ru STRUMOK

СТРУМОК
СТРУМОК
Создатель	Olexandr Kuznetsov, Mariya Lutsenko, Dmytro Ivanenko, ПАТ «Інститут інформаційних технологій»
Создан	2016
Стандарты	ДСТУ 8845:2019
Размер ключа	256, 512 бит
Тип	Потоковый шифр

«СТРУМОК» (англ. STRUMOK; рус. Ручей; поток; струя) — потоковый симметричный шифр, описанный в национальном стандарте Украины ДСТУ 8845:2019 «Информационные технологии. Криптографическая защита информации. Алгоритм симметричного поточного преобразования»^[1]. Стандарт вступил в силу с 1 октября 2019.

В зависимости от длинны секретного ключе имеет два режима работы: «СТРУМОК-256» и «СТРУМОК-512».

СТРУМОК обеспечивает высокую скорость формирования ключевого потока (более 10 Гбит/c).

Схема работы

Общая схема работы

В основе алгоритма СТРУМОК лежит идея гаммирования, заключающаяся в «наложении» последовательности, состоящей из случайных чисел, на открытый текст. Генератор псевдослучайных чисел СТРУМОК использует 256-битный вектор инициализации $IV$ и 256-битный или 512-битный секретный ключ $K$ и обеспечивает стойкость с учётом возможного применения квантового криптографического анализа. Криптоалгоритм ориентирован на 64-разрядные вычислительные системы, следовательно размер слова определён равным 64 битам.

Основными структурными компонентами генератора является регистр сдвига с линейным обратной связью и конечный автомат, в котором выполняется нелинейное преобразование. Входные данные (ключ $K$ и вектор инициализации $IV$ ) используются для инициализации переменной состояния $S_{i}(i>=0)$ , которая состоит из восемнадцати 64-битных блоков:

16 ячеек регистра сдвига с линейным обратной связью : $s_{i}=(s_{15}^{(i)},s_{14}^{(i)},...,s_{0}^{(i)})$ ;
два регистра конечного автомата $r_{i}=(r_{1}^{(i)},r_{0}^{(i)})$ .

Выход представляет собой ключевой поток (гамму), который формируется из 64-битных слов $Z_{i}$ .

Алгоритм

В алгоритме СТРУМОК можно выделить три основные функции:

функция инициализации $Init$ , которая принимает в качестве входных данных ключ $K$ и вектор инициализации $IV$ , и производит начальное значение переменной состояния $S_{0}=(s^{(0)},r^{(0)})$ ;
функция следующего состояния $Next$ , которая принимает на вход переменную состояния $S_{i}=(s^{(i)},r^{(i)})$ и производит следующее значение переменной состояния $S_{i+1}=(s^{(i+1)},r^{(i+1)})$ ;
функция ключевого потока $Strm$ , что принимает на входе переменную состояния $S_{i}=(s^{(i)},r^{(i)})$ и производит на выходе ключевой поток $Z_{i}$ (64 бита).

Функция инициализации $Init$

Вход : 256 или 512-битный ключ $K$ , 256-битный вектор инициализации $IV$ .

Выход : начальное значение переменной состояния $S_{0}=(s^{(0)},r^{(0)})$ .

В 16 ячеек регистра сдвига заносится значения, сформированные на основании ключа и вектора инициализации. Таким образом формируется $S_{-33}=(s^{(-33)},r^{(-33)}$ .
Выполняются 32 инициирующих такта без генерации ключевого потока(выполнение функции Next в режиме инициализации INIT ): $S_{-1}=Next^{32}(S_{-33},INIT$ .
Рассчитывается начальное значение переменной состояния: $S_{0}=Next(S_{-1})$ .
Выводится значение $S_{0}=(s^{(0)},r^{(0)})$ .

Функция следующего состояния $Next$

Вход: Переменная состояния $S_{i}=(s^{(i)},r^{(i)})$ и режим работы(обычный или режим инициализации).

Выход: Переменная состояния $S_{i+1}=(s^{(i+1)},r^{(i+1)})$ .

Обновляются значения регистров конечного автомата $r_{i+1}$ .
Обновляется значение 15 ячеек регистра сдвига: $s_{j}^{(i+1)}=s_{j+1}^{(i)},j=0,1,...,14.$
Обновляется значение 16 ячейки: $s_{15}^{(i+1)}=(s_{0}^{(i)}\bigotimes \alpha )\bigoplus (s_{11}^{(i)}\bigotimes \alpha ^{-1})\bigoplus s_{13}^{(i)}$ при работе в обычном режиме и $s_{15}^{(i+1)}=FSM(s_{15}^{(i)},r_{1}^{(i)},r_{2}^{(i)})\bigoplus (s_{0}^{(i)}\bigotimes \alpha )\bigoplus (s_{11}^{(i)}\bigotimes \alpha ^{-1})\bigoplus s_{13}^{(i)}$ при режиме инициализации.
Выводится значение $S_{i+1}=(s^{(i+1)},r^{(i+1)})$ .

Функция ключевого потока $Strm$

Вход: Переменная состояния $S_{i}=(s^{(i)},r^{(i)})$ .

Выход: ключевой поток $Z_{i}$ .

Вычисляется значение $Z_{i}=FSM(s_{15}^{(i)},r_{1}^{(i)},r_{2}^{(i)})\bigoplus s_{0}^{(i)}$ .
Выводится значение $Z_{i}$ .

