84 Глава 6. ВЫБОР ДОЛГОВРЕМЕННОГО КЛЮЧА АЛГОРИТМА ГОСТ 28147-89
Число подстановок (т.е. узлов Ki), которое можно из них построить, равно 211 32 864047. В среднем одна такая подстановка приходится на одну из 1313,7 подстановок шестнадцатого порядка.
Таким образом, мощность области сильных ключей (комбинаций восьми подстановок) – величина порядка 1080 .
6.2. Контроль долговременного ключа алгоритма ГОСТ 28147-89
При создании средств шифрования необходимо не только обспечить стойкость шифра к методам криптоанализа, но и учитывать возможность доступа к открытому тексту неаналитическим путем, а также путем внедрения лазеек.
Например, при угрозе хищения ключей, как известно, необходимо предусмотреть систему управления ключами безопасную в отношении их хранения. Следует учитывать также возможность подмены долговременных ключей, если не исключено, что стойкость криптоалгоритма связана со спецификой их выбора. С целью защиты от подобных угроз используются средства защиты от физического доступа к компонентам шифраппаратуры, перешифрование, дефрагментация ключей и т.п.
Генерация ключей может проводиться с участием третьей стороны с использованием сертификатов ключей.
6.2.1. Угроза внедрения слабых параметров
В некоторых работах по криптографии [41] учитывается возможность сознательной генерации третьей стороной т.н. слабых параметров, которые приводят к снижению стойкости соответствующих средств криптографической защиты информации.
Контроль долговременного ключа алгоритма ГОСТ 28147-89 85
Отметим следующие моменты, благоприятные с точки зрения практического внедрения подобных слабых параметров.
Во-первых, применяемая в криптосредствах ключей от несанкционированного доступа, как одинаковой степени как против злоумышленника, пользователя.
защита долговременных правило, эффективна в так и против законного
Иными словами, законный пользователь обычно не в состоянии ни просмотреть соответствующий ключ визуально, ни протестировать его с точки зрения слабости, особенно при аппаратной реализации криптоалгоритма.
По этой причине факт генерации третьей стороной слабых ключей может оказаться незамеченным.
Во-вторых, результаты криптоаналитических исследований, публикуемые в открытой литературе, содержат как конкретные типы слабых параметров, так и методики их использования для снижения стойкости стандартных криптоалгоритмов. Вообще говоря, злоумышленник может воспользоваться ими непосредственно.
Не исключено, что в ходе исследований стойкости алгоритма ГОСТ могут быть выявлены более сложные, чем рассмотренные нами, типы слабых долговременных ключей, представляющие определенную опасность для шифрпереписки в случае их применения.
Таким образом, если возможность внедрения слабого долговременного ключа алгоритма ГОСТ допускается, то возникает необходимость его (одноразового) контроля со стороны пользователя, невзирая на применяемые средства защиты ключей от непосредственного доступа.
Подчеркнем, что при выполнении требований соответствующих стандартов использование алгоритма ГОСТ является безопасным, поскольку долговременные ключи вырабатываются компетентными организациями по
86 Глава 6. ВЫБОР ДОЛГОВРЕМЕННОГО КЛЮЧА АЛГОРИТМА ГОСТ 28147-89
методикам, направленным не на исключение слабых ключей, а напротив, на генерацию сильных долговременных ключей.
6.2.2. Подход к выявлению слабых долговременных ключей
Одно из общеизвестных требований для сильных ключей состоит в том, чтобы узлы замены являлись подстановками. С учетом этого требования существует принципиальная возможность построения процедуры, выявляющей некачественные ключи методом «черного ящика», т.е. с помощью многократного тестирования шифрсредства.
