Режим выработки имитовставки.

Имитовставка- это блок из Р бит, который вырабатыва­ют по определенному правилу из открытых данных с использова­нием ключа и затем добавляют к зашифрованным данным для обеспечения их имитозащиты.

Имитозащита- это защита системы шифрованной связи от навязывания ложных данных.

В стандарте ГОСТ 28147-89определяется процесс выра­ботки имитовставки, который единообразен для любого из режи­мов шифрования данных. Имитовставка И_р вырабатывается из блоков открытых данных либо перед шифрованием всего сообще­ния, либо параллельно с шифрованием по блокам. Первые блоки открытых данных, которые участвуют в выработке имитовставки, могут содержать служебную информацию (например, адресную часть, время, синхропосылку) и не зашифровываются.

Значение параметра Р (число двоичных разрядов в имитовставке) определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных помех равна 1/2^р.

Для выработки имитовставки открытые данные представ­ляют в виде последовательности 64-разрядных блоков Т₀⁽ⁱ⁾, i=1…m..

Первый блок открытых данных Т₀⁽¹⁾ подвергают преобразо­ванию А(), соответствующему первым 16 циклам алгоритма за­шифрования в режиме простой замены. В качестве ключа для вы­работки имитовставки используют ключ длиной 256 бит, по кото­рому шифруют данные.

Полученное после 16 циклов 64-разрядное число А (Т₀⁽¹⁾) суммируют по модулю 2 со вторым блоком открытых данных Т₀⁽²⁾.

Результат суммирования (А(Т₀^{1)) + Т₀⁽²⁾) снова подвергают пре­образованию А (.).

Полученное 64-разрядное число А(А(Т₀⁽¹⁾) + Т₀⁽²⁾) сумми­руют по модулю 2 с третьим блоком Т₀⁽³⁾ и снова подвергают пре­образованию А (•), получая 64-разрядное число

А (А (А (Т₀⁽¹⁾) + Т₀⁽²⁾) + То⁽³⁾), и т.д.

Последний блок Т₀^(m) (при необходимости дополненный нулями до полного 64-разрядного блока) суммируют по модулю 2 с результатом вычислений на шаге (m-1), после чего зашифровы­вают в режиме простой замены, используя преобразование А (•).

Из полученного 64-разрядного числа выбирают отрезок И_р (имитовставку) длиной Р бит:

И_Р = [a^(m)_32-p+1 (16), a^(m)_32-p+2 (16),…, a^(m)₃₂ (16)],

где a_i^(m) - i-й бит 64-разрядного числа, полученного после 16-го цикла последнего преобразования А (•), 32 - р + 1 <= i <= 32.

Имитовставка И_р передается по каналу связи или в память ЭВМ в конце зашифрованных данных, т.е.

Т_ш⁽¹⁾, Т_ш⁽²⁾,…, Т_ш^(m), Ир.

Поступившие к получателю зашифрованные данные

Т_ш⁽¹⁾, Т_ш⁽²⁾,…, Т_ш^(m)

расшифровываются, и из полученных блоков открытых данных То⁽¹⁾, Т₀⁽²⁾, ..., Т₀^(m) аналогичным образом вырабатывается имитов­ставка И_р^’. Эта имитовставка И_р' сравнивается с имитовставкой И_р, полученной вместе с зашифрованными данными из канала связи или из памяти ЭВМ. В случае несовпадения имитовставок полу­ченные при расшифровании блоки открытых данных Т₀⁽¹⁾, Т₀⁽²⁾, ..., T₀^(m) считают ложными.

Первоначально алгоритм ГОСТ 28147-89 предназначался для аппаратной реализации. Но с ростом производительности современных компьютеров стала возможной и эффективная программная реализация этой криптографической системы.