Способ итеративного шифрования блоков цифровых данных

 

Изобретение относится к электросвязи и вычислительной технике, а конкретнее к криптографическим способам для шифрования данных. Способ итеративного шифрования блоков цифровых данных включает формирование секретного ключа в виде совокупности подключей, разбиение блока данных на два подблока и выполнение R2 раундов шифрования, каждый из которых включает преобразование первого подблока путем выполнения над ним последовательности операций L₁, L₂, ..., L_n, где n>1, и преобразование второго подблока путем выполнения над ним последовательности операций H₁, H₂,..., Н_m, где m>1, причем, по крайней мере, одна из операций L₁, L₂,..., L_n, H₁, Н₂,..., Н_m является управляемой операцией и перед выполнением этой операции формируют управляющий вектор, а при выполнении, по крайней мере, одной из операций L₁, L₂,..., L_n, H₁, Н₂,.. . , Н_m используют один из подключей, при этом m является четным числом, n является нечетным числом, и дополнительно во всех раундах шифрования, кроме последнего, после выполнения операций L_n и Н_m, осуществляют перестановку подблоков, а операции Н_i являются обратными по отношению к операциям H_m-i+1, где 1im/2, и операции L_i являются обратными по отношению к операциям L_n-j+1, где 1j(n-1)/2, причем операция L_(n-1)/2+1 является инволюцией, в качестве операции L_(n-1)/2+1 используют операцию поразрядного суммирования по модулю два или управляемую перестановочную инволюцию, а также в качестве операций L₁, L₂, . . ., L_n, где n3, кроме операции L_(n-1)/2+1, используют управляемые двуместные операции, выполняемые над первым подблоком и одним из подключей, в качестве операций H₁, H₂,..., Н_m, где m2, используют управляемые перестановки, а в качестве L_(n-1)/2+1 используют управляемую перестановочную инволюцию, кроме того, перед выполнением операций L₁, L₂,..., L_n над первым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения второго подблока, а перед выполнением операций H₁, Н₂,..., Н_m над вторым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения первого подблока. Технический результат, достигаемый при осуществлении способа, состоит в упрощении его реализации благодаря осуществлению процедуры шифрования и дешифрования с помощью одной и той же электронной схемы. 4 з.п. ф-лы, 2 ил.

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области способов шифрования и криптографических устройств для защиты информации, передаваемой по каналам связи или хранимой в компьютерных системах.

В совокупности признаков заявляемого способа используются следующие термины: - секретный ключ представляет из себя двоичную информацию, известную только законному пользователю; - подключ - часть секретного ключа; - шифрование есть процесс преобразования информации, который зависит от секретного ключа и преобразует исходный текст в шифртекст (криптограмму), представляющий собой псевдослучайную последовательность знаков, из которой получение информации без знания секретного ключа практически неосуществимо; - дешифрование есть процесс, обратный процедуре шифрования; дешифрование обеспечивает восстановление информации по криптограмме при знании секретного ключа; - шифр представляет собой совокупность элементарных шагов преобразования входных данных с использованием секретного ключа; шифр может быть реализован в виде программы для ЭВМ или в виде отдельного устройства; - двоичный вектор - это некоторая последовательность нулевых и единичных битов, например (101101011); двоичный вектор интерпретируется как двоичное число, т.е. двоичному вектору может быть сопоставлено численное значение; - криптоанализ - метод вычисления секретного ключа для получения несанкционированного доступа к зашифрованной информации; - криптостойкость является мерой надежности защиты зашифрованной информации и представляет собой трудоемкость, измеренную в количестве элементарных операций, которые необходимо выполнить для восстановления информации по криптограмме при знании алгоритма преобразования, но без знания секретного ключа; - одноместная операция - это операция, выполняемая над одним операндом (блоком данных или двоичным вектором); значение подблока после выполнения некоторой данной одноместной операции зависит только от его начального значения; примером одноместных операций являются операции циклического сдвига;
- двуместная операция - это операция, выполняемая над двумя операндами; результат выполнения некоторой данной двуместной операции зависит от значения каждого операнда; примером двуместных операций являются операции сложения, вычитания, умножения и др.

