Слабкі і сильні ключі в алгоритмі ГОСТ 28147-89.

Алгоритм ГОСТ 28147-89. Розшифрування в режимі простої заміни

Нехай блок || є результатом зашифрування блоку || у режимі простої заміни і , , || .

При розшифруванні використовується зворотний стосовно порядок підключів, а роль || грає блок .

Суть механізму розшифрування складається в повторенні обчислення значень циклової функції на циклах , тобто подблоков виду .

Якщо поразрядно скласти з , то зі співвідношення випливає, що результат буде дорівнює . Таким чином, виходячи з || , , ми одержимо , виходячи з || , одержимо і т.д.

Зауважимо, що саме додаткове перетворення вихідного блоку зводить розшифрування до зміни порядку проходження підключів.

Дійсно, розшифрування представляється у виді , || , а || (після додаткового перетворення результату останнього циклу алгоритму).

Ніякі властивості блоку підстановки на здійснимість процесу розшифрування не впливають. Крім того, процес розшифрування буде коректним при будь-якій кількості циклів і довільній послідовності вибору підключив.

 

Вираз псевдогами для режиму простої заміни.

Вплив довгострокового ключа на виходи циклів (послідовність ) можна простежити, виходячи з того, що блок || порозрядно відрізняється від вхідного блоку || , на доданок || , де подблоки і є лінійними комбінаціями виду .

Дійсно, за визначенням, .

Таким чином, з і випливає .

За індукцією: , .

Аналогічно, , .

Отже, лівий і правий підблоки відкритого тексту, шістнадцять разів гамуються порозрядним додаванням виходами з блоку підстановки в непарних і парних циклах відповідно. Отже, інформацію про властивості «псевдогаммы» і можна одержати, виходячи з властивостей , без урахування інших параметрів.

Для цього розглянемо довгостроковий ключ як таблицю, стовпчики якої є правими частинами булевых функцій від чотирьох змінних.

При надлишку, скажемо, нулів у колонку, при випадковому рівноймовірному і незалежному виборі аргументів, на відповідному місці вихідного блоку імовірність нуля також буде завищена. У даному випадку поява нуля або одиниці є подіями, що відповідають схемі Бернуллі з постійними імовірностями.

Найменше (на два біти) можливе перевищення нулів у стовпчику відповідає розподілу імовірностей одиниці і нуля при якому . Дійсно, нехай кількість нулів і одиниць у стовпчику дорівнює і відповідно. Очевидно, сума нулів і одиниць дорівнює , а їхня різниця дорівнює перевазі: . Тому - мінімальне парне число більше нуля, тобто , звідки .

Легко одержати формулу для обчислення імовірності нуля в сумі з бітів, при заданій перевазі : .

Якщо , то після підсумовування шістнадцяти подблоков псевдогаммы, біт на виході режиму простої заміни збігається з бітом на вході з імовірністю .

Отже, можлива генерація ослабленої гами. Наприклад, якщо кожний вузол заміни містить лише однакові тетрады, скажемо , то блок || дорівнює нулю, як порозрядна сума шістнадцяти однакових блоків || || . У цьому випадку і лише міняються місцями і всі сеансовые ключі є криптоэквивалентными.

Таким чином, якість псевдогаммы цілком залежить від властивостей булевых функцій, що складають блок підстановки . Зокрема, функції, для яких , більш прийнятні.