1 РАЗРАБОТАНЫ Центром защиты информации и специальной связи ФСБ России с участием ОАО "Информационные технологии и коммуникационные системы"

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 026 "Криптографическая защита информации"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2017 г. N 1504-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru).

В настоящее время широкое распространение в мире получили средства коммуникации, основанные на технологии подвижной радиотелефонной связи, в том числе технологии мобильной связи третьего поколения [1], где для выработки аутентификацонных векторов и ключей шифрования возможно использовать процедуры [2 - 5]. Данная технология объединяет в себе высокоскоростной мобильный доступ к услугам радиосвязи и сети Интернет. При подключении к сети радиотелефонной связи абонентского терминала, содержащего аппаратный модуль доверия, выполняются процедуры аутентификации данного модуля и выработки ключей шифрования информации, выполняемых с использованием основного ключа, располагающегося на аппаратном модуле доверия и в центре аутентификации.

Настоящие рекомендации определяют описания криптографических алгоритмов выработки ключей шифрования информации и аутентификационных векторов, предназначенных для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи и использующих в качестве базового преобразования криптографический алгоритм хэширования, определенный в ГОСТ Р 34.11 с длиной хэш-кода 512 бит, получившие названия S3G-128 и S3G-256 (S3G - Secure 3G).

Необходимость разработки настоящих рекомендаций вызвана потребностью в формировании единого подхода к использованию национальных стандартизованных решений в области криптографии в алгоритмах выработки ключей шифрования информации и аутентификационных векторов, предназначенных для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи.

Примечание - Основная часть настоящих рекомендаций дополнена приложением А.

S3G-128 и S3G-256 представляют собой криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи. При этом они могут использоваться как в рамках сети третьего поколения [1] вместо процедур [2 - 5], так и ввиду универсальности используемых механизмов в сетях как более раннего, так и позднего поколений. В частности данные алгоритмы предназначены для выработки аутентификационных векторов в процессе информационного взаимодействия абонентского терминала и базовой приемно-передающей станцией. В случае корректного завершения процедуры аутентификации между аппаратным модулем доверия и базовой приемно-передающей станцией алгоритмы S3G-128 и S3G-256 используются для выработки центром аутентификации и аппаратным модулем доверия ключей шифрования передаваемой информации, а также контроля ее целостности.

В настоящих рекомендациях использована нормативная ссылка на следующий стандарт:

ГОСТ Р 34.11 Информационная технология. Криптографическая защита информации. Функция хэширования

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов (рекомендаций) в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт (рекомендации), на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта (рекомендаций) с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт (рекомендации), на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта (рекомендаций) с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт (рекомендации), на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт (рекомендации) отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

В настоящих рекомендациях применены следующие термины в соответствии со следующими определениями:

3.1.1 абонентский терминал: Приемо-передающее устройство, используемое для доступа к услугам телефонной связи и сети Интернет в сетях подвижной радиотелефонной связи.

3.1.2 аппаратный модуль доверия: Идентификационный модуль абонента, применяемый в сетях подвижной радиотелефонной связи и содержащий основной ключ.

3.1.3 аутентификационный вектор: Двоичная строка фиксированной длины, используемая для обеспечения целостности передаваемой информации и аутентификации источника данных. Необходим для реализации процедуры аутентификации между аппаратным модулем доверия и центром аутентификации.

3.1.4 базовая приемно-передающая станция: Элемент подвижной радиотелефонной связи, выступающий посредником в рамках информационного взаимодействия, организуемого между аппаратным модулем доверия и центром аутентификации.

3.1.5 криптографический ключ: Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

3.1.6 ключ контроля целостности: Криптографический ключ, используемый в рамках процедур обеспечения контроля целостности передаваемой информации.

3.1.7 ключ анонимизации: Криптографический ключ, используемый в рамках процедуры аутентификации и применяемый для анонимизации номера попытки аутентификации.

3.1.8 ключ шифрования информации: Криптографический ключ, используемый в рамках процедуры шифрования передаваемой информации.

