« СТРУМОК » ( англ. STRUMOK ; рус. Ручей; поток; струя) — потоковый симметричный шифр , описанный в национальном стандарте Украины ДСТУ 8845:2019 «Информационные технологии. Криптографическая защита информации. Алгоритм симметричного поточного преобразования» . Стандарт вступил в силу с 1 октября 2019.

В зависимости от длинны секретного ключе имеет два режима работы: «СТРУМОК-256» и «СТРУМОК-512».

СТРУМОК обеспечивает высокую скорость формирования ключевого потока (более 10 Гбит/c).

Схема работы

Общая схема работы

В основе алгоритма СТРУМОК лежит идея гаммирования , заключающаяся в «наложении» последовательности, состоящей из случайных чисел, на открытый текст . Генератор псевдослучайных чисел СТРУМОК использует 256-битный вектор инициализации ${\displaystyle IV}$ и 256-битный или 512-битный секретный ключ ${\displaystyle K}$ и обеспечивает стойкость с учётом возможного применения квантового криптографического анализа . Криптоалгоритм ориентирован на 64-разрядные вычислительные системы, следовательно размер слова определён равным 64 битам .

Основными структурными компонентами генератора является регистр сдвига с линейным обратной связью и конечный автомат , в котором выполняется нелинейное преобразование. Входные данные ( ключ ${\displaystyle K}$ и вектор инициализации ${\displaystyle IV}$ ) используются для инициализации переменной состояния ${\displaystyle S_{i}(i>=0)}$ , которая состоит из восемнадцати 64-битных блоков:

1. 16 ячеек регистра сдвига с линейным обратной связью : ${\displaystyle s_{i}=(s_{15}^{(i)},s_{14}^{(i)},...,s_{0}^{(i)})}$ ;
2. два регистра конечного автомата ${\displaystyle r_{i}=(r_{1}^{(i)},r_{0}^{(i)})}$ .

Выход представляет собой ключевой поток ( гамму ), который формируется из 64-битных слов ${\displaystyle Z_{i}}$ .

Алгоритм

В алгоритме СТРУМОК можно выделить три основные функции:

1. функция инициализации ${\displaystyle Init}$ , которая принимает в качестве входных данных ключ ${\displaystyle K}$ и вектор инициализации ${\displaystyle IV}$ , и производит начальное значение переменной состояния ${\displaystyle S_{0}=(s^{(0)},r^{(0)})}$ ;
2. функция следующего состояния ${\displaystyle Next}$ , которая принимает на вход переменную состояния ${\displaystyle S_{i}=(s^{(i)},r^{(i)})}$ и производит следующее значение переменной состояния ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$ ;
3. функция ключевого потока ${\displaystyle Strm}$ , что принимает на входе переменную состояния ${\displaystyle S_{i}=(s^{(i)},r^{(i)})}$ и производит на выходе ключевой поток ${\displaystyle Z_{i}}$ (64 бита).

Функция инициализации ${\displaystyle Init}$

Вход : 256 или 512-битный ключ ${\displaystyle K}$ , 256-битный вектор инициализации ${\displaystyle IV}$ .

Выход : начальное значение переменной состояния ${\displaystyle S_{0}=(s^{(0)},r^{(0)})}$ .

1. В 16 ячеек регистра сдвига заносится значения, сформированные на основании ключа и вектора инициализации. Таким образом формируется ${\displaystyle S_{-33}=(s^{(-33)},r^{(-33)}}$ .
2. Выполняются 32 инициирующих такта без генерации ключевого потока(выполнение функции Next в режиме инициализации INIT ): ${\displaystyle S_{-1}=Next^{32}(S_{-33},INIT}$ .
3. Рассчитывается начальное значение переменной состояния: ${\displaystyle S_{0}=Next(S_{-1})}$ .
4. Выводится значение ${\displaystyle S_{0}=(s^{(0)},r^{(0)})}$ .

Функция следующего состояния ${\displaystyle Next}$

Вход: Переменная состояния ${\displaystyle S_{i}=(s^{(i)},r^{(i)})}$ и режим работы(обычный или режим инициализации).

Выход: Переменная состояния ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$ .

