1 РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. N 750-ст

4 ВЗАМЕН ГОСТ Р ИСО/МЭК 10116-93

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Настоящий стандарт содержит описание режимов работы блочных шифров. Данные режимы работы блочных шифров определяют правила криптографического преобразования данных и выработки имитовставки для сообщений произвольного размера.

Стандарт разработан взамен ГОСТ Р ИСО/МЭК 10116-93 "Информационная технология. Режимы работы для алгоритма n-разрядного блочного шифрования". Необходимость разработки настоящего стандарта вызвана потребностью в определении режимов работы блочных шифров, соответствующих современным требованиям к криптографической стойкости.

Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО/МЭК 9797-1 [1], ИСО/МЭК 10116 [2], ИСО/МЭК 10118-1 [3], ИСО/МЭК 18033 [4], ИСО/МЭК 14888-1 [5].

Примечание - Основная часть стандарта дополнена приложением А.

1. Область применения

Режимы работы блочных шифров, определенные в настоящем стандарте, рекомендуется использовать при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.

Настоящим стандартом следует руководствоваться, если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации.

2. Термины, определения и обозначения

2.1. Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

Примечание - В настоящем стандарте установлено, что термины "блочный шифр" и "алгоритм блочного шифрования" являются синонимами.

2.1.6

2.1.7

2.1.8

2.1.9

2.1.10

Примечание - В настоящем стандарте рассматриваются ключи только в виде последовательности двоичных символов (битов).

2.1.11

2.1.12

2.1.13

Примечание - В настоящем стандарте в целях сохранения терминологической преемственности по отношению к опубликованным научно-техническим изданиям применяется термин "шифрование", объединяющий операции, определенные терминами "зашифрование" и "расшифрование". Конкретное значение термина "шифрование" определяется в зависимости от контекста упоминания.

2.1.14

2.1.15

2.1.16

2.1.17

2.1.18

2.1.19

2.2. Обозначения

В настоящем стандарте используются следующие обозначения:

V* - множество всех двоичных строк конечной длины, включая пустую строку;

V_s - множество всех двоичных строк длины s, где s - целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево начиная с нуля;

|A| - число компонент (длина) строки (если A - пустая строка, то |A| = 0);

A||B - конкатенация строк , т.е. строка из V_|A|+|B|, в которой подстрока с большими номерами компонент из V_|A| совпадает со строкой A, а подстрока с меньшими номерами компонент из V_|B| совпадает со строкой B;

0^r - строка, состоящая из r нулей;

- операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины;

- кольцо вычетов по модулю 2^s;

- операция сложения в кольце ;

- операция вычисления остатка от деления целого числа x на целое положительное число ;

- отображение, ставящее в соответствие строке

z_m-1 ... ||z₁||z₀, m >= s, строку z_m-1||...||z_m-s+1||z_m-s,

, i = 0, 1, ..., m - 1;

- отображение, ставящее в соответствие строке

z_m-1 ... ||z₁||z₀, m >= s, строку z_s-1||...||z₁||z₀,

, i = 0, 1, ..., m - 1;

- операция логического сдвига строки A на r компонент в сторону компонент, имеющих большие номера.

Если , то , причем

- отображение, ставящее в соответствие строке

многочлен ;

- биективное отображение, сопоставляющее элементу кольца его двоичное представление, т.е. для любого элемента , представленного

в виде z = z₀ + 2·z₁ + ... + 2^s-1·z_s-1,

где , i = 0, 1, ..., s - 1, выполнено равенство

Vec_s(z) = z_s-1||...||z₁||z₀;

- отображение, обратное к отображению Vec_s, т.е.

lnt_s = Vec_s^-1;

k - параметр алгоритма блочного шифрования, называемый длиной ключа;

n - параметр алгоритма блочного шифрования, называемый длиной блока;

- отображение, реализующее базовый алгоритм блочного шифрования и осуществляющее преобразование блока открытого текста с использованием ключа (шифрования)

в блок шифртекста ;

- отображение, реализующее зашифрование с использованием ключа

, т.е. e_K(P) = E(P,K) для всех ;

- отображение, реализующее расшифрование с использованием ключа

, т.е. d_K = e_K^-1.

3. Общие положения

Настоящий стандарт определяет следующие режимы работы алгоритмов блочного шифрования:

- режим простой замены (Electronic Codebook, ECB);

- режим гаммирования (Counter, CTR);

- режим гаммирования с обратной связью по выходу (Output Feedback, OFB);

- режим простой замены с зацеплением (Cipher Block Chaining, CBC);

- режим гаммирования с обратной связью по шифртексту (Cipher Feedback, CFB);

- режим выработки имитовставки (Message Authentication Code algorithm).

Данные режимы могут использоваться в качестве режимов для блочных шифров с произвольной длиной блока n.

4. Вспомогательные операции

4.1. Дополнение сообщения

Отдельные из описанных ниже режимов работы (режим гаммирования, режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту) могут осуществлять криптографическое преобразование сообщений произвольной длины. Для других режимов (режим простой замены, режим простой замены с зацеплением) требуется, чтобы длина сообщения была кратна некоторой величине . В последнем случае при работе с сообщениями произвольной длины необходимо применение процедуры дополнения сообщения до требуемой длины. Ниже приведены три процедуры дополнения.

Пусть исходное сообщение, подлежащее зашифрованию.

4.1.1 Процедура 1

Пусть . Положим

Примечание - Описанная процедура в некоторых случаях не обеспечивает однозначного восстановления исходного сообщения. Например, результаты дополнения сообщений P₁, такого что для некоторого q, и P₂ = P₁||0 будут одинаковы. В этом случае для однозначного восстановления необходимо дополнительно знать длину исходного сообщения.

4.1.2 Процедура 2

Пусть . Положим

Примечание - Данная процедура обеспечивает однозначное восстановление исходного сообщения. При этом если длина исходного сообщения кратна , то длина дополненного сообщения будет увеличена.

4.1.3 Процедура 3

Пусть .

В зависимости от значения r возможны случаи:

- если r = n, то последний блок не изменяется P^* = P;

- если r < n, то применяется процедура 2.

Примечания

1 Данная процедура обязательна для режима выработки имитовставки (5.6) и не рекомендуется для использования в других режимах (5.1 - 5.5).

2 Выбор конкретной процедуры дополнения предоставляется разработчику информационной системы и/или регламентируется другими нормативными документами.

4.2. Выработка начального значения

В некоторых режимах работы используются величины, начальное значение которых вычисляется на основании синхропосылки IV; обозначим через m суммарную длину указанных величин. Будем обозначать процедуру выработки начального значения через I_m:V_|IV| -> V_m и называть процедурой инициализации. Будем называть процедуру инициализации тривиальной, если I_|IV| = IV. Если не оговорено иное, будем считать, что используется тривиальная процедура инициализации на основе синхропосылки необходимой длины.

Во всех описываемых в настоящем стандарте режимах работы не требуется обеспечение конфиденциальности синхропосылки. Вместе с тем процедура выработки синхропосылки должна удовлетворять одному из следующих требований.

- Значения синхропосылки для режимов простой замены с зацеплением и гаммирования с обратной связью по шифртексту необходимо выбирать случайно, равновероятно и независимо друг от друга из множества всех допустимых значений. В этом случае значение каждой используемой синхропосылки IV должно быть непредсказуемым (случайным или псевдослучайным): зная значения всех других используемых синхропосылок, значение IV нельзя определить с вероятностью большей, чем 2^-|IV|.

- Все значения синхропосылок, выработанных для зашифрования на одном и том же ключе в режиме гаммирования, должны быть уникальными, т.е. попарно различными. Для выработки значений синхропосылок может быть использован детерминированный счетчик.

- Значение синхропосылки для режима гаммирования с обратной связью по выходу должно быть либо непредсказуемым (случайным или псевдослучайным), либо уникальным.

