вопрос по ГОСТ 28147-89

metcenger

Не получается, однако... Если конкретный компилятор не умеет работать с переменными больше чем 16 бит, то как ты ему объявишь 32 бита?

 

kapger
первая пункт 4 - правильно

по гамме 2- у меня не так. Связано с тем, что я подаю на вход второй гаммы результат первой гаммы, а именно
9D9BA7C74D32B3A9

разве не так надо?

 

metcenger

Насколько я понимаю - не так...
Давай посмотрим статью Винокурова и исходники ГОСТа и совместно придем к единому мнению...

 

kapger
ещё раз процитирую олеграса

1. Берем (формируем) 64-разрядное случайное число S.
2. Шифруем S методом простой замены. S=Ц32-з(S)

3. Разбиваем S на две 32-х разрядные части: S0 (младшая часть) и S1 (старшая).
4. Каждую часть вычисляем отдельно, используя вышеуказанные константы:
S0=S0+C1 (mod 2^32)
S1=S1+C2-1 (mod (2^32)-1) + 1
5. Склеиваем S0 и S1 обратно в S.
6. Шифруем S методом простой замены S=Ц32-з(S).
7. Читаем 64 бит входных данных и делаем поразрядный xor с нашим S.

Повторяем шаги 3 - 7, пока не закончатся входные данные

После шага 7 возвращаемся к шагу 3 именно с текущим значением нашего S. Я ведь написал
S=Ц32-з(S)
То есть каждый раз на шагах 3 - 6 производим операции над одной и той же переменной

именно так я и реализовал...
т.е. шаг 6- это наша первая гамма.
её мы и подаем на вход след. цикла.

 

metcenger
Частично я об этом писал в сообщении №57 http://wasm.ru/forum/viewtopic.php?pid=313449#p313449
А сейчас попробую сформулировать только относящееся к нашему последнему вопросу:

Так. Используется терминология и условные обозначения самого ГОСТа (практически дословно), мои комментарии даны после каждой цитаты.

В соответствии с ГОСТ пункт 3.1.2

Получается, что в N1 хранится S1 (S1 по Винокурову), а в N2 хранится S0 (S0 по Винокурову).

В соответствии с ГОСТ пункт 3.1.3

По Винокурову это блок 1 на рисунке 4.

В соответствии с ГОСТ этот же пункт 3.1.3

То есть начальное заполнение (синхропосылка), к тому же зашифрованное, поместили (скопировали) в накопитель N3 и N4.
Обратите внимание: в N3 и N4 у нас сейчас зашифрованная синхропосылка!

В соответствии с ГОСТ пункт 3.1.4

По Винокурову это блок 2 на рисунке 4.
По Винокурову в N4 у нас находится S0=S0+C1, а в N4 у нас находится S1=S1+C2. Для простоты я не указываю в этих формулах правила суммирования.
Обратите внимание: в N3 и N4 у нас сейчас зашифрованная синхропосылка единожды суммированная с константами!

В соответствии с ГОСТ этот же пункт 3.1.4 чуть ниже чертежа 3

Обратите внимание: в N3 и N4 у нас (также, как и раньше) находится зашифрованная синхропосылка единожды суммированная с константами! А вот первая гамма (зашифрованная) находится у нас в N1 и N2!

В соответствии с ГОСТ пункт 3.1.5

Обратите внимание: в N3 и N4 у нас (также, как и раньше) находится зашифрованная синхропосылка единожды суммированная с константами! И вот именно ее мы еще раз и суммируем опять с константами! А вторая гамма (зашифрованная) находится у нас опять в N1 и N2! И так далее...

Вопросы?

 

kapger
надо переварить )))
может кто ещё, кто читает даст комментарии?

 

kapger
перечитал ещё Винокурова, там только первая гамма показана как получается. У Шнайера в реализации только режим ECB описан. т.е. тоже не то.
Где ещё можно глянуть? или реализацию? Можно Си или Асм. Или только оригинальный документ нормальный?

 

metcenger
Ссылки на разные реализации я, к сожалению, не записывал...
А те реализации, которые я насобирал, настолько разные, что я не буду вводить в заблуждение никого, выставляя их здесь. На текущий момент будем считать, что нормальным является только оригинал ГОСТа.

 

kapger
выложи плз этот оригинал. у меня его нету. Изучу его. И, уверен, что это оригинал?

Никто не желает прокомментировать вопрос по гамме?

 

kapger
от нечего делать посчитал, повторится ли первая гамма наша
9D9BA7C74D32B3A9
если, скажем, миллиард гамм выработать по моему сценарию...
ни разу. считало 30 минут

 

metcenger
ссылка на оригинал в этой теме в конце примерно третьей страницы.

 

kapger
ок. спасибо.
да, за 10 миллиардов гамм тоже не повторилась первая гамма ни разу.

 

kapger
сообщ. 53 от irrona
он про то и говорит, что для последующей гаммы не нужно использовать предыдущую, а из Винокурова это следует. Это к вопросу о ляпах у Винокурова в описании.
Возможно, ты и прав тут. В общем, надо первоисточник изучать.

 

metcenger
Ну, как поизучаешь, так отпишись...

 

kapger
выкачал документ со стр. 3 последнее сообщ.- там про ф-ю хэширования. Это не то, я так думаю. Можешь ссылку дать на документ, где ты в сообщ. 205 ссылаешься на него? А то у меня инет через телефон сейчас- не полазишь особо по инету.

 

metcenger
Немного попутал... Не на третьей странице, а на второй...
irrona писал:

 

А ссылка мертвая, однако...

 

Я сегодня добрый. ГОСТ 28147-89 залил повторно http://www.fileserver.cc/z9b2rrul7ex8.html

 

kapger
можешь выложить, плз?
только зазипуй его, чтобы поменьше был размер.
files.mail.ru
сюда можно выложить, например

 

kapger
там странице на 3-й, где у нас 3 разных варианта получилось 32-3. Т.е. мой, твой и Винокуровский.
Если у нас теперь совпадают, получается Винокуровский не правильный?

irrona
Спасибо. Дочитали до сюда? Т.е. действительно не правильно следующую гамму делать из предыдущей? У Винокурова четко нарисовано это. 3 его статьи прочитал- одно и то же