STRUMOK

Шаблон:Блочный шифр «СТРУМОК» (Шаблон:Lang-en; рус. Ручей; поток; струя) — потоковый симметричный шифр, описанный в национальном стандарте Украины ДСТУ 8845:2019 «Информационные технологии. Криптографическая защита информации. Алгоритм симметричного поточного преобразования»^[1]. Стандарт вступил в силу с 1 октября 2019.

В зависимости от длинны секретного ключе имеет два режима работы: «СТРУМОК-256» и «СТРУМОК-512».

СТРУМОК обеспечивает высокую скорость формирования ключевого потока (более 10 Гбит/c).

Схема работы шифра СТРУМОК

В основе алгоритма СТРУМОК лежит идея гаммирования, заключающаяся в «наложении» последовательности, состоящей из случайных чисел, на открытый текст. Генератор псевдослучайных чисел СТРУМОК использует 256-битный вектор инициализации ${\displaystyle IV}$ и 256-битный или 512-битный секретный ключ ${\displaystyle K}$ и обеспечивает стойкость с учётом возможного применения квантового криптографического анализа. Криптоалгоритм ориентирован на 64-разрядные вычислительные системы, следовательно размер слова определён равным 64 битам.

Основными структурными компонентами генератора являются регистр сдвига с линейной обратной связью и конечный автомат, в котором выполняется нелинейное преобразование. Входные данные (ключ ${\displaystyle K}$ и вектор инициализации ${\displaystyle IV}$) используются для инициализации переменной состояния ${\displaystyle S_i(i>=0)}$, которая состоит из восемнадцати 64-битных блоков:

1. 16 ячеек регистра сдвига с линейным обратной связью : ${\displaystyle s_i=(s_{15}^{(i)},s_{14}^{(i)},...,s_0^{(i)})}$ ;
2. два регистра конечного автомата ${\displaystyle r_i=(r_1^{(i)},r_0^{(i)})}$ .

Выход представляет собой ключевой поток (гамму), который формируется из 64-битных слов ${\displaystyle Z_i}$.

В алгоритме СТРУМОК можно выделить три основные функции:

1. функция инициализации ${\displaystyle Init}$, которая принимает в качестве входных данных ключ ${\displaystyle K}$ и вектор инициализации ${\displaystyle IV}$ , и производит начальное значение переменной состояния ${\displaystyle S_0=(s^{(0)},r^{(0)})}$;
2. функция следующего состояния ${\displaystyle Next}$, которая принимает на вход переменную состояния ${\displaystyle S_i=(s^{(i)},r^{(i)})}$ и производит следующее значение переменной состояния ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$;
3. функция ключевого потока ${\displaystyle Strm}$, что принимает на входе переменную состояния ${\displaystyle S_i=(s^{(i)},r^{(i)})}$ и производит на выходе ключевой поток ${\displaystyle Z_i}$(64 бита).

Вход : 256 или 512-битный ключ ${\displaystyle K}$, 256-битный вектор инициализации ${\displaystyle IV}$.

Выход : начальное значение переменной состояния ${\displaystyle S_0=(s^{(0)},r^{(0)})}$.

1. В 16 ячеек регистра сдвига заносится значения, сформированные на основании ключа и вектора инициализации. Таким образом формируется ${\displaystyle S_{-33}=(s^{(-33)},r^{(-33)}}$.
2. Выполняются 32 инициирующих такта без генерации ключевого потока(выполнение функции Next в режиме инициализации INIT ): ${\displaystyle S_{-1}=Nex{t}^{32}(S_{-33},INIT}$.
3. Рассчитывается начальное значение переменной состояния: ${\displaystyle S_0=Next(S_{-1})}$.
4. Выводится значение ${\displaystyle S_0=(s^{(0)},r^{(0)})}$.

Вход: Переменная состояния ${\displaystyle S_i=(s^{(i)},r^{(i)})}$ и режим работы(обычный или режим инициализации).

Выход: Переменная состояния ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$.