Примечание - Режим простой замены не предусматривает использования синхропосылки.

4.3. Процедура усечения

В некоторых режимах используется усечение строк длины n до строк длины s, s <= n, с использованием функции T_s = MSB_s, т.е. в качестве операции усечения используется операция взятия бит с большими номерами.

5. Режимы работы алгоритмов блочного шифрования

5.1. Режим простой замены

Длина сообщений, зашифровываемых в режиме простой замены, должна быть кратна длине блока базового алгоритма блочного шифрования n, поэтому, при необходимости, к исходному сообщению должна быть предварительно применена процедура дополнения.

Зашифрование (расшифрование) в режиме простой замены заключается в зашифровании (расшифровании) каждого блока текста с помощью базового алгоритма блочного шифрования.

5.1.1 Зашифрование

Открытый и, при необходимости, дополненный текст , |P| = n·q, представляется в виде: P = P₁||P₂|| ...||P_q, , i = 1, 2, ..., q. Блоки шифртекста вычисляются по следующему правилу:

Результирующий шифртекст имеет вид:

Зашифрование в режиме простой замены проиллюстрировано на рисунке 1.

5.1.2 Расшифрование

Шифртекст представляется в виде: C = C₁||C₂|| ...||C_q, , i = 1, 2, ..., q. Блоки открытого текста вычисляются по следующему правилу:

Исходный (дополненный) открытый текст имеет вид:

Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует произвести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.

Расшифрование в режиме простой замены проиллюстрировано на рисунке 2.

5.2. Режим гаммирования

Параметром режима гаммирования является целочисленная величина s 0 < s <= n. При использовании режима гаммирования не требуется применение процедуры дополнения сообщения.

Для зашифрования (расшифрования) каждого отдельного открытого текста на одном ключе используется значение уникальной синхропосылки .

Зашифрование в режиме гаммирования заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s путем зашифрования последовательности значений счетчика , i = 1, 2, ..., базовым алгоритмом блочного шифрования с последующим усечением. Начальным значением счетчика является . Последующие значения счетчика вырабатываются с помощью функции Add: следующим образом:

5.2.1 Зашифрование

Открытый текст представляется в виде

Блоки шифртекста вычисляются по следующему правилу:

Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования проиллюстрировано на рисунке 3.

5.2.2 Расшифрование

Шифртекст представляется в виде: C = C₁||C₂||...||C_q, , i = 1, 2, ..., q - 1, , r <= s.

Блоки открытого текста вычисляются по следующему правилу:

Исходный открытый текст имеет вид

Расшифрование в режиме гаммирования проиллюстрировано на рисунке 4.

5.3. Режим гаммирования с обратной связью по выходу

Параметрами режима гаммирования с обратной связью по выходу являются целочисленные величины s и m, 0 < s <= n, m = n·z, z >= 1 - целое число.

При использовании режима гаммирования с обратной связью по выходу не требуется применение процедуры дополнения сообщения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение уникальной или непредсказуемой (случайной или псевдослучайной) синхропосылки .

При шифровании в режиме гаммирования с обратной связью по выходу используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммирования с обратной связью по выходу заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование n разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования. Затем заполнение регистра сдвигается на n бит в сторону разрядов с большими номерами, при этом в разряды с меньшими номерами записывается полученный выход базового алгоритма блочного шифрования. Блок гаммы вычисляется путем усечения выхода базового алгоритма блочного шифрования.

5.3.1 Зашифрование

Открытый текст представляется в виде P = P₁||P₂||...||P_q, , i = 1, 2, ..., q - 1, , r <= s. Блоки шифртекста вычисляются по следующему правилу:

Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования с обратной связью по выходу проиллюстрировано на рисунке 5.

5.3.2 Расшифрование

Шифртекст представляется в виде: C = C₁||C₂||...||C_q, , i = 1, 2, ..., q - 1, , r <= s.

