Слабкі і сильні ключі в алгоритмі ГОСТ 28147-89.
Алгоритм ГОСТ 28147-89. Розшифрування в режимі простої заміни
Нехай блок || є результатом зашифрування блоку || у режимі простої заміни і , , || .
При розшифруванні використовується зворотний стосовно порядок підключів, а роль || грає блок .
Суть механізму розшифрування складається в повторенні обчислення значень циклової функції на циклах , тобто подблоков виду .
Якщо поразрядно скласти з , то зі співвідношення випливає, що результат буде дорівнює . Таким чином, виходячи з || , , ми одержимо , виходячи з || , одержимо і т.д.
Зауважимо, що саме додаткове перетворення вихідного блоку зводить розшифрування до зміни порядку проходження підключів.
Дійсно, розшифрування представляється у виді , || , а || (після додаткового перетворення результату останнього циклу алгоритму).
Ніякі властивості блоку підстановки на здійснимість процесу розшифрування не впливають. Крім того, процес розшифрування буде коректним при будь-якій кількості циклів і довільній послідовності вибору підключив.
Вираз псевдогами для режиму простої заміни.
Вплив довгострокового ключа на виходи циклів (послідовність ) можна простежити, виходячи з того, що блок || порозрядно відрізняється від вхідного блоку || , на доданок || , де подблоки і є лінійними комбінаціями виду .
Дійсно, за визначенням, .
Таким чином, з і випливає .
За індукцією: , .
Аналогічно, , .
Отже, лівий і правий підблоки відкритого тексту, шістнадцять разів гамуються порозрядним додаванням виходами з блоку підстановки в непарних і парних циклах відповідно. Отже, інформацію про властивості «псевдогаммы» і можна одержати, виходячи з властивостей , без урахування інших параметрів.
Для цього розглянемо довгостроковий ключ як таблицю, стовпчики якої є правими частинами булевых функцій від чотирьох змінних.
При надлишку, скажемо, нулів у колонку, при випадковому рівноймовірному і незалежному виборі аргументів, на відповідному місці вихідного блоку імовірність нуля також буде завищена. У даному випадку поява нуля або одиниці є подіями, що відповідають схемі Бернуллі з постійними імовірностями.
Найменше (на два біти) можливе перевищення нулів у стовпчику відповідає розподілу імовірностей одиниці і нуля при якому . Дійсно, нехай кількість нулів і одиниць у стовпчику дорівнює і відповідно. Очевидно, сума нулів і одиниць дорівнює , а їхня різниця дорівнює перевазі: . Тому - мінімальне парне число більше нуля, тобто , звідки .
Легко одержати формулу для обчислення імовірності нуля в сумі з бітів, при заданій перевазі : .
Якщо , то після підсумовування шістнадцяти подблоков псевдогаммы, біт на виході режиму простої заміни збігається з бітом на вході з імовірністю .
Отже, можлива генерація ослабленої гами. Наприклад, якщо кожний вузол заміни містить лише однакові тетрады, скажемо , то блок || дорівнює нулю, як порозрядна сума шістнадцяти однакових блоків || || . У цьому випадку і лише міняються місцями і всі сеансовые ключі є криптоэквивалентными.
Таким чином, якість псевдогаммы цілком залежить від властивостей булевых функцій, що складають блок підстановки . Зокрема, функції, для яких , більш прийнятні.