3.1.9 оператор связи: Элемент подвижной радиотелефонной связи, в ведомстве которого находится организация производства аппаратных модулей доверия и обеспечение бесперебойной работы центра аутентификации.

3.1.10 основной ключ: Долговременный параметр, располагающийся на аппаратном модуле доверия и используемый в рамках процедур выработки аутентификационных векторов и ключей шифрования информации.

3.1.11 центр аутентификации: Элемент подвижной радиотелефонной связи, обеспечивающий аутентификацию аппаратных модулей доверия и выработку ключей шифрования из основного ключа.

В настоящих рекомендациях использованы следующие обозначения:

V^* - множество всех двоичных строк конечной длины, включая пустую строку;

V_l - множество всех двоичных строк длины l, где l - целое неотрицательное число; нумерация подстрок и компонент строки осуществляется справа налево начиная с нуля;

|A| - число компонент (длина) строки (если A - пустая строка, то |A| = 0);

A||B - конкатенация строк , т.е. строка из V_|A|+|B|, в которой подстрока с большими номерами компонент из V_|A| совпадает со строкой A, а подстрока с меньшими номерами компонент из V_|B| совпадает со строкой |B|;

A^l - конкатенация l экземпляров строки A;

- отображение, реализующее функцию хэширования в соответствии с ГОСТ Р 34.11 с длиной хэш-кода 512 бит;

AMF - управляющее поле аутентификации;

K - основной ключ;

SQN - номер попытки аутентификации аппаратного модуля доверия;

OP - двоичная строка, используемая в S3G-128 для персонификации оператора связи;

OP_C - двоичная строка, формируемая с использованием OP и K;

TOP - двоичная строка, используемая в S3G-256 для персонификации оператора связи;

TOP_C - двоичная строка, формируемая с использованием TOP и K;

RAND - случайная двоичная строка;

AK - ключ анонимизации;

CK - ключ шифрования информации;

IK - ключ контроля целостности;

MAC_A - аутентификационный вектор сети, необходим для аутентификации аппаратным модулем доверия центра аутентификации;

MAC_S - аутентификационный вектор ресинхронизации;

RES - аутентификационный отзыв, получаемый базовой станцией от аппаратного модуля доверия;

XRES - предполагаемое значение аутентификационного отзыва, получаемое базовой станцией от центра аутентификации.

В процессе функционирования криптографических алгоритмов S3G-128 и S3G-256 вычисляются семь функций f₁, , f₂, f₃, f₄, f₅, . Значения, получаемые в результате вычисления каждой из данных функций, ассоциируются со следующими формируемыми значениями:

где A - некоторая двоичная строка, определяемая реализуемым криптографическим преобразованием.

Начальное заполнение имеет вид:

1 содержит название алгоритма "AUT" (без кавычек) в ASCII-кодировке;

2 inf₁ = 0⁷;

3 inf₂ = 0⁶||1;

4 inf₃ = 0⁵||1||0;

5 add = 0³² (при необходимости может выбираться оператором связи).

Двоичные строки K, SQN, OP, AMF и RAND считаются заданными.

5.1 Вычисление значения

Из четырех строк , , , формируется строка

Далее вычисляется

тогда

5.2 Вычисление значений f₁, 

Из восьми строк , , , , , , , формируется строка

Далее вычисляется

тогда

5.3 Вычисление значений f₂, f₃, f₄, f₅, 

Из шести строк , , , , , формируется строка

Далее вычисляется

тогда

Начальное заполнение имеет вид:

1 содержит строку "GOSTR3411" (без кавычек) в ASCII-кодировке;

2 inf₁ = 0⁸;

3 inf₂ = 0⁷||1;

4 inf₃ = 0⁶||1||0;

5 inf₄ = 0⁶||1²;

6 add = 0³² (при необходимости может выбираться оператором связи);

7 

Двоичные строки K, SQN, TOP, AMF и RAND считаются заданными.

