftningstilstand [11] . Så selv identiske blokke af kildeteksten giver en anden chiffertekst, og for tekster med en længde, der ikke er et multiplum af 64 bit, kasseres de "ekstra" gammabits. Derudover kan gamma genereres på forhånd, hvilket svarer til funktionen af chifferen i en streaming-tilstand.

Gamma genereres baseret på nøglen og den såkaldte synkroniseringsmeddelelse, som sætter generatorens begyndelsestilstand. Genereringsalgoritmen er som følger:

Synkroniseringsmeddelelsen krypteres ved hjælp af den beskrevne simple erstatningsalgoritme, de opnåede værdier skrives til de ekstra 32-bit registre N 3 og N 4 - henholdsvis de mindst signifikante og mest signifikante bits.
N 3 summeres modulo 2 32 med konstanten C 2 = 1010101 16
N 4 summeres modulo 2 32 −1 med konstanten C 1 = 1010104 16
N 3 og N 4 omskrives til henholdsvis N 1 og N 2 , som derefter krypteres ved hjælp af den simple erstatningsalgoritme. Resultatet er 64 bits gamma.
Trin 2-4 gentages i henhold til længden af den krypterede tekst.

For at dekryptere det, skal du regne ud den samme gamma, og derefter tilføje den bit for bit modulo 2 med chifferteksten. Til dette skal du naturligvis bruge den samme synkroniseringsmeddelelse som til kryptering. I dette tilfælde, baseret på kravene til gammaens unikke karakter, er det umuligt at bruge en synkroniseringsmeddelelse til at kryptere flere dataarrays. Som regel sendes synkroniseringsmeddelelsen på den ene eller anden måde sammen med chifferteksten.

Et træk ved GOST 28147-89 i gamma-tilstand er, at når en bit af chifferteksten ændres, ændres kun en bit af den dekrypterede tekst. På den ene side kan dette have en positiv effekt på støjimmunitet; på den anden side kan en angriber foretage nogle ændringer i teksten uden selv at dechifrere den [11] .

Feedback gamification

Krypteringsalgoritmen ligner gammatilstanden, men gammaen er baseret på den tidligere blok af krypterede data, så krypteringsresultatet af den aktuelle blok afhænger også af de tidligere blokke. Af denne grund omtales denne funktionsmåde også som sammenlåsende skalering.

Krypteringsalgoritmen er følgende:

Synkroniseringsmeddelelsen indtastes i registrene N 1 og N 2 .
Indholdet af registrene N1 og N2 er krypteret i overensstemmelse med den simple erstatningsalgoritme . Resultatet er en 64-bit gammablok.
Gammablokken tilføjes bitvis modulo 2 til klartekstblokken. Den resulterende chiffertekst indtastes i registrene N 1 og N 2 .
Operationer 2-3 udføres for de resterende tekstblokke, der kræver kryptering.

Når man ændrer én bit af chifferteksten opnået ved hjælp af feedback gamma-algoritmen, ændres kun én bit i den tilsvarende blok af dekrypteret tekst, og den efterfølgende blok af almindelig tekst påvirkes også. I dette tilfælde forbliver alle andre blokke uændrede [11] .

Når du bruger denne tilstand, skal du huske på, at synkroniseringsmeddelelsen ikke kan genbruges (for eksempel ved kryptering af logisk adskilte informationsblokke - netværkspakker, harddisksektorer osv.). Dette skyldes det faktum, at den første blok af chifferteksten opnås ved kun modulo to-addition med den krypterede synkroniseringsmeddelelse; kendskab til kun de første 8 bytes af originalen og chifferteksten tillader således, at man kan læse de første 8 bytes af enhver anden chiffertekst efter genbrug af synkroniseringsmeddelelsen.

Fremstillingsmåde for simuleret indsættelse

Denne tilstand er ikke en krypteringstilstand i konventionel forstand. Når du arbejder i indsættelsessimuleringstilstand, oprettes en ekstra blok, der afhænger af hele teksten og nøgledata. Denne blok bruges til at kontrollere, at chifferteksten ikke er blevet manipuleret ved et uheld eller med vilje. Dette er især vigtigt for gamma-mode kryptering, hvor en angriber kan ændre specifikke bits uden selv at kende nøglen; men når der arbejdes i andre tilstande, kan sandsynlige forvrængninger ikke detekteres, hvis der ikke er redundant information i de transmitterede data.