Для ее изложения будем использовать уже известное нам криптоэквивалентное представление преобразования данных в режиме простой замены T = GA(S ):
u = (U−2 ,U−1,U0 ,U1,U2 ,K,U30 ,U31 ), U−2 
U−1 = S , U31 
U30 =T ,
~ |
=Ui , i = 0K31. |
Ui−2 Ui−1 |
Пусть в цикле i используется долговременный ключ K и некоторый подключ сеансового ключа Xt(i ), где t (i) - последовательность выбора
подключей: t(i)= (0,1K7, 0,1K7, 0,1K7, 7,6K1,0). Как обычно,
является значением цикловой функции в цикле с номером i . Пусть также задан блок открытого текста вида A=U||U, т.е. U-2=U-1=U.
Покажем, как выбрать сеансовый ключ X = X (K, U), такой, что блок A в результате зашифрования в режиме простой замены не изменяется: A = GA(A).
Для этого из каждого узла замены Kj, j = 1,…,8, с произвольного места ij, выберем тетраду hj и построим конкатенацию тетрад вида h=h1||…||h8.
Будем считать, что числа ij также являются тетрадами (представлены в шестнадцатиричной системе счисления).
Контроль долговременного ключа алгоритма ГОСТ 28147-89 87
Более точно, построим конкатенацию тетрад, позиции выбора которых из блока подстановки K заданы в виде вектора I = (i1,K,i8 ).
Вектор I = (i1,K,i8 ) назовем позицией соответствующего подблока h в K. Построим искомый ключ в виде X = X(K, U) = X(h, U).
Проследим процесс шифрования, продвигаясь по последовательности u.
Выберем подключ X1 из условия U + X1(mod232 )= I , где под значением I
понимается конкатенация егокомпонент, т.е. тетрад i j .
~= 1
Вэтом случае U−1 h , где показатель указывает, что к подблоку h
применен циклический сдвиг на 11 разрядов влево. Из соотношения
~ |
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
||||
Ui−2 Ui−1 |
|
=Ui получим U0 =U h . |
|
|
|
|
|
|
|||||||||||||
Выберем |
теперь |
подключ |
X2 |
|
из |
условия |
U0 + X2 (mod232 )= |
||||||||||||||
1 |
|
|
|
|
|
|
|
32 |
|
~ |
1 |
и |
|
1 |
т.е. |
U1 =U0 . |
|||||
= (U h )+ X2 (mod2 |
)= I , тогда U0 = h |
U1 =U h , |
|||||||||||||||||||
Положим теперь X3 = X |
|
~ |
~ |
1 |
|
|
|
|
|||||||||||||
2 , получим U1 |
=U0 = h . |
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
~ |
|
|
|
1 |
|
|
|
|
=U−1 . |
Поскольку U0 U1 =U2 и U0 =U h , то U2 =U . То есть, U2 |
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
~ |
|
~ |
1 |
|
|
~ |
Наконец, положим X4 = X1 . Тогда U2 |
=U−1 |
=h , откуда U3 =U1 U2 =U . |
|||||||||||||||||||
Таким образом, шесть первых членов последовательности u имеют вид |
|||||||||||||||||||||
|
|
|
|
|
|
|
|
(U−2 ,U−1,U0 ,U1,U2 ,U3 )= (U ,U ,U h1 ,U h1 ,U ,U ). |
|
||||||||||||
Следовательно, |
для |
четырехциклового |
алгоритма |
GA4 с |
ключами K, |
||||||||||||||||
~ |
|
|
|
X2 |
|
|
|
X2 |
|
|
X1 |
и порядком |
выбора |
подключей |
1,2,3,4, |
выполняется |
|||||
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
||||||||||||||||||
X = X1 |
|
|
|
|
|
|
|
|
|||||||||||||
равенство |
|
A = GA4 (A). |
Поскольку выходной блок имеет вид U||U, то |
||||||||||||||||||
дополнительное |
преобразование (перестановка |
последних двух |
подблоков в |
||||||||||||||||||
последовательности u) несущественно. |
Кроме того, для ключа |
~ |
прямой и |
||||||||||||||||||
X |
|||||||||||||||||||||
обратный порядок следования подключей совпадают.