6.1 Вычисление значения TOP_C

Из пяти строк , , , , формируется строка

где 

Далее вычисляется

тогда

6.2 Вычисление значений f₁, 

Из девяти строк , , , , , , , , формируется строка

где instance[0] = instance[1] = instance[5] = instance[6] = 0,

Далее вычисляется

тогда

6.3 Вычисление значений f₂, f₅, 

Из семи строк , , , , , , формируется строка

где instance[0] = instance[1] = 1,

Далее вычисляется

тогда

6.4 Вычисление значения f₃, f₄

Из семи строк , , , , , , формируется строка

где instance[0] = 0, instance[1] = 1,

Далее вычисляется

тогда

Данное приложение носит справочный характер и не является частью настоящих рекомендаций.

А.1 S3G-128

Пусть заданы строки:

1) k = 088d39f02c95f5925c9e94c7425ee37b;

2) RAND = 6009393d6c9a491e624a77510399b1a7;

3) SQN = 5121d1690714;

4) AMF = 055a;

5) OP = f26dd1c9f062819c40555228e0db07ef;

6) add = 00000000;

7) algoname = 415554.

А.1.1 Вычисление значения OP_C

Двоичное представление строки inf₁ = (0||0||0||0||0||0||0), тогда двоичное представление строки F_OP имеет следующий вид:

тогда OP_C = 7fddefd5d53d94231bb4d6f005951513.

А.1.2 Вычисление значения f₁, 

Двоичное представление строки inf₂ = (0||0||0||0||0||0||1), а строка OP_C = 7fddefd5d53d94231bb4d6f005951513, тогда двоичное представление строки F₁ имеет следующий вид:

тогда f₁ = 6a58ba22c5fe9684 и .

А.1.3 Вычисление значения f₂, f₃, f₄, f₅, 

Двоичное представление строки inf₂ = (0||0||0||0||0||1||0), а строка OP_C = 7fddefd5d53d94231bb4d6f005951513, тогда двоичное представление строки F₂ имеет следующий вид:

тогда

А.2 S3G-256

Пусть заданы строки:

1) K = 088d39f02c95f5925c9e94c7425ee37b, тогда

KV = 088d39f02c95f5925c9e94c7425ee37b00000000000000000000000000000000

2) RAND = a33c95d77713419f335ae19949195cc9;

3) SQN = e7b4ba4cf16d;

4) AMF = 5599610d52727524a2b61f4f5a5d17e6;

5) TOP = d0639a3bced0524a1ccd44ceb8de35dc96ed7cfafb9edd72db02c853998df6c9;

6) add = 00000000;

7) algoname = 474f53545234333131.

А.2.1 Вычисление значения TOP_C

Двоичное представление строки inf₁ = (0||0||0||0||0||0||0||0), и instance = 00, следовательно:

T = 088d39f02c95f5925c9e94c7425ee37b000000000000000000000

тогда

А.2.2 Вычисление значения f₁, 

Будем считать, что |MAC_A| = |MAC_S| = 64, тогда строка instance = 10. Двоичное представление строки inf₂ = (0||0||0||0||0||0||0||1), а строка

TOP_C = 25b19816a39c2da75c29d618f1ed564aa09d25e8f068ad1b33d27c688862d03c, следовательно:

тогда

А.2.3 Вычисление значения f₂, f₅, 

Будем считать, что |RES| = 64 и |CK| = |IK| = 128, тогда строка instance = 13. Двоичное представление строки inf₃ = (0||0||0||0||0||0||1||0), а строка

TOP_C = 25b19816a39c2da75c29d618f1ed564aa09d25e8f068ad1b22d27c688862d03c, следовательно

тогда

А.2.4 Вычисление значения f₃, f₄

Будем считать, что |RES| = 64 и |CK| = |IK| = 128, тогда строка instance = 12. Двоичное представление строки inf₄ = (0||0||0||0||0||0||1||1), а строка

TOP_C = 25b19816a39c2da75c29d618f1ed564aa09d25e8f068ad1b33d27c688862d03c, следовательно:

тогда