1. Обновляются значения регистров конечного автомата ${\displaystyle r_{i+1}}$ .
2. Обновляется значение 15 ячеек регистра сдвига: ${\displaystyle s_{j}^{(i+1)}=s_{j+1}^{(i)},j=0,1,...,14.}$
3. Обновляется значение 16 ячейки: ${\displaystyle s_{15}^{(i+1)}=(s_{0}^{(i)}\bigotimes \alpha )\bigoplus (s_{11}^{(i)}\bigotimes \alpha ^{-1})\bigoplus s_{13}^{(i)}}$ при работе в обычном режиме и ${\displaystyle s_{15}^{(i+1)}=FSM(s_{15}^{(i)},r_{1}^{(i)},r_{2}^{(i)})\bigoplus (s_{0}^{(i)}\bigotimes \alpha )\bigoplus (s_{11}^{(i)}\bigotimes \alpha ^{-1})\bigoplus s_{13}^{(i)}}$ при режиме инициализации.
4. Выводится значение ${\displaystyle S_{i+1}=(s^{(i+1)},r^{(i+1)})}$ .

Функция ключевого потока ${\displaystyle Strm}$

Вход: Переменная состояния ${\displaystyle S_{i}=(s^{(i)},r^{(i)})}$ .

Выход: ключевой поток ${\displaystyle Z_{i}}$ .

1. Вычисляется значение ${\displaystyle Z_{i}=FSM(s_{15}^{(i)},r_{1}^{(i)},r_{2}^{(i)})\bigoplus s_{0}^{(i)}}$ .
2. Выводится значение ${\displaystyle Z_{i}}$ .

Функция конечного автомата ${\displaystyle FSM}$

Функция конечного автомата ${\displaystyle FSM}$ используется в функциях ${\displaystyle Strm}$ и ${\displaystyle Next}$ .

Вход : три 64-битных строки ${\displaystyle x_{1},x_{2},x_{3}}$ .

Выход : 64-битная строка ${\displaystyle x}$ .

1. Вычисляется значение ${\displaystyle x=(x_{1}+_{64}x_{2})\bigoplus x_{3}}$ .
2. Выводится значение ${\displaystyle x}$ .

• ${\displaystyle +_{64}}$ обозначает операцию сложения целых чисел по модулю 2 ⁶⁴ .

Схема работы регистра сдвига

Обратную связь в регистре сдвига с линейным обратной связью можно описать операциями над элементами конечных полей .

Обратная связь в регистре сдвига строится над полем ${\displaystyle GF(2^{64})}$ полиномом:

${\displaystyle f(x)=x^{16}+x^{13}+\alpha ^{-1}x^{11}+\alpha ,}$

где ${\displaystyle \alpha }$ является корнем многочлена над полем ${\displaystyle GF(2^{8})}$ :

${\displaystyle g(x)=x^{8}+\beta ^{170}x^{7}+\beta ^{166}x^{6}+\beta ^{2}x^{5}+\beta ^{224}x^{4}+\beta ^{70}x^{3}+\beta ^{2}}$ ,

где ${\displaystyle \beta }$ является корнем многочлена над полем ${\displaystyle GF(2)}$ :

${\displaystyle p(x)=x^{8}+x^{4}+x^{3}+x^{2}+1}$ .

Поле ${\displaystyle GF(2^{8})}$ строится над полем ${\displaystyle GF(2)}$ полиномом ${\displaystyle p(x)}$ .

Период выходной последовательности регистра сдвига является максимальным и равным ${\displaystyle 2^{1024}-1}$ .

Сравнение со SNOW 2.0

Генератор ключевого потока СТРУМОК в своей концептуальной схеме подобен SNOW 2.0 . Но SNOW 2.0 ориентирован на использование в 32-разрядных вычислительных систем, тогда как СТРУМОК предназначен для использования в более мощных 64-разрядных вычислительных системах. В связи с этим в алгоритме Струмок повышается скорость формирования псевдослучайной последовательности. В алгоритме СТРУМОК увеличены, по сравнению с SNOW2.0 , длины секретного ключа и вектора инициализации. Это позволяет надежно применять поточный шифр даже в условиях, когда злоумышленнику доступно применение квантового криптоанализа.

Тестирование направленное на определение случайности двоичных последовательностей NIST показывает, что алгоритм СТРУМОК уступает SNOW 2.0 .

Генератор ключевых потоков СТРУМОК позволяет формировать псевдослучайные последовательности со скоростью более 10 Гбит/с(Intel Core i9-7980XE 2.60 GHz and OS Windows® 10 Pro).

Примечания