Imitation genereres for M ≥ 2 klartekstblokke på 64 bit. Algoritmen er følgende:

Den åbne datablok skrives til registrene N1 og N2 , hvorefter den gennemgår en transformation svarende til de første 16 krypteringscyklusser i den simple udskiftningstilstand.
Den næste blok af åbne data tilføjes bit for bit modulo 2 til det opnåede resultat. Den sidste blok er polstret med nuller, hvis det er nødvendigt. Beløbet er ligeledes krypteret i henhold til stk.
Efter tilføjelse og kryptering af den sidste blok, vælges en imiteret indsætning af længde L bits fra resultatet: fra bit nummer 32 − L til 32 (tælling starter fra 1). Standarden anbefaler at vælge L ud fra det faktum, at sandsynligheden for at pålægge falske data er 2 − L . Spoofet transmitteres over kommunikationskanalen efter de krypterede blokke.

Til verifikation udfører den modtagende part en procedure svarende til den beskrevne. Hvis resultatet ikke stemmer overens med den beståede simuleringsindsættelse, betragtes alle tilsvarende M-blokke som falske.

Genereringen af en indsættelsesimitation kan udføres parallelt med kryptering ved brug af en af de ovenfor beskrevne driftsformer [11] .

Erstatningsnoder (S-blokke)

Alle otte S-bokse kan være forskellige. Nogle mener, at de kan være yderligere nøglemateriale, der øger nøglens effektive længde; dog er der praktiske angreb, der gør det muligt at bestemme dem [12] . Der er dog ingen grund til at øge nøglelængden, 256 bit er på nuværende tidspunkt ganske nok [13] . Typisk er erstatningstabeller en langsigtet skemaindstilling, der er fælles for en bestemt gruppe af brugere.

Teksten til GOST 28147-89-standarden angiver, at leveringen af påfyldningserstatningsenheder (S-blokke) udføres på den foreskrevne måde, det vil sige af algoritmeudvikleren.

Erstatningsknudepunkter defineret af RFC 4357

ID: id-Gost28147-89-CryptoPro-A-ParamSet

OID: 1.2.643.2.2.31.1

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	9	6	3	2	otte	B	en	7	EN	fire	E	F	C	0	D	5
2	3	7	E	9	otte	EN	F	0	5	2	6	C	B	fire	D	en
3	E	fire	6	2	B	3	D	otte	C	F	5	EN	0	7	en	9
fire	E	7	EN	C	D	en	3	9	0	2	B	fire	F	otte	5	6
5	B	5	en	9	otte	D	F	0	E	fire	2	3	C	7	EN	6
6	3	EN	D	C	en	2	0	B	7	5	9	fire	otte	F	E	6
7	en	D	2	9	7	EN	6	0	otte	C	fire	5	F	3	B	E
otte	B	EN	F	5	0	C	E	otte	6	2	3	9	en	7	D	fire

Denne erstatningsknude bruges som standard af CryptoPRO CSP. Også denne substitutionsknude bruges i Verba-O-softwaren [14] .

ID: id-Gost28147-89-CryptoPro-B-ParamSet

OID: 1.2.643.2.2.31.2

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	otte	fire	B	en	3	5	0	9	2	E	EN	C	D	6	7	F
2	0	en	2	EN	fire	D	5	C	9	7	3	F	B	otte	6	E
3	E	C	0	EN	9	2	D	B	7	5	otte	F	3	6	en	fire
fire	7	5	0	D	B	6	en	2	3	EN	C	F	fire	E	9	otte
5	2	7	C	F	9	5	EN	B	en	fire	0	D	6	otte	E	3
6	otte	3	2	6	fire	D	E	B	C	en	7	F	EN	0	9	5
7	5	2	EN	B	9	en	C	3	7	fire	D	0	6	F	otte	E
otte	0	fire	B	E	otte	3	7	en	EN	2	9	6	F	D	5	C

Denne erstatningsknude bruges af CryptoPRO CSP.

Identifikator: id-Gost28147-89-CryptoPro-C-ParamSet

OID: 1.2.643.2.2.31.3

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	en	B	C	2	9	D	0	F	fire	5	otte	E	EN	7	6	3
2	0	en	7	D	B	fire	5	2	otte	E	F	C	9	EN	6	3
3	otte	2	5	0	fire	9	F	EN	3	7	C	D	6	E	en	B
fire	3	6	0	en	5	D	EN	otte	B	2	9	7	E	F	C	fire
5	otte	D	B	0	fire	5	en	2	9	3	C	E	6	F	EN	7
6	C	9	B	en	otte	E	2	fire	7	3	6	5	EN	0	F	D
7	EN	9	6	otte	D	E	2	0	F	3	5	B	fire	en	C	7
otte	7	fire	0	5	EN	2	F	E	C	6	en	B	D	9	3	otte

Denne erstatningsknude bruges af CryptoPRO CSP.