- операнд - это двоичный вектор, над которым выполняется двуместная или одноместная операция;
- управляемая двуместная операция - это операция выполняемая над двумя операндами под управлением некоторого двоичного вектора, называемого управляющим вектором; результат выполнения некоторой управляемой двуместной операции при фиксированном управляющем векторе зависит от значения каждого операнда, а при фиксированных значениях операндов - от значения управляющего вектора; примеры реализации управляемых двуместных операций описаны в патенте N 2140716 [Молдовян А.А., Молдовян Н.А., Молдовяну П.А. Способ криптографического преобразования блоков цифровых данных // Патент РФ N 2140716, МПК⁶ H 04 L 9/28, БИ N 30 от 27.10.1999]; в формулах управляемую двуместную операцию будем обозначать записью Z=Q_V(A,B), где А, В - операнды, V - управляющий вектор;
- модификация управляемой двуместной операции - двуместная операция, соответствующая преобразованию двух операндов при фиксированном значении управляющего вектора;
- управляемая перестановка - это операция, выполняемая над одним операндом под управлением некоторого двоичного вектора, называемого управляющим вектором и заключающаяся в перестановке битов операнда в зависимости от значения управляющего вектора; примеры реализации управляемых перестановок описаны в патенте N 2140714 [Алексеев Л.Е., Белкин Т.Г., Молдовян А.А., Молдовян Н. А. Способ итеративного шифрования блоков данных // Патент РФ N 2140714, МПК⁶ Н 04 L 9/20, БИ N 30 от 27.10.1999]; в формулах управляемую перестановку будем обозначать записью Р_V, а преобразование операнда В путем выполнения над ним управляемой перестановки - записью В:= Р_V(В), где V - управляющий вектор; управляемая перестановка является частным случаем управляемой одноместной операции;
- модификация управляемой перестановки - фиксированная перестановка битов операнда, соответствующая заданному значению управляющего вектора;
- обратная управляемая перестановка (по отношению к некоторой данной управляемой перестановке) - это перестановка, все модификации P_V ^-1 которой являются обратными по отношению к модификациям перестановки Р_V, т.е. для любого заданного значения управляющего вектора последовательное выполнение операций Р_V и P_V ^-1 над двоичным вектором В не изменяют значение последнего, что аналитически можно записать в виде В=P_V ^-1(P_V(B)) или В=P_V(P_V ^-1(B)); варианты реализации двух взаимно обратных управляемых перестановок описаны в патенте РФ N 2140714.

- обратная управляемая двуместная операция (по отношению к некоторой данной управляемой двуместной операции Q - это такая управляемая двуместная операция (обозначаемая как Q^-1), которая для любого заданного значения управляющего вектора V и любого заданного значения операнда В удовлетворяет условию А= Q_V ^-1 (Z,B), если Z=Q_V(A,B); варианты реализации двух взаимно обратных управляемых двуместных операций описаны в работе [Гуц Н.Д., Молдовян А. А. , Молдовян Н.А. Гибкие аппаратно-ориентированные шифры на базе управляемых сумматоров // Вопросы защиты информации, 2000, N 1, с.8-15];
- инволюция - это такая операция или процедура преобразования I, которая является обратной самой себе, т.е. выполняется условие В=I(Z), если Z=I(B);
- управляемая перестановочная инволюция - это операция управляемой перестановки Р, для которой обратная по отношению к ней управляемая перестановка совпадает с ней самой, т.е. P_V ^-1=Р_V для всех возможных значений управляющего вектора; это означает, что для управляемой перестановочной инволюции справедливо равенство В=Р_V(Р_V(В)) при произвольном значении V.

