Открыть сервис

ГОСТ Р 34.12-2015

ГОСТ Р 34.12-2015 — это национальный стандарт Российской Федерации, устанавливающий алгоритмы блочного симметричного шифрования. Стандарт входит в комплекс криптографических стандартов, разработанных для обеспечения информационной безопасности в государственных информационных системах, системах критической информационной инфраструктуры и других областях, где требуется использование сертифицированных средств криптографической защиты информации (СКЗИ). Полное название документа — «ГОСТ Р 34.12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры».

История принятия

Разработка стандарта была вызвана необходимостью замены устаревшего ГОСТ 28147-89, который, несмотря на свою криптостойкость, имел ряд недостатков, в первую очередь — малый размер блока (64 бита) и фиксированные S-блоки (таблицы замен), не зафиксированные в самом стандарте. Работа над новым стандартом велась в рамках Технического комитета по стандартизации ТК 26 «Криптографическая защита информации» при участии таких организаций, как Академия ФСБ России, Институт криптографии, связи и информатики, а также компания «КРИПТО-ПРО».

Проект стандарта прошёл публичное обсуждение и был утверждён приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) 17 июня 2015 года. Введён в действие с 1 января 2016 года. Стандарт гармонизирован с международными требованиями и учитывает современные криптоаналитические атаки.

Основные алгоритмы

ГОСТ Р 34.12-2015 определяет два алгоритма блочного шифрования: «Магма» (Magma) и «Кузнечик» (Kuznyechik). Оба алгоритма являются симметричными, то есть используют один и тот же ключ для шифрования и дешифрования.

Алгоритм «Магма»

«Магма» представляет собой модернизированную версию ГОСТ 28147-89. Основные характеристики:

Алгоритм «Магма» считается достаточно стойким для большинства практических задач, однако из-за малого размера блока (64 бита) он уязвим для атак, основанных на коллизиях блоков (например, атака «дня рождения»), при шифровании больших объёмов данных (более 32 ГБ). Поэтому для длинных сообщений рекомендуется использовать режимы счётчика (CTR) или гаммирования (OFB, CFB).

Алгоритм «Кузнечик»

«Кузнечик» — это современный алгоритм, разработанный для замены «Магмы» в перспективе. Его характеристики:

«Кузнечик» обладает высокой криптостойкостью и рекомендуется для использования в системах, требующих защиты на длительный срок (например, в документах с грифом «секретно»). Размер блока в 128 бит делает его устойчивым к атакам на основе коллизий до объёмов данных порядка 2^64 блоков.

Режимы шифрования

Стандарт ГОСТ Р 34.12-2015 не определяет режимы шифрования непосредственно, но ссылается на ГОСТ Р 34.13-2015, который устанавливает следующие режимы для блочных шифров:

Для практического применения в современных системах (например, TLS, IPsec) чаще всего используются режимы CTR и CBC.

Криптостойкость

Оба алгоритма прошли всесторонний криптоанализ. На момент публикации стандарта не было известно эффективных атак, позволяющих взломать «Кузнечика» или «Магму» быстрее, чем полным перебором ключа (2^256 операций). В 2023 году группа исследователей из Франции и США опубликовала работу, в которой была продемонстрирована атака на «Кузнечика» с использованием дифференциального криптоанализа, требующая 2^128 операций, что всё равно значительно превышает возможности современных вычислительных систем. Однако эта атака показывает, что алгоритм не является идеальным с точки зрения доказательной стойкости.

Применение

ГОСТ Р 34.12-2015 обязателен для использования в государственных информационных системах Российской Федерации, в системах, обрабатывающих персональные данные, а также в системах критической информационной инфраструктуры. Он применяется в:

Критика

Основные замечания к стандарту связаны с алгоритмом «Магма»:

Алгоритм «Кузнечик» также подвергался критике за сложность S-блока, который не был получен случайным образом, а построен с использованием алгебраических методов, что вызывает подозрения в возможности скрытых уязвимостей (backdoors). Однако официальные представители ТК 26 утверждают, что S-блок был выбран на основе строгих математических критериев.

Связь с международными стандартами

ГОСТ Р 34.12-2015 не является прямым аналогом какого-либо международного стандарта, но его алгоритмы включены в ряд международных протоколов. Например, «Кузнечик» и «Магма» поддерживаются в OpenSSL (начиная с версии 1.1.1) и в библиотеке Botan. В 2019 году алгоритмы были включены в проект ISO/IEC 18033-3 (шифрование), что свидетельствует о признании их на международном уровне.

Перспективы развития

В 2023 году началась работа над новой версией стандарта (ГОСТ Р 34.12-202X), которая, вероятно, будет включать увеличенный размер блока для «Магмы» (до 128 бит) или полный отказ от этого алгоритма в пользу более современных решений. Также рассматривается возможность добавления алгоритмов с доказательной стойкостью (например, на основе решёток).

Источники

  1. ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры».
  2. ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
  3. Материалы Технического комитета по стандартизации ТК 26 «Криптографическая защита информации».
  4. Публикации в журнале «Вопросы защиты информации» (2015-2023).
  5. Отчёты о криптоанализе алгоритмов «Магма» и «Кузнечик» (ИППИ РАН, 2020).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →