1 РАЗРАБОТАНЫ Центром защиты информации и специальной связи ФСБ России

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 026 "Криптографическая защита информации"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2022 г. N 1285-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Настоящие рекомендации содержат описание режима работы блочных шифров. Данный режим определяет правила выработки ключевой информации и криптографического преобразования данных для защиты носителей информации с блочно-ориентированной структурой.

Необходимость разработки настоящих рекомендаций вызвана потребностью в определении режима работы блочных шифров, позволяющего осуществлять защиту информации с учетом особенностей носителей информации с блочно-ориентированной структурой и соответствующего современным требованиям к криптографической стойкости.

Настоящие рекомендации определяют режим работы блочных шифров DEC (Disk Encryption with Counter Mode), который может быть использован при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации, обеспечивающих конфиденциальность информации, записанной на носителях информации с блочно-ориентированной структурой.

В настоящих рекомендациях использована нормативная ссылка на следующий документ:

Р 1323565.1.022-2018 Информационная технология. Криптографическая защита информации. Функции выработки производного ключа

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1.1 сектор: Битовая строка фиксированной длины.

3.1.2 раздел: Совокупность занумерованных секторов одинаковой длины.

3.1.3 носитель информации с блочно-ориентированной структурой: Совокупность занумерованных разделов, каждый из которых содержит некоторое количество секторов.

В настоящем стандарте применены следующие обозначения:

- максимально допустимое значение вероятности эффективного применения методов криптографического анализа;

- минимальное целое число, большее или равное x;

- параметр носителя информации, называемый длиной сектора в битах;

- длина сектора в блоках, т.е. ;

- параметр режима DEC, определяющий частоту смены ключа;

- параметр режима DEC, называемый количеством разделов;

- параметр режима DEC, называемый количеством секторов в разделе;

- операция сложения в кольце ;

K_j - ключ раздела с номером j, j = 0, 1, 2, ..., w - 1;

K_j,i - ключ сектора с номером i, i = 0, 1, 2, ..., s - 1 раздела с номером j, j = 0, 1, 2, ..., w - 1;

- механизм, определенный в Р 1323565.1.022-2018, с параметрами, определенными в разделе 4.

Биты в строках нумеруются справа налево, а разбиение сектора на блоки длины n нумеруется слева направо.

Соответствие между целыми числами и элементами колец вычетов задается естественным образом. При этом в целях упрощения изложения операции преобразования элементов множества в элементы кольца вычетов , в математических формулах явно указываться не будут.

Функции форматирования данных format (z_i-1, C_i, P, U, A, L) и выработки имитовставки из Р 1323565.1.022-2018 определяются следующим образом:

В настоящих рекомендациях результат применения механизма kdf⁽²⁾ не зависит от аргументов U и A, поэтому значения данных аргументов полагаются равными пустой строке.

Параметры режима DEC должны удовлетворять следующим условиям:

- n | l;

- ;

- ;

- ;

- .

Разделу с номером j, j = 0, 1, 2, ..., w - 1, значение , используемое для выработки ключа данного раздела. Для всех j = 0, 1, 2, ..., w - 1, значение l_j инициализируется строкой .

Сектору с номером i, i = 0, 1, 2, ..., s - 1, раздела с номером j, j = 0, 1, 2, ..., w - 1, соответствует значение , используемое для выработки ключей данного сектора. Для всех i = 0, 1, 2, ..., s - 1, j = 0, 1, 2, ..., w - 1, значение l_j,i инициализируется строкой .

Для значений l_j, l_j,i, i = 0, 1, 2,..., s - 1, j = 0, 1, 2,..., w - 1, должна обеспечиваться невозможность их неконтролируемых изменений. Способ хранения значений l_j, l_j,i, i = 0, 1, 2,..., s - 1, j = 0, 1, 2, ..., w - 1, не регламентируется режимом DEC.

Пусть - секретный ключ <1>. Ключи разделов (K_{j, j} = 0, 1, 2, ..., w - 1) вырабатываются согласно следующей схеме:

--------------------------------

<1> Вопросы выбора и смены ключа K_in определяются исходя из эксплуатационно-технических соображений и не регламентируются режимом DEC.

Ключи разделов используются для выработки ключей секторов K_j,i, j = 0, 1, 2, ..., w - 1, i = 0, 1, 2, ..., s - 1, согласно следующей схеме:

Для зашифрования данных M = M₀ || M₁ || ^... || M_q-1, , t = 0, 1, 2, ..., q - 1, носителя информации в секторе с номером i, , раздела с номером j, , выполняется следующая последовательность шагов.

Шаг 1. Проверяется равенство . Если оно не выполнено, то осуществляется переход на шаг 2. Иначе производится перешифрование раздела с номером j (см. 4.5) и переход на шаг 2.

Шаг 2. Осуществляется присваивание .

Шаг 3. Вырабатывается ключ раздела K_j согласно схеме (1).

Шаг 4. Вырабатывается ключ сектора K_j,i согласно схеме (2).

Шаг 5. Вырабатывается последовательность блоков:

где .

Шаг 6. Выполняется зашифрование по следующему правилу: , t = 0, 1, 2,..., q - 1.

Результирующий шифртекст в секторе с номером i, раздела с номером j, , имеет вид

Для расшифрования шифртекста C = C₀ || C₁ ||^...|| C_q-1, , t = 0, 1, ..., q - 1, записанного в секторе с номером i, , раздела с номером j, , выполняется следующая последовательность шагов.

Шаг 1. Вырабатывается ключ раздела K_j согласно схеме (1).

Шаг 2. Вырабатывается ключ сектора K_j,i согласно схеме (2).

Шаг 3. Вырабатывается последовательность блоков:

где .

Шаг 4. Выполняется расшифрование по правилу: , t = 0, 1, ..., q - 1.

Открытый текст имеет вид

Для перешифрования раздела <1> с номером j, выполняется нижеприведенная последовательность шагов. Будем считать, что в секторе с номером i, шифртекст имеет вид .

--------------------------------

<1> Операция перешифрования раздела с номером j, может применяться как самостоятельная операция. Использование данной операции в случаях, отличных от описанных в подразделе 4.3, должно определяться исходя из эксплуатационно-технических соображений и не регламентируется режимом DEC.

Шаг 1. Проверяется равенство . Если оно не выполнено, то осуществляется переход на шаг 2, в противном случае дальнейшая эксплуатация режима без смены ключа K_in невозможна.

Шаг 2. Вырабатывается ключ раздела K_j согласно схеме (1).

Шаг 3. Осуществляется присваивание i = 0.

Шаг 4. Вырабатывается ключ сектора K_j,i согласно схеме (2).

Шаг 5. Вырабатывается последовательность блоков:

где .

Шаг 6. Вырабатывается ключ раздела согласно следующей схеме:

Шаг 7. Осуществляется присваивание .

Шаг 8. Вырабатывается ключ сектора согласно следующей схеме:

Шаг 9. Вырабатывается последовательность блоков:

где .

Шаг 10. Выполняется перешифрование по правилу

Шаг 11. Значение является результатом перешифрования сектора с номером i раздела с номером j.

Шаг 12. Осуществляется присваивание i = i + 1.

Шаг 13. Проверяется выполнение равенства i = s. Если оно верно, то осуществляется переход на шаг 14. Иначе - на шаг 4.

Шаг 14. Осуществляется присваивание .