Известны способы итеративного шифрования блоков цифровых данных, см. например, шифр DES [B.Schneier, "Applied Cryptography", Second Eddition, John Wiley & Sons, Inc., New York, 1996, p.270-277]. В этом способе данные разбиваются на блоки, шифрование которых выполняют путем формирования секретного ключа, разбиения преобразуемого блока данных на два подблока L и R и поочередного изменения последних путем выполнения операции поразрядного суммирования по модулю два над подблоком L и двоичным вектором, который формируется как выходное значение некоторой функции Е от значения подблока R. После этого подблоки переставляются местами. Функция Е в указанном способе реализуется путем выполнения операций перестановки и подстановки, выполняемых над подблоком R. Данный способ обладает высокой скоростью преобразований при реализации в виде специализированных электронных схем. Однако, известный способ-аналог использует секретный ключ малого размера (56 бит), что делает его уязвимым к криптоанализу на основе подбора ключа. Последнее связано с высокой вычислительной мощностью современных ЭВМ.

Другим известным способом итеративного шифрования блоков цифровых данных является способ, описанный в Российском стандарте криптографической защиты данных [Стандарт СССР ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования]. Этот способ включает в себя формирование ключа шифрования в виде последовательности из 8 подключей длиной 32 бита, разбиение входной информации, представленной в виде двоичного кода, на участки длиной по 64 бит, формирование на их основе 64-битовых блоков данных и преобразование блоков под управлением ключа шифрования. Перед преобразованием каждый блок данных разбивается на два 32-битовых подблока A и В, которые поочередно преобразуются путем выполнения 32 раундов преобразования (итераций). Один раунд преобразования заключается в следующем. По подблоку А и одному из подключей вычисляется 32-битовое значение раундовой функции Е и полученное значение Е(А) накладывают на подблок В с помощью операции поразрядного суммирования по модулю два () в соответствии с формулой B := BE(A). Вычисление раундовой функции осуществляется в соответствии со следующими шагами преобразования. По подблоку А формируется двоичный вектор F. Преобразуют двоичный вектор F путем наложения на него текущего подключа _i, являющегося фиксированным для данного раунда и называемого раундовым подключом, с помощью операции сложения по модулю 2³² (+) в соответствии с формулой F:= (R+K_i) mod 2³², где 1i8, после чего над двоичным вектором F выполняют операцию подстановки (F:= S(F)), затем операцию циклического сдвига влево на одиннадцать бит, т.е. на одиннадцать двоичных разрядов в сторону старших разрядов (F:= F<<<11). После каждого раунда шифрования, за исключением последнего раунда, подблоки переставляются. Операция подстановки выполняется следующим образом. Двоичный вектор F разбивается на 8 двоичных векторов длиной по 4 бит. Каждый двоичный вектор заменяется двоичным вектором из таблицы подстановок. Выбранные из таблицы подстановок восемь 4-битовых векторов объединяются в преобразованный 32-битовый двоичный вектор F.

Однако способ-аналог имеет недостатки, а именно операции подстановок выполняются над двоичными векторами малой длины (4 бита), что создает предпосылки для атаки этого шифра методом дифференциального криптоанализа [B. Schneier, "Applied Cryptography", Second Eddition, John Wiley & Sons, Inc., New York, 1996, p. 285-290] . Поэтому для обеспечения высокой стойкости к дифференциальному криптоанализу требуется выполнить большое число раундов шифрования, что снижает скоростные показатели шифра.

Наиболее близким по своей технической сущности к заявляемому способу итеративного шифрования блоков цифровых данных является способ, описанный в патенте РФ N 2141729 [Молдовян А.А., Молдовян Н.А. Способ криптографического преобразования блоков двоичных данных // Патент РФ N 2141729, МПК⁶ Н 04 L 9/00, БИ N 32 от 20.11.1999]. Способ-прототип включает в себя формирование секретного ключа, разбиение блока данных на два подблока A и В и преобразование подблоков под управлением ключа шифрования путем выполнения над ними 16 раундов преобразования (итераций). Каждый раунд включает поочередное преобразование подблоков, причем над каждым из них выполняются не менее двух операций. В частном случае реализации способа-прототипа (см. пример 1 в описании патента N 2141729) один раунд включает следующие шаги преобразования:
1. С помощью операции поразрядного суммирования по модулю два () на подблок А накладывается подключ К₁ в соответствии с формулой A := AK₁, где знак ":=" обозначает операцию присваивания.

2. С помощью операции сложения по модулю 2³² (+) на подблок В накладывается подключ К₂ в соответствии с формулой В:= В+К₂.

3. Подблок В преобразуется в соответствии с выражением В:= _V(В), где P_V- модификация управляемой перестановки, V - значение управляющего вектора, формируемого в зависимости от значений подблока А и подключа К₃.

4. На подблок А накладывается подблок В: А:= (А+В), затем над А выполняется управляемая перестановка: А:= Р_V(А), где V формируется по подблоку В и по подключу К₄.

5. Подблок В преобразуется в соответствии с формулой B := BA.
Однако способ-прототип имеет недостатки, а именно при его реализации в виде электронных криптографических устройств для выполнения шифрования и дешифрования необходимо использовать две различные электронные схемы, что усложняет его реализацию.

В основу изобретения положена задача разработать способ итеративного шифрования блоков цифровых данных, в котором преобразование входных данных осуществлялось бы таким образом, чтобы процедуры шифрования и дешифрования могли осуществляться с помощью одной и той же электронной схемы, используя подключи в обратной очередности при выполнении дешифрования по отношению очередности использования подключей при шифровании, что упрощает схемотехническую реализацию.

Поставленная задача достигается тем, что в способе итеративного шифрования блоков цифровых данных, включающем формирование секретного ключа, разбиение блока данных на два подблока и выполнение R2 раундов шифрования, включающих преобразование первого подблока путем выполнения над ним последовательности операций L₁, L₂,...,L_n, где n>1, и преобразование второго подблока путем выполнения над ним последовательности операций H₁, H₂,...,Н_m, где m>1, новым согласно изобретению является то, что m является четным числом, n является нечетным числом и дополнительно в первых (R-1) раундах шифрования после выполнения операций L_n и Н_m осуществляют перестановку подблоков, а операции H_i являются обратными по отношению к операциям H_m-i+i, где 1im/2, и операции L_j являются обратными по отношению к операциям L_n-j+i, где 1j(n-1)/2, причем операция является инволюцией.

Благодаря такому решению выполнение последовательности операций L₁,L₂,.. . ,L_n и операций H₁, H₂,...,H_m, задает процедуру преобразования блока данных являющуюся инволюцией, что обеспечивает возможность осуществления дешифрования зашифрованного блока данных с помощью той же электронной схемы, которая использовалась при его шифровании. Это упрощает схемотехническую реализацию способа итеративного шифрования блоков цифровых данных.

Новым является также то, что в качестве операции используется операция поразрядного суммирования по модулю два.

Благодаря такому решению обеспечивается дополнительное упрощение схемотехнической реализации способа итеративного шифрования блоков цифровых данных.

Новым является также и то, что перед выполнением операции дополнительно формируют управляющий вектор в зависимости от второго подблока, а в качестве операции используется управляемая перестановочная инволюция.

Благодаря такому решению, обеспечивается повышение стойкости к дифференциальному криптоанализу.

Кроме того, новым является то, что дополнительно перед выполнением каждой операции L₁, L₂,...,L_n, Н₁, H₂,...,Н_m формируют управляющий вектор, а в качестве операций L₁, L₂,...,L_n, H₁, H₂,...,Н_m используются управляемые перестановки и управляемые двуместные операции причем в качестве операции используется управляемая перестановочная инволюция.

Благодаря такому решению, обеспечивается повышение криптостойкости к атакам, основанным на сбоях устройства шифрования.

Новым является и то, что перед выполнением операции L_j, 1jn над первым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения второго подблока, а перед выполнением операции H_i, 1im над вторым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения первого подблока.

Благодаря такому решению, обеспечивается дополнительное повышение криптостойкости и возможность сокращения числа раундов шифрования, что обеспечивает повышение скорости шифрования.

Ниже сущность заявляемого изобретения более подробно разъясняется примерами его осуществления со ссылками на прилагаемые чертежи.

Обобщенная схема итеративного шифрования блоков данных на основе заявляемого способа представлена структурой раунда шифрования, показанной на фиг.1а, где А и В - подблоки преобразуемого блока данных.

Пример 1. Данный пример показан на фиг.1б и поясняет реализацию способа для случая n=5 и m=4 с использованием операции поразрядного суммирования по модулю два в качестве операции . Блок данных Т имеет длину 64 бит и разбивается на два 32-битовых подблока А и В. На фиг.1б использованы следующие обозначения:
Р и Р^-1 - управляемые операционные блоки с 32-битовым информационным входом и 64-битовым управляющим входом, реализующие взаимно обратные управляемые перестановки;
и ^-1 - взаимно обратные фиксированные перестановки, т.е. такие фиксированные перестановки, последовательное выполнение которых над любым операндом не изменяют значения последнего, т. е. имеют место соотношения: (^-1(A)) = A и ^-1((A)) = A. Фиксированные перестановки легко реализуются в электронных схемах и не вводят задержки в процесс преобразования данных;
"-" - операция вычитание по модулю 2³².

Шифрование в соответствии с примером 1 осуществляется следующим образом. Сформировать секретный ключ в виде следующей совокупности 32-битовых раундовых подключей: K₁, K₂,...,K₁₆ и W₁, W₂,...,W₁₆. Разбить блок данных на два подблока А=T div 2³² и В=T mod 2³². Выполнить шифрование блока данных в соответствии со следующим алгоритмом.

1. Установить счетчик числа раундов шифрования r:= 1.

2. Наложить подключ W_r на подблок A с помощью операции суммирования по модулю 2³²:
А:= (A+W_r) mod 2³².

3. Наложить подключ К_r на подблок В с помощью операции поразрядного суммирования по модулю 2:
B := BK_r.
4. Сформировать 64-битовый управляющий вектор где знак "|" обозначает операцию конкатенации.

5. Выполнить над подблоком В операцию управляемой перестановки:
В:=Р_V(В).

6. Выполнить над подблоком А операцию фиксированной перестановки:
A := (A).
7. Наложить подблок A на подблок В с помощью операции поразрядного суммирования по модулю 2:
B := BA.
8. Выполнить над подблоком A обратную операцию фиксированной перестановки:
A := ^-1(A).
9. Сформировать 64-битовый управляющий вектор
10. Выполнить над подблоком В обратную операцию управляемой перестановки:
В:=P_V ^-1(В).

11. Наложить подключ К_r на подблок А с помощью операции вычитания по модулю 2³²:
А:= (A-К_r) mod 2³².

12. Наложить подключ W_r на подблок В с помощью операции поразрядного суммирования по модулю 2:
B := BW_r.
13. Если r<16, то прирастить r:= r+1, переставить подблоки А и В (т.е. взять двоичный вектор А в качестве двоичного вектора В, а двоичный вектор В - в качестве двоичного вектора А) и перейти к шагу 2.

14. СТОП.

Блок криптограммы С формируется путем объединения преобразованных двоичных векторов А и В: . Дешифрование блока криптограммы осуществляется с помощью этого же алгоритма, за исключением того, что при выполнении шагов 2 и 12 используется подключ K_17-r вместо подключа W_r, а при выполнении шагов 3 и 11 - подключ W_17-r вместо К_r. Поскольку шифрование и дешифрование осуществляются с помощью одного и того же алгоритма, то обе эти процедуры могут быть выполнены с помощью одной и той же электронной схемы.

Пример 2: шифрование 64-битового блока данных T.

В данном примере используется операция управляемой перестановочной инволюции. Операция управляемой перестановочной инволюции над двоичными векторами длины 2n легко строится на основе двух параллельно выполняемых операций управляемой перестановки над двоичными векторами длины n. Пример реализации управляемой перестановочной инволюции показан на фиг.2а, где Р - произвольная управляемая перестановка над двоичными векторами длины n, Р^-1 - управляемая перестановка обратная по отношению к Р, V - двоичный вектор длины 2n, используемый в качестве управляющего вектора для операции управляемой перестановочной инволюции Р*. Двоичный вектор V служит управляющим вектором для операций Р и Р^-1. На фиг.2а показана схема преобразований двоичного вектора А длины 2n, который разбивается на два n-битовых двоичных вектора А' и А'', которые соответственно преобразуются с помощью операций Р и Р^-1. Их преобразованные n-битовые значения В'=Р_V(А') и В''=P_V ^-1(А'') переставляются и объединяются в соответствии с формулой Двоичный вектор В длины 2n является результатом преобразования P_V ^* (А). На фиг.2 показаны преобразования двоичного вектора В с помощью операции Р^* при том же значении управляющего вектора, которое он имел при выполнении преобразований двоичного вектора А. В результате формируется исходный двоичный вектор, т.е. А=P_V ^*(В). Таким образом, имеет место соотношение P_V ^*(P_V ^*(А))=A, т.е. схема преобразований на фиг. 2а задает управляемую перестановочную инволюцию для любой управляемой перестановки Р (при этом выбор Р однозначно задает выбор Р^-1). В примере 2 используется управляемая перестановочная инволюция с 32-битовым входом и 32-битовым управляющим входом.

Пример 2 поясняется на фиг.3а и соответствует случаю n=5 и m=4 и использованию операции перестановочной инволюции Р^* в качестве операции .

Шифрование в соответствии с примером 2 осуществляется следующим образом. Формируется секретный ключ в виде следующей совокупности 32-битовых раундовых подключей: K₁, K₂,...,K₈ и W₁, W₂,...,W₈. Разбить блок данных T на два 32-битовых подблока А и В. Шифрование блока данных выполнить в соответствии со следующим алгоритмом.

1. Установить счетчик числа раундов шифрования r:= 1.

2. Наложить подключ К_r на подблок А в соответствии с формулой:
A := AK_r.
3. Выполнить над подблоком В операцию фиксированной перестановки:
B := (B).
4. По подключу W_r и по подблоку В сформировать 64-битовый управляющий вектор
5. Выполнить над подблоком А операцию управляемой перестановки:
А:= Р_V(А).

6. Наложить подключ W_r на подблок B в соответствии с выражением:
B:= (B+W_r) mod 2³².

7. По подблоку А сформировать 64-битовый управляющий вектор V: V=А.

8. Выполнить над подблоком В операцию управляемой перестановочной инволюции:
В:= P_V ^*(В).

9. Наложить подключ К_r на подблок B в соответствии с выражением:
В:= (В-К_r) mod 2³².

10. По подключу К_r и по подблоку В сформировать 64-битовый управляющий вектор
11. Выполнить над подблоком А операцию обратной управляемой перестановки:
А:= P_V ^-1(A).

12. Наложить подключ W_r на подблок А в соответствии с формулой:
A := AW_r.
13. Выполнить над подблоком В операцию обратной фиксированной перестановки:
B := ^-1(B).
14. Если r<8, то прирастить r:= r+1, переставить подблоки А и В и перейти к шагу 2.

15. СТОП.

В результате выполнения алгоритма формируется блок криптограммы Дешифрование блока криптограммы осуществляется с помощью этого же алгоритма, за исключением того, что при выполнении шагов 4, 6 и 12 используется подключ K_9-r вместо подключа W_r, а при выполнении шагов 2, 9 и 10 - подключ W_9-r вместо подключа К_r.

Пример 3: шифрование 64-битового блока данных T. Данный пример поясняется на фиг.3б, где Q - управляемая двуместная операция с 32-битовым управляющим входом и Q^-1 - соответствующая обратная управляемая двуместная операция с 32-битовым управляющим входом. Пример 3 соответствует случаю n=3 и m=2 и использованию операций управляемых перестановок и управляемых двуместных операций в качестве операций L₁, L₂,...,L_n, H₁, H₂,...,Н_m и операции управляемой перестановочной инволюции в качестве операции .

Шифрование в соответствии с примером 3 осуществляется следующим образом. Формируется секретный ключ в виде следующей совокупности 32-битовых раундовых подключей: K₁, K₂,...,K₁₆ и W₁, W₂,...,W₁₆. Разбить блок данных T на два 32-битовых подблока А и В. Шифрование блока данных выполнить в соответствии со следующим алгоритмом.