Функция конечного автомата $FSM$

Функция конечного автомата $FSM$ используется в функциях $Strm$ и $Next$ .

Вход : три 64-битных строки $x_{1},x_{2},x_{3}$ .

Выход : 64-битная строка $x$ .

Вычисляется значение $x=(x_{1}+_{64}x_{2})\bigoplus x_{3}$ .
Выводится значение $x$ .

$+_{64}$ обозначает операцию сложения целых чисел по модулю 2⁶⁴ .

Схема работы регистра сдвига

Обратную связь в регистре сдвига с линейным обратной связью можно описать операциями над элементами конечных полей.

Обратная связь в регистре сдвига строится над полем $GF(2^{64})$ полиномом:

f(x)=x^{16}+x^{13}+\alpha ^{-1}x^{11}+\alpha ,

где $\alpha$ является корнем многочлена над полем $GF(2^{8})$ :

g(x)=x^{8}+\beta ^{170}x^{7}+\beta ^{166}x^{6}+\beta ^{2}x^{5}+\beta ^{224}x^{4}+\beta ^{70}x^{3}+\beta ^{2}

,

где $\beta$ является корнем многочлена над полем $GF(2)$ :

p(x)=x^{8}+x^{4}+x^{3}+x^{2}+1

.

Поле $GF(2^{8})$ строится над полем $GF(2)$ полиномом $p(x)$ .

Период выходной последовательности регистра сдвига является максимальным и равным $2^{1024}-1$ .

Сравнение со SNOW 2.0

Генератор ключевого потока СТРУМОК в своей концептуальной схеме подобен SNOW 2.0. Но SNOW 2.0 ориентирован на использование в 32-разрядных вычислительных систем, тогда как СТРУМОК предназначен для использования в более мощных 64-разрядных вычислительных системах. В связи с этим в алгоритме Струмок повышается скорость формирования псевдослучайной последовательности.^[2] В алгоритме СТРУМОК увеличены, по сравнению с SNOW2.0, длины секретного ключа и вектора инициализации. Это позволяет надежно применять поточный шифр даже в условиях, когда злоумышленнику доступно применение квантового криптоанализа.^[3]

Тестирование направленное на определение случайности двоичных последовательностей NIST показывает, что алгоритм СТРУМОК уступает SNOW 2.0.^[4]

Генератор ключевых потоков СТРУМОК позволяет формировать псевдослучайные последовательности со скоростью более 10 Гбит/с(Intel Core i9-7980XE 2.60 GHz and OS Windows® 10 Pro).^[5]

Примечания

↑ ДСТУ 8845:2019 Информационные технологии. Криптографическая защита информации. Алгоритм симметричного поточного преобразования.
↑ Olexandr Kuznetsov, Mariya Lutsenko, Dmytro Ivanenko. Strumok Stream Cipher: Spesification and Basic Properties // Department Information and communication systems security, V. N. Karazin Kharkiv National University, Kharkiv, Ukraine.
↑ О.О. КУЗНЕЦОВ, І.Д. ГОРБЕНКО, Ю.І. ГОРБЕНКО, А.М. ОЛЕКСІЙЧУК. МАТЕМАТИЧНА СТРУКТУРА ПОТОКОВОГО ШИФРУ СТРУМОК (укр.) // Харківський національний університет імені В.Н. Каразіна. — 2018.
↑ Oleksii Nariezhnii, Egor Eremin, Vladislav Frolenko, Kyrylo Chernov, Tetiana Kuznetsova, Yevhen Demenko. STATISTICAL PROPERTIES OF MODERN STREAM CIPHERS // V. N. Karazin Kharkiv National University. — ISSN 2519-2310. Архивировано 14 июля 2020 года.
↑ Ivan Gorbenko, Yurii Gorbenko, Vladyslav Tymchenko, Olena Kachko. TESTING THE SPEED OF MODERN STREAM CIPHERS // Kharkiv national university of Radio Electronics. — 2018. — ISSN 2519-2310.

[1] ДСТУ 8845:2019 Информационные технологии. Криптографическая защита информации. Алгоритм симметричного поточного преобразования.

[2] Olexandr Kuznetsov, Mariya Lutsenko, Dmytro Ivanenko. Strumok Stream Cipher: Spesification and Basic Properties // Department Information and communication systems security, V. N. Karazin Kharkiv National University, Kharkiv, Ukraine.

[:0-3] О.О. КУЗНЕЦОВ, І.Д. ГОРБЕНКО, Ю.І. ГОРБЕНКО, А.М. ОЛЕКСІЙЧУК. МАТЕМАТИЧНА СТРУКТУРА ПОТОКОВОГО ШИФРУ СТРУМОК (укр.) // Харківський національний університет імені В.Н. Каразіна. — 2018.

[4] Oleksii Nariezhnii, Egor Eremin, Vladislav Frolenko, Kyrylo Chernov, Tetiana Kuznetsova, Yevhen Demenko. STATISTICAL PROPERTIES OF MODERN STREAM CIPHERS // V. N. Karazin Kharkiv National University. — ISSN 2519-2310. Архивировано 14 июля 2020 года.

[5] Ivan Gorbenko, Yurii Gorbenko, Vladyslav Tymchenko, Olena Kachko. TESTING THE SPEED OF MODERN STREAM CIPHERS // Kharkiv national university of Radio Electronics. — 2018. — ISSN 2519-2310.

[1]

[2]

[3]

[4]

[5]

STRUMOK