ГОСТ Р 34.12-2015. Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Блочные шифры

Приложение А

(справочное)

 

КОНТРОЛЬНЫЕ ПРИМЕРЫ

 

Данное приложение носит справочный характер и не является частью настоящего стандарта.

В данном приложении двоичные строки из V^*, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации ("||") опускается, то есть, строка будет представлена в виде

 

a_{r - 1}a_{r - 2}...a₀,

 

где , i = 0, 1, ..., r - 1. Соответствие между двоичными строками длины 4 и шестнадцатеричными строками длины 1 задается естественным образом (таблица А.1). Преобразование, ставящее в соответствие двоичной строке длины 4r шестнадцатеричную строку длины r, и соответствующее обратное преобразование для простоты записи опускаются.

 

Таблица А.1

 

Соответствие между двоичными и шестнадцатеричными строками

 

0000	0
0001	1
0010	2
0011	3
0100	4
0101	5
0110	6
0111	7
1000	8
1001	9
1010	a
1011	b
1100	c
1101	d
1110	e
1111	f

 

А.1 Алгоритм блочного шифрования с длиной блока n = 128 бит

А.1.1 Преобразование S

S(ffeeddccbbaa99881122334455667700) = b66cd8887d38e8d77765aeea0c9a7efc,

S(b66cd8887d38e8d77765aeea0c9a7efc) = 559d8dd7bd06cbfe7e7b262523280d39,

S(559d8dd7bd06cbfe7e7b262523280d39) = 0c3322fed531e4630d80ef5c5a81c50b,

S(0c3322fed531e4630d80ef5c5a81c50b) = 23ae65633f842d29c5df529c13f5acda.

А.1.2 Преобразование R

R(00000000000000000000000000000100) = 94000000000000000000000000000001,

R(94000000000000000000000000000001) = a5940000000000000000000000000000,

R(a5940000000000000000000000000000) = 64a59400000000000000000000000000,

R(64a59400000000000000000000000000) = 0d64a594000000000000000000000000.

А.1.3 Преобразование L

L(64a59400000000000000000000000000) = d456584dd0e3e84cc3166e4b7fa2890d,

L(d456584dd0e3e84cc3166e4b7fa2890d) = 79d26221b87b584cd42fbc4ffea5de9a,

L(79d26221b87b584cd42fbc4ffea5de9a) = 0e93691a0cfc60408b7b68f66b513c13,

L(0e93691a0cfc60408b7b68f66b513c13) = e6a8094fee0aa204fd97bcb0b44b8580.

А.1.4 Алгоритм развертывания ключа

В настоящем контрольном примере ключ имеет значение:

K = 8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.

 

K₁ = 8899aabbccddeeff0011223344556677,

K₂ = fedcba98765432100123456789abcdef.

 

C₁ = 6ea276726c487ab85d27bd10dd849401,

X[C₁](K₁) = e63bdcc9a09594475d369f2399d1f276,

SX[C₁](K₁) = 0998ca37a7947aabb78f4a5ae81b748a,

LSX[C₁](K₁) = 3d0940999db75d6a9257071d5e6144a6,

F[C₁](K₁, K₂) = (c3d5fa01ebe36f7a9374427ad7ca8949, 8899aabbccddeeff0011223344556677).

 

C₂ = dc87ece4d890f4b3ba4eb92079cbeb02,

F[C₂]F[C₁](K₁, K₂) = (37777748e56453377d5e262d90903f87, c3d5fa01ebe36f7a9374427ad7ca8949).

 

C₃ = b2259a96b4d88e0be7690430a44f7f03,

F[C₃]...F[C₁](K₁, K₂) = (f9eae5f29b2815e31f11ac5d9c29fb01, 37777748e56453377d5e262d90903f87).

 

C₄ = 7bcd1b0b73e32ba5b79cb140f2551504,

F[C₄]...F[C₁](K₁, K₂) = (e980089683d00d4be37dd3434699b98f, f9eae5f29b2815e31f11ac5d9c29fb01).

 

C₅ = 156f6d791fab511deabb0c502fd18105,

F[C₅]...F[C₁](K₁, K₂) = (b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).

 

C₆ = a74af7efab73df160dd208608b9efe06,

F[C₆]...F[C₁](K₁, K₂) = (1a46ea1cf6ccd236467287df93fdf974, b7bd70acea4460714f4ebe13835cf004).

 

C₇ = c9e8819dc73ba5ae50f5b570561a6a07,

F[C₇]...F[C₁](K₁, K₂) = (3d4553d8e9cfec6815ebadc40a9ffd04, 1a46ea1cf6ccd236467287df93fdf974).

