Analysis of the GOST 28147-89 modes of operation that provide confidentiality.pdf Отечественный алгоритм криптографического преобразования ГОСТ 28147-89 яв-ляется единственным алгоритмом симметричного шифрования, разрешенным к ис-пользованию на территории РФ. ^андарт ГОСТ 28147-89 определяет алгоритмшифрования E : K х {0,1}64 ^ {0,1}64, три режима симметричного шифрованияSE = (k,e, D) с соответствующими уравнениями шифрования е и расшифрования D,а также режим выработки имитовставки. С момента опубликования и перевода стан-дарта на английский язык в отечественной и зарубежной литературе появилось боль-шое количество работ, посвященных анализу криптостойкости алгоритма шифрова-ния ГОСТ 28147-89. Однако оценка криптостойкости режимов шифрования, опреде-ленных в стандарте, до настоящего времени не проводилась, хотя, согласно [1], даннаязадача является актуальной для современной криптографии.Согласно [2], основным показателем криптостойкости режимов шифрования яв-ляется возможность адаптивной атаки по выбранным открытым текстам (IND-CPA).Данный показатель ориентирован на практическую оценку безопасности режима шиф-рования [3] против злоумышленника с ограниченными ресурсами.Пусть SE = (fc,., D) -произвольный режим шифрования [2] и A - злоумышлен-ник, который передает специальной подпрограмме-оракулу (ППО) множество пар со-общений (Мод, Mi,i),... , (M0,q, Mi,q) одинаковой длины. ППО возвращает злоумыш-леннику набор шифртекстов C1 , . . . , Cq в соответствии с экспериментами:- для ExpSnE"cpa"1 элемент C является шифртекстом сообщения M1,i, 1 ^ i ^ q;- для ExpSneCpa"° элемент C является шифртекстом сообщения M0 i , 1 ^ i ^ q.Определение 1. Определим возможность адаптивной атаки по выбранным от-крытым текстам какAdvSlcpa(A) = Pr[ExpSnEd"cpa"1(A) = 1] - Pr[ExpSlcpa"°(A) = 1],где Pr[ExpSnE"cpa"1 (A) = 1] -вероятность события, при котором злоумышленник Aсчитает, что ППО зашифровал сообщения M1 i для эксперимента ExpSnE"cpa"1(A);Pr[ExpSnEd_cpa"° (A) = 1] -вероятность события, при котором злоумышленник A считает,что ППО зашифровал сообщения M1i для эксперимента ExpSnEE"cpa"°(A).Режим шифрования является безопасным при AdvSnE"cpa (A) ^ 0. Определены зна-чения AdvSnE"cpa для всех режимов работы ГОСТ 28147-89, обеспечивающих конфиден-циальность обрабатываемой информации. Модель злоумышленника A определяетсяколичеством а запросов к ППО. Безопасность алгоритма шифрования определяетсяпоказателем псевдослучайности функции шифрования Advgf(B) [2]. Теоретическиерезультаты приведены в табл. 1.Та б л и ц а 1Теоретические характеристики криптостойкостиотечественных режимов шифрованияНазвание режима шифрования Теоретическое значение AdvSE"cpaПростой замены 1Гаммирования Adv.fS T(B)+2a726 4Гаммирования с обратной связью A d f (B) + a2/264Практические значения AdvSnEE"cpa приведены в табл. 2 и рассчитываются при до-пущении, что наилучшей атакой на алгоритм шифрования в ГОСТ является атака,основанная на парадоксе дней рождения[1].Значение а соответствует количеству блоков данных, зашифрованных ППО, и поз-воляет определить продолжительность сессии защищенного обмена данными в систе-мах криптографической защиты информации. Таким образом,- для режима простой замены безопасным является шифрование данных размеромв один блок, т. е. 64 бита, или 8 байт;для режима гаммирования безопасным является шифрование данных размером231 блоков, т. е. 16 Гбайт;- для режима гаммирования с обратной связью безопасным является шифрованиеданных размером \J264/3 блоков, т.е. ~ 18,475 Гбайт.Т а б л и ц а 2Практические характеристики криптостойкости отечественныхрежимов шифрованияНазвание Практическое значение Значение а,режима шифрования AdvSnEd-cpa обеспечивающеекриптостойкостьПростой замены i 1Гаммирования < 4а2/264 < 231Гаммирования с обратной связью < 3а2/264 < у/264/3

Скачать электронную версию публикации