1. Обновляются значения регистров конечного автомата ${\displaystyle r_{i+1}}$ .
2. Обновляется значение 15 ячеек регистра сдвига: ${\displaystyle s_j^{(i+1)}=s_{j+1}^{(i)},j=0,1,...,14.}$
3. Обновляется значение 16 ячейки: ${\displaystyle s_{15}^{(i+1)}=(s_0^{(i)}⨂\alpha )⨁(s_{11}^{(i)}⨂{\alpha }^{-1})⨁s_{13}^{(i)}}$ при работе в обычном режиме и ${\displaystyle s_{15}^{(i+1)}=FSM(s_{15}^{(i)},r_1^{(i)},r_2^{(i)})⨁(s_0^{(i)}⨂\alpha )⨁(s_{11}^{(i)}⨂{\alpha }^{-1})⨁s_{13}^{(i)}}$ при режиме инициализации.
4. Выводится значение ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$.

Вход: Переменная состояния ${\displaystyle S_i=(s^{(i)},r^{(i)})}$.

Выход: ключевой поток ${\displaystyle Z_i}$.

1. Вычисляется значение ${\displaystyle Z_i=FSM(s_{15}^{(i)},r_1^{(i)},r_2^{(i)})⨁s_0^{(i)}}$ .
2. Выводится значение ${\displaystyle Z_i}$ .

Функция конечного автомата ${\displaystyle FSM}$ используется в функциях ${\displaystyle Strm}$ и ${\displaystyle Next}$.

Вход : три 64-битных строки ${\displaystyle x_1,x_2,x_3}$.

Выход : 64-битная строка ${\displaystyle x}$.

1. Вычисляется значение ${\displaystyle x=(x_1{+}_{64}{x}_2)⨁x_3}$ .
2. Выводится значение ${\displaystyle x}$ .

• ${\displaystyle {+}_{64}}$ обозначает операцию сложения целых чисел по модулю 2⁶⁴ .

Обратную связь в регистре сдвига с линейным обратной связью можно описать операциями над элементами конечных полей.

Обратная связь в регистре сдвига строится над полем ${\displaystyle GF(2^{64})}$ полиномом:

${\displaystyle f(x)=x^{16}+x^{13}+{\alpha }^{-1}{x}^{11}+\alpha ,}$

где ${\displaystyle \alpha }$ является корнем многочлена над полем ${\displaystyle GF(2^8)}$:

${\displaystyle g(x)=x^8+{\beta }^{170}{x}^7+{\beta }^{166}{x}^6+{\beta }^2{x}^5+{\beta }^{224}{x}^4+{\beta }^{70}{x}^3+{\beta }^2}$ ,

где ${\displaystyle \beta }$ является корнем многочлена над полем ${\displaystyle GF(2)}$:

${\displaystyle p(x)=x^8+x^4+x^3+x^2+1}$ .

Поле ${\displaystyle GF(2^8)}$ строится над полем ${\displaystyle GF(2)}$ полиномом ${\displaystyle p(x)}$.

Период выходной последовательности регистра сдвига является максимальным и равным ${\displaystyle 2^{1024}-1}$.

Генератор ключевого потока СТРУМОК в своей концептуальной схеме подобен SNOW 2.0. Но SNOW 2.0 ориентирован на использование в 32-разрядных вычислительных систем, тогда как СТРУМОК предназначен для использования в более мощных 64-разрядных вычислительных системах. В связи с этим в алгоритме Струмок повышается скорость формирования псевдослучайной последовательности.^[2] В алгоритме СТРУМОК увеличены, по сравнению с SNOW2.0, длины секретного ключа и вектора инициализации. Это позволяет надежно применять поточный шифр даже в условиях, когда злоумышленнику доступно применение квантового криптоанализа.^[3]

Тестирование направленное на определение случайности двоичных последовательностей NIST показывает, что алгоритм СТРУМОК уступает SNOW 2.0.^[4]

Генератор ключевых потоков СТРУМОК позволяет формировать псевдослучайные последовательности со скоростью более 10 Гбит/с(Intel Core i9-7980XE 2.60 GHz and OS Windows® 10 Pro).^[5]

Шаблон:Примечания

Шаблон:Симметричные криптоалгоритмы