ID: id-Gost28147-89-CryptoPro-D-ParamSet

OID: 1.2.643.2.2.31.4

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	F	C	2	EN	6	fire	5	0	7	9	E	D	en	B	otte	3
2	B	6	3	fire	C	F	E	2	7	D	otte	0	5	EN	9	en
3	en	C	B	0	F	E	6	5	EN	D	fire	otte	9	3	7	2
fire	en	5	E	C	EN	7	0	D	6	2	B	fire	9	3	F	otte
5	0	C	otte	9	D	2	EN	B	7	3	6	5	fire	E	F	en
6	otte	0	F	3	2	5	E	B	en	EN	fire	7	C	9	D	6
7	3	0	6	F	en	E	9	2	D	otte	C	fire	B	EN	5	7
otte	en	EN	6	otte	F	B	0	fire	C	3	5	9	7	D	2	E

Denne erstatningsknude bruges af CryptoPRO CSP.

Erstatningsnoder defineret af RFC 7836

Udskiftningsknude, defineret af den tekniske komité for standardisering "Cryptographic Information Protection" (forkortet TC 26) fra Rosstandart [15] .

Identifikator: id-tc26-gost-28147-param-Z

OID: 1.2.643.7.1.2.5.1.1

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	C	fire	6	2	EN	5	B	9	E	otte	D	7	0	3	F	en
2	6	otte	2	3	9	EN	5	C	en	E	fire	7	B	D	0	F
3	B	3	5	otte	2	F	EN	D	E	en	7	fire	C	9	6	0
fire	C	otte	2	en	D	fire	F	6	7	0	EN	5	3	E	9	B
5	7	F	5	EN	otte	en	6	D	0	9	3	E	B	fire	2	C
6	5	D	F	6	9	2	C	EN	B	7	otte	en	fire	3	E	0
7	otte	E	2	5	6	9	en	C	F	fire	B	0	D	EN	3	7
otte	en	7	E	D	0	5	otte	3	fire	F	EN	6	9	C	B	2

Denne node er fastsat som anbefalet i TK26-retningslinjerne [16] , og som den eneste i den nye revision af GOST R 34.12-2015 [17] og GOST 34.12-2018 [18] standarderne samt RFC 7836 og RFC 8891 .

Erstatningsenheder defineret i Ukraine

Erstatning nr. 1 fra instruktion nr. 114

Erstatningsknude nr. 1 ( DKE nr. 1 - ukrainsk dobbeltstrenget nøgleelement ) , defineret i "Instruktioner om proceduren for levering og brug af nøgler til kryptografiske informationsbeskyttelsesværktøjer " [19] .

S-blok nummer	Betyder
S-blok nummer	0	en	2	3	fire	5	6	7	otte	9	EN	B	C	D	E	F
en	EN	9	D	6	E	B	fire	5	F	en	3	C	7	0	otte	2
2	otte	0	C	fire	9	6	7	B	2	3	en	F	5	E	EN	D
3	F	6	5	otte	E	B	EN	fire	C	0	3	7	2	9	en	D
fire	3	otte	D	9	6	B	F	0	2	5	C	EN	fire	E	en	7
5	F	otte	E	9	7	2	0	D	C	6	en	5	B	fire	3	EN
6	2	otte	9	7	5	F	0	B	C	en	D	E	EN	3	6	fire
7	3	otte	B	5	6	fire	E	EN	2	C	en	7	9	F	D	0
otte	en	2	3	E	6	D	B	otte	F	EN	C	5	7	9	0	fire

I henhold til ordre fra Ukraines statstjeneste for særlig kommunikation nr. 1273/35556 dateret den 21. december 2020 "Tekniske specifikationer for RFC 5652 ", bruges denne erstatningsknude som standard og er indeholdt i pakket form (64 bytes) i parametre for det offentlige nøglecertifikat , genereret i henhold til DSTU 4145-2002 [20] .