1. Установить счетчик числа раундов шифрования r:= 1.

2. По подключу W_r и по подблоку А сформировать 32-битовый управляющий вектор V: V = W_rA.
3. Наложить подключ К_r на подблок B в соответствии с формулой:
B:= Q_V(B,K_r).

4. По подключу W_r и по подблоку В сформировать 64-битовый управляющий вектор
5. Выполнить над подблоком А операцию управляемой перестановки:
А:= P_V(A).

6. В зависимости от подблока А и подключей W_r и К_r сформировать 32-битовый управляющий вектор V в соответствии с выражением:

7. Выполнить над подблоком В операцию управляемой перестановочной инволюции:
B:= P_V ^*(В).

8. По подключу К_r и по подблоку В сформировать 64-битовый управляющий вектор
9. Выполнить над подблоком А операцию обратной управляемой перестановки:
А:= Р_V ^-1(А).

10. По подключу К_r и по подблоку A сформировать 32-битовый управляющий вектор V в соответствии с формулой: V = K_rA.
11. Наложить подключ W_r на подблок B в соответствии с формулой:
B:= Q_V ^-1(B,W_r).

12. Если r<16, то прирастить r:= r + 1, переставить подблоки А и В и перейти к шагу 2.

13. СТОП.

В результате выполнения алгоритма формируется блок криптограммы Дешифрование блока криптограммы осуществляется с помощью этого же алгоритма, за исключением того, что при выполнении шагов 2, 4, 6 и 11 используется подключ K_17-r вместо подключа W_r, a при выполнении шагов 3, 6, 8 и 10 - подключ W_17-r вместо К_r.

Приведенные примеры показывают, что предлагаемый способ итеративного шифрования блоков цифровых данных технически реализуем и позволяет решить поставленную задачу.

Формула изобретения

1. Способ итеративного шифрования блоков цифровых данных, включающий формирование секретного ключа в виде совокупности подключей, разбиение блока данных на два подблока и выполнение R2 раундов шифрования, каждый из которых включает преобразование первого подблока путем выполнения над ним последовательности операций L₁, L₂, .... ,L_n, где n>1, и преобразование второго подблока путем выполнения над ним последовательности операций H₁, Н₂, . .., Н_m, где m>1, причем, по крайней мере, одна из операций L₁, L₂, ...., L_n, H₁, Н₂, ..., Н_m является управляемой операцией и перед выполнением этой операции формируют управляющий вектор, а при выполнении, по крайней мере, одной из операций L₁, L₂, ...., L_n, H₁, H₂, ..., Н_m используют один из подключей, отличающийся тем, что m является четным числом, n является нечетным числом и дополнительно во всех раундах шифрования, кроме последнего, после выполнения операций L_n и Н_m осуществляют перестановку подблоков, а операции H_i являются обратными по отношению к операциям Н_m-i+1, где 1im/2, и операции L_j являются обратными по отношению к операциям L_n-j+1, где 1j (n-1)/2, причем операция L_(n-1)/2+1 является инволюцией.

2. Способ по п.1, отличающийся тем, что в качестве операции L_(n-1)/2+1 используется операция поразрядного суммирования по модулю два.

3. Способ по п.1, отличающийся тем, что в качестве операции L_(n-1)/2+1 используется управляемая перестановочная инволюция.

4. Способ по п.1, отличающийся тем, что в качестве операций L₁, L₂ ,..., L_n, где n3, кроме операции L_(n-1)/2+1, используют управляемые двуместные операции, выполняемые над первым подблоком и одним из подключей, в качестве операций H₁, Н₂, ..., Н_m, где m2, используют управляемые перестановки, а в качестве операции L_(n-1)/2+1 используется управляемая перестановочная инволюция.

5. Способ по п.1, отличающийся тем, что перед выполнением операций L₁, L₂, ...., L_n над первым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения второго подблока, а перед выполнением операций H₁, Н₂, ..., Н_m над вторым подблоком управляющий вектор формируют в зависимости от секретного ключа и от текущего значения первого подблока.

РИСУНКИ

Рисунок 1