 

C₈ = f6593616e6055689adfba18027aa2a08,

(K₃, K₄) = F[C₈]...F[C₁](K₁, K₂) = (db31485315694343228d6aef8cc78c44, 3d4553d8e9cfec6815ebadc40a9ffd04).

 

Итерационные ключи K_i, i = 1, 2, ..., 10 принимают следующие значения:

K₁ = 8899aabbccddeeff0011223344556677,

K₂ = fedcba98765432100123456789abcdef,

K₃ = db31485315694343228d6aef8cc78c44,

K₄ = 3d4553d8e9cfec6815ebadc40a9ffd04,

K₅ = 57646468c44a5e28d3e59246f429f1ac,

K₆ = bd079435165c6432b532e82834da581b,

K₇ = 51e640757e8745de705727265a0098b1,

K₈ = 5a7925017b9fdd3ed72a91a22286f984,

K₉ = bb44e25378c73123a5f32f73cdb6e517,

K₁₀ = 72e9dd7416bcf45b755dbaa88e4a4043.

А.1.5 Алгоритм зашифрования

В настоящем контрольном примере зашифрование производится при значениях итерационных ключей из А.1.4. Пусть открытый текст, подлежащий зашифрованию, равен

 

a = 1122334455667700ffeeddccbbaa9988,

 

тогда

X[K₁](a) = 99bb99ff99bb99ffffffffffffffffff,

SX[K₁](a) = e87de8b6e87de8b6b6b6b6b6b6b6b6b6,

LSX[K₁](a) = e297b686e355b0a1cf4a2f9249140830,

LSX[K₂]LSX[K₁](a) = 285e497a0862d596b36f4258a1c69072,

LSX[K₃]...LSX[K₁](a) = 0187a3a429b567841ad50d29207cc34e,

LSX[K₄]...LSX[K₁](a) = ec9bdba057d4f4d77c5d70619dcad206,

LSX[K₅]...LSX[K₁](a) = 1357fd11de9257290c2a1473eb6bcde1,

LSX[K₆]...LSX[K₁](a) = 28ae31e7d4c2354261027ef0b32897df,

LSX[K₇]...LSX[K₁](a) = 07e223d56002c013d3f5e6f714b86d2d,

LSX[K₈]...LSX[K₁](a) = cd8ef6cd97e0e092a8e4cca61b38bf65,

LSX[K₉]...LSX[K₁](a) = 0d8e40e4a800d06b2f1b37ea379ead8e.

Результатом зашифрования является шифртекст

 

b = X[K₁₀]LSX[K₉]...LSX[K₁](a) =

= 7f679d90bebc24305a468d42b9d4edcd.

 

А.1.6 Алгоритм расшифрования

В настоящем контрольном примере расшифрование производится при значениях итерационных ключей из А.1.4. Пусть шифртекст, подлежащий расшифрованию, равен шифртексту, полученному в предыдущем пункте:

 

b = 7f679d90bebc24305a468d42b9d4edcd,

 

тогда

X[K₁₀](b) = 0d8e40e4a800d06b2f1b37ea379ead8e,

L^-1X[K₁₀](b) = 8a6b930a52211b45c5baa43ff8b91319,

S^-1L^-1X[K₁₀](b) = 76ca149eef27d1b10d17e3d5d68e5a72,

S^-1L^-1X[K₉]S^-1L^-1X[K₁₀](b) = 5d9b06d41b9d1d2d04df7755363e94a9,

S^-1L^-1X[K₈]...S^-1L^-1X[K₁₀](b) = 79487192aa45709c115559d6e9280f6e,

S^-1L^-1X[K₇]...S^-1L^-1X[K₁₀](b) = ae506924c8ce331bb918fc5bdfb195fa,

S^-1L^-1X[K₆]...S^-1L^-1X[K₁₀](b) = bbffbfc8939eaaffafb8e22769e323aa,

S^-1L^-1X[K₅]...S^-1L^-1X[K₁₀](b) = 3cc2f07cc07a8bec0f3ea0ed2ae33e4a,

S^-1L^-1X[K₄]...S^-1L^-1X[K₁₀](b) = f36f01291d0b96d591e228b72d011c36,

S^-1L^-1X[K₃]...S^-1L^-1X[K₁₀](b) = 1c4b0c1e950182b1ce696af5c0bfc5df,

S^-1L^-1X[K₂]...S^-1L^-1X[K₁₀](b) = 99bb99ff99bb99ffffffffffffffffff.

Результатом расшифрования является открытый текст

 

a = X[K₁]S^-1L^-1X[K₂]...S^-1L^-1X[K₁₀](b) =

= 1122334455667700ffeeddccbbaa9988.