Fordele ved standarden

nytteløsheden af et brute-force- angreb ( XSL-angreb tages ikke i betragtning, da deres effektivitet ikke er fuldt bevist i øjeblikket);
implementeringseffektivitet og dermed høj ydeevne på moderne computere . (Faktisk er softwareimplementeringer af GOST 28147-89, ligesom enhver Feistel-netværks-chiffer, langsommere end moderne ciphers som AES og andre. Og kun i én implementering af "GEOM_GOST" til FreeBSD OS, hastigheden af GOST 28147- 89-chiffer viste sig at være sammenlignelig med hastigheden af AES-chiffer på grund af funktioner i implementeringen af GEOM-undersystemet til diskdrev i FreeBSD OS .);
tilstedeværelsen af beskyttelse mod pålæggelse af falske data (udvikling af falsk indsættelse) og den samme krypteringscyklus i alle fire algoritmer i standarden.

Krypteringsanalyse

Det menes [21] at GOST er modstandsdygtig over for så vidt brugte metoder som lineær og differentiel kryptoanalyse. Den omvendte rækkefølge af nøgler brugt i de sidste otte runder giver beskyttelse mod slide-angreb og refleksionsangreb. Rostovtsev A. G., Makhovenko E. B., Filippov A. S., Chechulin A. A. beskrev i deres arbejde [22] typen af kryptoanalyse, som er reduceret til konstruktionen af en algebraisk objektiv funktion og at finde dens ekstremum. Klasser af svage nøgler blev identificeret, især blev det vist, at sparsomme nøgler (med en signifikant overvægt på 0 eller 1) er svage. Ifølge forfatterne er deres metode under alle omstændigheder bedre end udtømmende opregning, men uden numeriske skøn.

I maj 2011 beviste den velkendte kryptoanalytiker Nicolas Courtois eksistensen af et angreb på denne chiffer, som har en kompleksitet på 2 8 (256) gange mindre end kompleksiteten af direkte opregning af nøgler, forudsat at der er 2 64 "klartekst/lukket" tekstpar [23] [24] . Dette angreb kan ikke udføres i praksis på grund af for høj beregningsmæssig kompleksitet. Desuden giver kendskab til 264 klartekst/privattekst-par naturligvis mulighed for at læse chiffertekster uden selv at beregne nøglen . De fleste andre værker beskriver også angreb, der kun er anvendelige under visse forudsætninger, såsom en bestemt slags nøgler eller substitutionstabeller, en ændring af den originale algoritme, eller som stadig kræver uopnåelige mængder hukommelse eller beregning. Spørgsmålet om, hvorvidt der er praktiske angreb uden at udnytte svagheden ved individuelle nøgler eller erstatningstabeller, forbliver åbent [12] .

Kritik af standarden

Standardens hovedproblemer er relateret til standardens ufuldstændighed med hensyn til generering af nøgler og substitutionstabeller. Det menes, at standarden har "svage" nøgler og substitutionstabeller [22] [25] , men standarden beskriver ikke kriterierne for at vælge og droppe "svage".

I oktober 2010, på et møde i den 1. fælles tekniske komité i Den Internationale Standardiseringsorganisation (ISO / IEC JTC 1 / SC 27), blev GOST nomineret til optagelse i den internationale blokchifferstandard ISO / IEC 18033-3. I denne henseende blev der i januar 2011 dannet faste sæt erstatningsknuder, og deres kryptografiske egenskaber blev analyseret. GOST blev dog ikke accepteret som standard, og de tilsvarende substitutionstabeller blev ikke offentliggjort [26] .

Den eksisterende standard specificerer således ikke en algoritme til generering af substitutionstabeller (S-bokse). På den ene side kan dette være yderligere hemmelige oplysninger (udover nøglen), og på den anden side rejser det en række problemer:

det er umuligt at bestemme den kryptografiske styrke af en algoritme uden at kende erstatningstabellen på forhånd;
implementeringer af algoritmen fra forskellige producenter kan bruge forskellige substitutionstabeller og kan være inkompatible med hinanden;
muligheden for bevidst levering af svage substitutionstabeller af licensmyndighederne i Den Russiske Føderation;
potentialet (intet forbud i standarden) til at bruge substitutionstabeller, hvor noderne ikke er permutationer, hvilket kan føre til et ekstremt fald i chifferens styrke.

Mulige anvendelser

Brug i S/MIME ( PKCS#7 , kryptografisk meddelelsessyntaks ) [27] .
Bruges til at sikre forbindelser i TLS ( SSL , HTTPS , WEB ) [28] .
Bruges til at sikre meddelelser i XML-kryptering [29] .

Noter

↑ Årsdag for den russiske krypteringsalgoritme GOST 28147-89 (14. maj 2014). Hentet: 9. januar 2020. (Russisk)
↑ Zelenograd-udviklere af kryptografiske værktøjer fejrede årsdagen for krypteringsalgoritmen (23. maj 2014). Hentet 9. januar 2020. Arkiveret fra originalen 21. september 2016. (Russisk)
↑ Romanets, 2016 .
↑ GOST 28147-89 på hjemmesiden for FSUE "Standartinform" . (ubestemt)
↑ GOST 28147-89 på FSIS "Normdoc"-webstedet (utilgængeligt link) . Hentet 26. august 2019. Arkiveret fra originalen 26. august 2019. (ubestemt)
↑ GOST 28147-89 på webstedet for National Fund of TNLA . Hentet 25. august 2019. Arkiveret fra originalen 25. august 2019. (ubestemt)
↑ Bekendtgørelse af statens standard nr. 495 af 22. december 2008. Om vedtagelsen af internationale standarder som nationale ved metoden til at bekræfte og angive de relevante internationale standarder . Hentet 25. august 2019. Arkiveret fra originalen 5. maj 2019. (ubestemt)
↑ Bekendtgørelse af DP "UkrNDNC" nr. 539 af 28. december 2018. Om fornyelse af nationale og internationale standarder . Hentet 25. august 2019. Arkiveret fra originalen 25. august 2019. (ubestemt)
↑ Meddelelse om proceduren for brug af GOST 28147-89 blokchifferalgoritmen . Hentet 25. august 2019. Arkiveret fra originalen 25. august 2019. (ubestemt)
↑ I beskrivelsen af GOST-standarden er de betegnet som henholdsvis N 1 og N 2 .
↑ 1 2 3 4 5 6 A. Vinokurov. Krypteringsalgoritmen GOST 28147-89, dens brug og implementering til computere med Intel x86-platformen Arkiveret 1. april 2022 på Wayback Machine
↑ 1 2 Panasenko S.P. Krypteringsstandard GOST 28147-89 Arkiveret 1. december 2012.
↑ Schneier B. Anvendt kryptografi. Protokoller, algoritmer, kildetekster i C-sproget, 2. udgave - M .: Triumph, 2002, 14.1
↑ Identifikatorer af kryptografiske parametre for algoritmer . Hentet 21. april 2014. Arkiveret fra originalen 28. juli 2013. (ubestemt)
↑ Anbefalinger til standardisering "Indstilling af substitutionsnoder for GOST 28147-89-krypteringsalgoritmen substitutionsblok Arkiveret kopi af 8. september 2017 på Wayback Machine "
↑ MP 26.2.003-2013 Arkivkopi dateret 26. december 2019 på Wayback Machine “Information Technology. Kryptografisk beskyttelse af information. Indstilling af substitutionsnoder for substitutionsblokken for krypteringsalgoritmen GOST 28147-89 "
↑ GOST R 34.12-2015 “Informationsteknologi. Kryptografisk beskyttelse af information. Blokcifre»
↑ GOST 34.12-2018 “Informationsteknologi. Kryptografisk beskyttelse af information. Blokcifre»
↑ Bekendtgørelse fra Ukraines statstjeneste for særlig kommunikation af 12. juni 2007 nr. 114 "Om godkendelse af instruktionerne om proceduren for levering og udvælgelse af nøgler før opnåelse af kryptografisk beskyttelse af information" (ukr.) . www.zakon.rada.gov.ua _ Ukraines ministerkabinet (12. juni 2007). Hentet 25. august 2019. Arkiveret fra originalen 30. april 2019.
↑ Tekniske specifikationer før RFC 5652 . zakon.rada.gov.ua (20. august 2012). Hentet 4. maj 2021. Arkiveret fra originalen 25. februar 2022. (ubestemt)
↑ Vitaly V. Shorin, Vadim V. Jelezniakov og Ernst M. Gabidulin. Lineær og differentiel krypteringsanalyse af russisk GOST // Elektroniske noter i diskret matematik. - 2001. - S. 538-547 .
↑ 1 2 Rostovtsev A.G., Makhovenko E.B., Filippov A.S., Chechulin A.A. Om stabiliteten af GOST 28147-89 // Problemer med informationssikkerhed. Computersystemer. - 2003. - S. 75-83 . Arkiveret fra originalen den 7. juli 2011.
↑ Nicolas T. Courtois. Sikkerhedsevaluering af GOST 28147-89 i lyset af international standardisering . Arkiveret fra originalen den 7. december 2012. (ubestemt). Kryptologi ePrint-arkiv: Rapport 2011/211
↑ SecurityLab: GOST 28147-89 blokchiffer knækket . Hentet 22. maj 2011. Arkiveret fra originalen 14. maj 2013. (ubestemt)
↑ Sergey Panasenko. Krypteringsstandard GOST 28147-89 (15. august 2007). Hentet 30. november 2012. Arkiveret fra originalen 1. december 2012. (Russisk)
↑ Technical Committee for Standardization (TC 26) "Cryptographic Information Protection" Om aktiviteter for international standardisering af krypteringsalgoritmen GOST 28147-89 (utilgængeligt link) . Hentet 11. november 2012. Arkiveret fra originalen 11. marts 2012. (ubestemt)
↑ Leontiev S., Chudov G. Brug af GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 og GOST R 34.10-2001 algoritmer med kryptografisk meddelelsessyntaks (CMS) ( maj 2006). — RFC 4490 . Hentet 21. juni 2009. Arkiveret fra originalen 24. august 2011.
↑ Leontiev, S., Ed. og G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) ( december 2008). — Internet-udkast, igangværende arbejde. Hentet 21. juni 2009. Arkiveret fra originalen 24. august 2011.
↑ S. Leontiev, P. Smirnov, A. Chelpanov. Brug af GOST 28147-89, GOST R 34.10-2001 og GOST R 34.11-94 algoritmer til XML-sikkerhed ( december 2008). — Internet-udkast, igangværende arbejde. Hentet 21. juni 2009. Arkiveret fra originalen 24. august 2011.