Блоки открытого текста вычисляются по следующему правилу:

Исходный открытый текст имеет вид

Расшифрование в режиме гаммирования с обратной связью по выходу проиллюстрировано на рисунке 6.

5.4. Режим простой замены с зацеплением

Параметром режима простой замены с зацеплением является целочисленная величина m, m = n·z, z >= 1 - целое число.

Длина сообщений, зашифровываемых в режиме простой замены с зацеплением, должна быть кратна длине блока базового алгоритма блочного шифрования n, поэтому, при необходимости, к исходному сообщению должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки .

При шифровании в режиме простой замены с зацеплением используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.

В режиме простой замены с зацеплением очередной блок шифртекста получается путем зашифрования результата покомпонентного сложения значения очередного блока открытого текста со значением n разрядов регистра сдвига с большими номерами. Затем регистр сдвигается на один блок в сторону разрядов с большими номерами. В разряды с меньшими номерами записывается значение блока шифртекста.

5.4.1 Зашифрование

Открытый и, при необходимости, дополненный текст , |P| = n·q представляется в виде: P = P₁||P₂||...||P_q, , i = 1, 2, ..., q. Блоки шифртекста вычисляются по следующему правилу:

Результирующий шифртекст имеет вид:

Зашифрование в режиме простой замены с зацеплением проиллюстрировано на рисунке 7.

5.4.2 Расшифрование

Шифртекст представляется в виде: C = C₁||C₂||...||C_q, , i = 1, 2, ..., q. Блоки открытого текста вычисляются по следующему правилу:

Исходный (дополненный) открытый текст имеет вид:

Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует произвести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.

Расшифрование в режиме простой замены с зацеплением проиллюстрировано на рисунке 8.

5.5. Режим гаммирования с обратной связью по шифртексту

Параметрами режима гаммирования с обратной связью по шифртексту являются целочисленные величины s и m, 0 < s <= n, n <= m.

В конкретной системе обработки информации на длину сообщения P может как накладываться ограничение |P| = s·q, так и не накладываться никаких ограничений. В случае если такое ограничение накладывается, к исходному сообщению, при необходимости, должна быть предварительно применена процедура дополнения.

При шифровании на одном ключе для каждого отдельного открытого текста используется значение непредсказуемой (случайной или псевдослучайной) синхропосылки .

При шифровании в режиме гаммирования с обратной связью по шифртексту используется двоичный регистр сдвига R длины m. Начальным заполнением регистра является значение синхропосылки IV.

Зашифрование в режиме гаммирования с обратной связью по шифртексту заключается в покомпонентном сложении открытого текста с гаммой шифра, которая вырабатывается блоками длины s. При вычислении очередного блока гаммы выполняется зашифрование n разрядов регистра сдвига с большими номерами базовым алгоритмом блочного шифрования с последующим усечением. Затем заполнение регистра сдвигается на s разрядов в сторону разрядов с большими номерами, при этом в разряды с меньшими номерами записывается полученный блок шифртекста, являющийся результатом покомпонентного сложения гаммы шифра и блока открытого текста.

5.5.1 Зашифрование

Открытый текст представляется в виде P = P₁||P₂||...||P_q, P_iV_s, i = 1, 2, ..., q - 1, , r <= s. Блоки шифртекста вычисляются по следующему правилу:

Результирующий шифртекст имеет вид:

Зашифрование в режиме гаммирования с обратной связью по шифртексту проиллюстрировано на рисунке 9.

5.5.2 Расшифрование

Шифртекст представляется в виде: C = C₁||C₂||...||C_q, , i = 1, 2, ..., q - 1. Блоки открытого текста вычисляются по следующему правилу:

Исходный открытый текст имеет вид:

Примечание - Если к исходному открытому тексту была применена процедура дополнения, то после расшифрования следует произвести обратную процедуру. Для однозначного восстановления сообщения может потребоваться знание длины исходного сообщения.

Расшифрование в режиме гаммирования с обратной связью по шифртексту проиллюстрировано на рисунке 10.

5.6. Режим выработки имитовставки

Режим выработки имитовставки, описание которого представлено ниже, реализует конструкцию OMAC1 (стандартизован в ISO под названием CMAC [1]).

Параметром режима является длина имитовставки (в битах) 0 < s <= n.

5.6.1 Выработка вспомогательных ключей

При вычислении значения имитовставки используются вспомогательные ключи, которые вычисляются с использованием ключа K. Длины вспомогательных ключей равны длине блока n базового алгоритма блочного шифрования.

Процедура выработки вспомогательных ключей может быть представлена в следующей форме

где B₆₄ = 0⁵⁹||11011, B₁₂₈ = 0¹²⁰||10000111.

Если значение n отлично от 64 и 128, следует использовать следующую процедуру определения значения константы B_n. Рассмотрим множество примитивных многочленов степени n над полем GF(2) с наименьшим количеством ненулевых коэффициентов. Упорядочим это множество лексикографически по возрастанию векторов коэффициентов и обозначим через f_n(x) первый многочлен в этом упорядоченном множестве.

Рассмотрим поле GF(2ⁿ)[x]/(f_n(x)), зафиксируем в нем степенной базис и будем обозначать операцию умножения в этом поле символом . Вспомогательные ключи K₁ и K₂ вычисляются следующим образом:

Примечание - Вспомогательные ключи K₁, K₂ и промежуточное значение R наряду с ключом K являются секретными параметрами. Компрометация какого-либо из этих значений приводит к возможности построения эффективных методов анализа всего алгоритма.

5.6.2 Вычисление значения имитовставки

Процедура вычисления значения имитовставки похожа на процедуру зашифрования в режиме простой замены с зацеплением при m = n и инициализации начального заполнения регистра сдвига значением 0ⁿ: на вход алгоритму шифрования подается результат покомпонентного сложения очередного блока текста и результата зашифрования на предыдущем шаге. Основное отличие заключается в процедуре обработки последнего блока: на вход базовому алгоритму блочного шифрования подается результат покомпонентного сложения последнего блока, результата зашифрования на предыдущем шаге и одного из вспомогательных ключей. Конкретный вспомогательный ключ выбирается в зависимости от того, является ли последний блок исходного сообщения полным или нет. Значением имитовставки MAC является результат применения процедуры усечения к выходу алгоритма шифрования при обработке последнего блока.

Исходное сообщение , для которого требуется вычислить имитовставку, представляется в виде:

где , i = 1, 2, ..., q - 1, , r <= n.

Процедура вычисления имитовставки описывается следующим образом:

где

- последний блок сообщения, полученного в результате дополнения исходного сообщения с помощью процедуры 3.

Процедура вычисления имитовставки проиллюстрирована на рисунках 11 - 13.

Примечание - Настоятельно рекомендуется не использовать ключ режима выработки имитовставки в других криптографических алгоритмах, в том числе в режимах, обеспечивающих конфиденциальность, описанных в 5.1 - 5.5.

Данное приложение носит справочный характер и не является частью настоящего стандарта.

В данном приложении содержатся примеры для зашифрования и расшифрования сообщений, а также выработки имитовставки, с использованием режимов работы шифра, определенных в данном стандарте. Параметр s выбран равным n с целью упрощения проводимых вычислений, а параметр m выбирался из соображений демонстрации особенностей каждого режима шифрования. Двоичные строки из V^*, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации ("||") опускается. То есть, строка будет представлена в виде a_r-1a_r-2...a₀, где , i = 0, 1, ..., r - 1.

В А.1 приведены примеры для блочного шифра с длиной блока n = 128 бит ("Кузнечик"). В А.2 приведены примеры для блочного шифра с длиной блока n = 64 бит ("Магма").

А.1 Блочный шифр с длиной блока n = 128 бит

Примеры используют следующие параметры:

Ключ

K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.

Открытый текст - четыре 128-битных блока:

P₁ = 1122334455667700ffeeddccbbaa9988,

P₂ = 00112233445566778899aabbcceeff0a,

P₃ = 112233445566778899aabbcceeff0a00,

P₄ = 2233445566778899aabbcceeff0a0011.

А.1.1 Режим простой замены

А.1.2 Режим гаммирования

А.1.2.1 Зашифрование

s = n = 128,

IV = 1234567890abcef0.

А.1.2.2 Расшифрование

С использованием приведенных значений K, IV, и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.1.3 Режим гаммирования с обратной связью по выходу

А.1.3.1 Зашифрование

s = n = 128, m = 2n = 256,

IV = 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

А.1.3.2 Расшифрование

С использованием приведенных значений K, IV, и C и с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.1.4 Режим простой замены с зацеплением

А.1.4.1 Зашифрование

m = 2n = 256,

IV = 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

А.1.4.2 Расшифрование

С использованием приведенных значений K, IV и C и с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.1.5 Режим гаммирования с обратной связью по шифртексту

А.1.5.1 Зашифрование

s = n = 128, m = 2n = 256,

IV = 1234567890abcef0a1b2c3d4e5f0011223344556677889901213141516171819.

А.1.5.2 Расшифрование

С использованием приведенных значений K, IV и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.1.6 Режим выработки имитовставки

А.1.6.1 Выработка вспомогательных ключей

R = 94bec15e269cf1e506f02b994c0a8ea0,

MSB₁(R) = 1,

MSB₁(K₁) = 0,

K₂ = K₁ << 1 = 297d82bc4d39e3ca0de0573298151dc7 << 1 = 52fb05789a73c7941bc0ae65302a3b8e,

|P₄| = n, K^* = K₁.

А.1.6.2 Вычисление имитовставки

s = 64.

А.2 Блочный шифр с длиной блока n = 64 бит

Примеры используют следующие параметры.

Ключ

K = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff.

Открытый текст - четыре 64-битных блока:

P₁ = 92def06b3c130a59,

P₂ = db54c704f8189d20,

P₃ = 4a98fb2e67a8024c,

P₄ = 8912409b17b57e41.

А.2.1 Режим простой замены

А.2.2 Режим гаммирования

А.2.2.1 Зашифрование

s = n = 64,

IV = 12345678.

А.2.2.2 Расшифрование

С использованием приведенных значений K, IV и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.2.3 Режим гаммирования с обратной связью по выходу

А.2.3.1 Зашифрование

s = n = 64, m = 2n = 128,

IV = 1234567890abcdef234567890abcdef1.

А.2.3.2 Расшифрование

С использованием приведенных значений K, IV и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.2.4 Режим простой замены с зацеплением

А.2.4.1 Зашифрование

m = 3n = 192,

IV = 1234567890abcdef234567890abcdef134567890abcdef12.

А.2.4.2 Расшифрование

С использованием приведенных значений K, IV и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.2.5 Режим гаммирования с обратной связью по шифртексту

А.2.5.1 Зашифрование

s = n = 64, m = 2n = 128,

IV = 1234567890abcdef234567890abcdef1.

А.2.5.2 Расшифрование

С использованием приведенных значений K, IV и C с помощью операции расшифрования воспроизводятся исходные значения P₁, P₂, P₃, P₄.

А.2.6 Режим выработки имитовставки

А.2.6.1 Выработка вспомогательных ключей

R = 2fa2cd99a1290a12,

MSB₁(R) = 0, K₁ = R << 1 = 5f459b3342521424,

MSB₁(K₁) = 0, следовательно K₂ = K₁ << 1 = be8b366684a42848,

|P₄| = n, K* = K₁.

А.2.6.2 Вычисление имитовставки

s = 32.

MAC = 154e7210.

--------------------------------

<*> Оригиналы международных стандартов ИСО/МЭК находятся во ФГУП "Стандартинформ" Федерального агентства по техническому регулированию и метрологии.