 

А.2 Алгоритм блочного шифрования с длиной блока n = 64 бит

А.2.1 Преобразование t

t(fdb97531) = 2a196f34,

t(2a196f34) = ebd9f03a,

t(ebd9f03a) = b039bb3d,

t(b039bb3d) = 68695433.

А.2.2 Преобразование g

g[87654321](fedcba98) = fdcbc20c,

g[fdcbc20c](87654321) = 7e791a4b,

g[7e791a4b](fdcbc20c) = c76549ec,

g[c76549ec](7e791a4b) = 9791c849.

А.2.3 Алгоритм развертывания ключа

В настоящем контрольном примере ключ имеет значение:

 

K = ffeeddccbbaa99887766554433221100f0f1f2f3f4f5f6f7f8f9

fafbfcfdfeff.

 

Итерационные ключи K_i, i = 1, 2, ..., 32 принимают следующие значения:

K₁ = ffeeddcc,

K₂ = bbaa9988,

K₃ = 77665544,

K₄ = 33221100,

K₅ = f0f1f2f3,

K₆ = f4f5f6f7,

K₇ = f8f9fafb,

K₈ = fcfdfeff,

K₉ = ffeeddcc,

K₁₀ = bbaa9988,

K₁₁ = 77665544,

K₁₂ = 33221100,

K₁₃ = f0f1f2f3,

K₁₄ = f4f5f6f7,

K₁₅ = f8f9fafb,

K₁₆ = fcfdfeff,

K₁₇ = ffeeddcc,

K₁₈ = bbaa9988,

K₁₉ = 77665544,

K₂₀ = 33221100,

K₂₁ = f0f1f2f3,

K₂₂ = f4f5f6f7,

K₂₃ = f8f9fafb,

K₂₄ = fcfdfeff,

K₂₅ = fcfdfeff,

K₂₆ = f8f9fafb,

K₂₇ = f4f5f6f7,

K₂₈ = f0f1f2f3,

K₂₉ = 33221100,

K₃₀ = 77665544,

K₃₁ = bbaa9988,

K₃₂ = ffeeddcc.

А.2.4 Алгоритм зашифрования

В настоящем контрольном примере зашифрование производится при значениях итерационных ключей из А.2.3. Пусть открытый текст, подлежащий зашифрованию, равен

 

a = fedcba9876543210,

 

тогда

(a₁, a₀) = (fedcba98, 76543210),

G[K₁](a₁, a₀) = (76543210, 28da3b14),

G[K₂]G[K₁](a₁, a₀) = (28da3b14, b14337a5),

G[K₃]...G[K₁](a₁, a₀) = (b14337a5, 633a7c68),

G[K₄]...G[K₁](a₁, a₀) = (633a7c68, ea89c02c),

G[K₅]...G[K₁](a₁, a₀) = (ea89c02c, 11fe726d),

G[K₆]...G[K₁](a₁, a₀) = (11fe726d, ad0310a4),

G[K₇]...G[K₁](a₁, a₀) = (ad0310a4, 37d97f25),

G[K₈]...G[K₁](a₁, a₀) = (37d97f25, 46324615),

G[K₉]...G[K₁](a₁, a₀) = (46324615, ce995f2a),

G[K₁₀]...G[K₁](a₁, a₀) = (ce995f2a, 93c1f449),

G[K₁₁]...G[K₁](a₁, a₀) = (93c1f449, 4811c7ad),

G[K₁₂]...G[K₁](a₁, a₀) = (4811c7ad, c4b3edca),

G[K₁₃]...G[K₁](a₁, a₀) = (c4b3edca, 44ca5ce1),

G[K₁₄]...G[K₁](a₁, a₀) = (44ca5ce1, fef51b68),

G[K₁₅]...G[K₁](a₁, a₀) = (fef51b68, 2098cd86),

G[K₁₆]...G[K₁](a₁, a₀) = (2098cd86, 4f15b0bb),

G[K₁₇]...G[K₁](a₁, a₀) = (4f15b0bb, e32805bc),

G[K₁₈]...G[K₁](a₁, a₀) = (e32805bc, e7116722),

G[K₁₉]...G[K₁](a₁, a₀) = (e7116722, 89cadf21),

G[K₂₀]...G[K₁](a₁, a₀) = (89cadf21, bac8444d),

G[K₂₁]...G[K₁](a₁, a₀) = (bac8444d, 11263a21),

G[K₂₂]...G[K₁](a₁, a₀) = (11263a21, 625434c3),

G[K₂₃]...G[K₁](a₁, a₀) = (625434c3, 8025c0a5),

G[K₂₄]...G[K₁](a₁, a₀) = (8025c0a5, b0d66514),

G[K₂₅]...G[K₁](a₁, a₀) = (b0d66514, 47b1d5f4),

G[K₂₆]...G[K₁](a₁, a₀) = (47b1d5f4, c78e6d50),

G[K₂₇]...G[K₁](a₁, a₀) = (c78e6d50, 80251e99),

G[K₂₈]...G[K₁](a₁, a₀) = (80251e99, 2b96eca6),

G[K₂₉]...G[K₁](a₁, a₀) = (2b96eca6, 05ef4401),

G[K₃₀]...G[K₁](a₁, a₀) = (05ef4401, 239a4577),

G[K₃₁]...G[K₁](a₁, a₀) = (239a4577, c2d8ca3d).

Результатом зашифрования является шифртекст

 

b = G^*[K₃₂]G[K₃₁]...G[K₁](a₁, a₀) = 4ee901e5c2d8ca3d.

 

А.2.5 Алгоритм расшифрования

В настоящем контрольном примере расшифрование производится при значениях итерационных ключей из А.2.3. Пусть шифртекст, подлежащий расшифрованию, равен шифртексту, полученному в предыдущем пункте:

 

b = 4ee901e5c2d8ca3d,

 

тогда

(b₁, b₀) = (4ee901e5, c2d8ca3d),

G[K₃₂](b₁, b₀) = (c2d8ca3d, 239a4577),

G[K₃₁]G[K₃₂](b₁, b₀) = (239a4577, 05ef4401),

G[K₃₀]...G[K₃₂](b₁, b₀) = (05ef4401,2b96eca6),

G[K₂₉]...G[K₃₂](b₁, b₀) = (2b96eca6, 80251e99),

G[K₂₈]...G[K₃₂](b₁, b₀) = (80251e99, c78e6d50),

G[K₂₇]...G[K₃₂](b₁, b₀) = (c78e6d50, 47b1d5f4),

G[K₂₆]...G[K₃₂](b₁, b₀) = (47b1d5f4, b0d66514),

G[K₂₅]...G[K₃₂](b₁, b₀) = (b0d66514, 8025c0a5),

G[K₂₄]...G[K₃₂](b₁, b₀) = (8025c0a5, 625434c3),

G[K₂₃]...G[K₃₂](b₁, b₀) = (625434c3, 11263a21),

G[K₂₂]...G[K₃₂](b₁, b₀) = (11263a21, bac8444d),

G[K₂₁]...G[K₃₂](b₁, b₀) = (bac8444d, 89cadf21),

G[K₂₀]...G[K₃₂](b₁, b₀) = (89cadf21, e7116722),

G[K₁₉]...G[K₃₂](b₁, b₀) = (e7116722, e32805bc),

G[K₁₈]...G[K₃₂](b₁, b₀) = (e32805bc, 4f15b0bb),

G[K₁₇]...G[K₃₂](b₁, b₀) = (4f15b0bb, 2098cd86),

G[K₁₆]...G[K₃₂](b₁, b₀) = (2098cd86, fef51b68),

G[K₁₅]...G[K₃₂](b₁, b₀) = (fef51b68, 44ca5ce1),

G[K₁₄]...G[K₃₂](b₁, b₀) = (44ca5ce1, c4b3edca),

G[K₁₃]...G[K₃₂](b₁, b₀) = (c4b3edca, 4811c7ad),

G[K₁₂]...G[K₃₂](b₁, b₀) = (4811c7ad, 93c1f449),

G[K₁₁]...G[K₃₂](b₁, b₀) = (93c1f449, ce995f2a),

G[K₁₀]...G[K₃₂](b₁, b₀) = (ce995f2a, 46324615),

G[K₉]...G[K₃₂](b₁, b₀) = (46324615, 37d97f25),

G[K₈]...G[K₃₂](b₁, b₀) = (37d97f25, ad0310a4),

G[K₇]...G[K₃₂](b₁, b₀) = (ad0310a4, 11fe726d),

G[K₆]...G[K₃₂](b₁, b₀) = (11fe726d, ea89c02c),

G[K₅]...G[K₃₂](b₁, b₀) = (ea89c02c, 633a7c68),

G[K₄]...G[K₃₂](b₁, b₀) = (633a7c68, b14337a5),

G[K₃]...G[K₃₂](b₁, b₀) = (b14337a5, 28da3b14),

G[K₂]...G[K₃₂](b₁, b₀) = (28da3b14, 76543210).

Результатом расшифрования является открытый текст

 

a = G^*[K₁]G[K₂]...G[K₃₂](b₁, b₀) = fedcba9876543210.