Se også

Litteratur

Melnikov VV Beskyttelse af information i computersystemer. - M. : Finans og statistik, 1997.
Romanets Yu. V., Timofeev PA, Shangin VF Beskyttelse af information i computersystemer og netværk. - M . : Radio og kommunikation, 1999.
Kharin Yu. S. , Bernik V. I., Matveev G. V. Matematiske grundlag for kryptologi. - Mn. : BGU, 1999.
Gerasimenko V. A., Malyuk A. A. Fundamentals of information security. — M. : MGIFI, 1997.
Leonov A.P., Leonov K.P., Frolov G.V. Sikkerhed ved automatiserede bank- og kontorteknologier. - Mn. : Nat. Bestil. Chamber of Belarus, 1996.
Zima V. M., Moldovyan A. A., Moldovyan N. A. Computernetværk og beskyttelse af transmitteret information. - Sankt Petersborg. : St. Petersburg State University, 1998.
Schneier B. 14.1 Algoritme GOST 28147-89 // Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protokoller, algoritmer og kildekode i C. - M. : Triumf, 2002. - S. 373-377. — 816 s. - 3000 eksemplarer. - ISBN 5-89392-055-4 .
Popov, V., Kurepkin, I. og S. Leontiev. Yderligere kryptografiske algoritmer til brug med GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 og GOST R 34.11-94 algoritmer // RFC 4357 . — IETF, januar 2006.
Spesivtsev A.V., Wegner V.A., Krutyakov A.Yu. osv. Beskyttelse af oplysninger i personlige computere . - M . : Radio og kommunikation, MP "Vesta", 1992. - 192 s. — (Systemprogrammørens bibliotek). - ISBN 5-256-01137-5 . (Russisk)
Romanets Yu.V., Panasenko S.P., Zabotin I.A., Petrov S.V., Rakitin V.V., Dudarev D.A., Syrchin V.K., Salmanova Sh.A. Kapitel 3. Historien om oprettelsen af GOST 28147-89 algoritmen og principperne bag den // Firma "ANKAD" - 25 år i informationssikkerhedens tjeneste i Rusland / red. Yu. V. Romanets. - M. : Technosfera, 2016. - S. 9-19. — 256 s. - ISBN 978-5-94836-429-2 . (Russisk)

Links

Teksten til standarden GOST 28147-89 "Informationsbehandlingssystemer. Kryptografisk beskyttelse. Kryptografisk konverteringsalgoritme"
GOST'er for OpenSSL . er et kryptografisk projekt af Cryptocom LLC for at tilføje russiske kryptografiske algoritmer til OpenSSL-biblioteket. Hentet 16. november 2008. Arkiveret fra originalen 24. august 2011. (ubestemt)
https://github.com/gost-engine/engine er en åben implementering af GOST-algoritmer til OpenSSL.

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher