Системи криптографічних стандартів Росії та США передбачають алгоритми імітозахисту – захисту від нав'язування противником хибних даних. Ця ж методика дозволяє підтвердити авторство інформації в умовах взаємної довіри між відправником та одержувачем, але не захищає її від підробки з боку одержувача. Саме тому її іноді називають "симетричним цифровим підписом", що, звичайно, термінологічно небездоганно. В обох стандартах захист будується за одним і тим же принципом: виробляється відрізок даних, званий імітівставкою, або кодом автентифікації даних (data authentication code, DAC), який передається або зберігається разом з даними, що захищаються.

У системі стандартів опис алгоритму вироблення імітівставки міститься у тексті ГОСТ 28147-89 і названо режимом вироблення імітівставки. В американській системі за це відповідає окремий документ FIPS 113, В якому наведено опис алгоритму аутентифікації даних (data authentication algorithm, DAA).

Алгоритм вироблення імітівставки в обох стандартах будується на базі алгоритму зашифрування в режимі гамування зі зворотним зв'язком. Саме в цьому режимі шифрування останній блок гами залежить від попередніх блоків відкритого тексту. Імітівставка є відрізком даних розміру l біт, де l не перевищує розміру блоку, при її виробленні використовується зашифрування блоків у режимі простої заміни. При необхідності останній неповний блок даних доповнюється розміру повного блоку нульовими бітами.

Таким чином, процедура вироблення імітівставки дуже схожа на зашифрування даних у режимі СВС або СРВ (гамування зі зворотним зв'язком).Імітовставка вибирається із старшої частини блоку, отриманого після останнього перетворення. Імовірність нав'язування хибних даних противником дорівнює 2-l.

Існують відмінності у виробленні імітівставки в стандартах Росії та США: в американському стандарті використовується повний цикл простої заміни, а в російському – укорочений цикл, в якому реалізовані перші 16 раундів перетворення. Спрощений цикл вироблення імітівставки в російському стандарті дозволяє виконувати її приблизно вдвічі швидше за шифрування, а в американському – швидкості обох процедур однакові.

У вітчизняному стандарті біти імітівставки витягуються з половини блоку, яка модифікується на останньому раунді перетворення. Оскільки останній раунд циклу вироблення імітівставки відрізняється від останнього раунду циклів шифрування тим, що в ньому виконується перестановка старшої та молодшої частин блоку, а на раунді модифікується старша його частина, то біти імітівставки слід вибирати з молодшої половини. І, як наслідок, у російському стандарті розмір імітівставки вбирається у половини розміру блоку, тобто. 32 біт, а американському – повного розміру блоку, тобто. 128 біт. Іноді це може бути важливим фактом.

Якщо за допомогою імітівставки необхідно контролювати можливість вилучення або повторної передачі всього реально переданого повідомлення цілком, то при виробленні імітівставки може використовуватися службова інформація, наприклад номер переданого повідомлення і/або дата і час передачі. Таким чином, імітівставка, або код аутентифікації даних, у російському та американському стандартах шифрування виробляються подібним чином, алгоритми їх отримання різняться в окремих не дуже суттєвих деталях.

Однак застосування імітівставок виправдане лише якщо відправник та одержувач довіряють один одному. А як бути в умовах відсутності взаємної довіри сторін? Такі ситуації зустрічаються набагато частіше, ніж вищерозглянута, наприклад, під час електронної комерції. Причому в одержувача повідомлення виникає необхідність як самостійно переконатися у справжності повідомлення (це завдання чудово вирішують кошти традиційної криптографії), а й довести третій стороні, що це повідомлення створено відправником, а чи не сформовано їм самим. У відправника має бути можливість довести факт підробки повідомлення, що йому приписується, якщо така підробка дійсно мала місце. Звичайно, бажано, щоб ці докази мали юридичну силу, і при цьому не відбувалося розголошення секретної інформації. Очевидно, що засоби традиційної криптографії мало придатні в такій ситуації, оскільки вони передбачають поділ загального секретного ключа між усіма учасниками криптопротоколу. Тому можливість перевірки відповідності імітівставки документу, що захищається, перетворюється на можливість генерації нової імітівставки для зміненого документа.

Імітівста́вка (MAC, англ. message authentication code – код аутентифікації повідомлення) – засіб забезпечення імітозахисту в протоколах аутентифікації повідомлень з учасниками, що довіряють один одному, – спеціальний набір символів, який додається до повідомлення і призначений для забезпечення його цілісності та аутентифікації джерела даних.

Імітовставка зазвичай застосовується для забезпечення цілісності та захисту від фальсифікації переданої інформації.

Для перевірки цілісності (але не автентичності) повідомлення на стороні, що відправляє, до повідомлення додається значення хеш-функції від цього повідомлення, на приймальній стороні також виробляється хеш від отриманого повідомлення. Вироблений на приймальній стороні та отриманий хеш порівнюються, якщо вони рівні, то вважається, що отримане повідомлення дійшло без змін.

Для захисту від фальсифікації (імітації) повідомлення застосовується імітівставка, вироблена з використанням секретного елемента (ключа), відомого лише відправнику та одержувачу.

Пов'язані поняття

Хешування (англ. hashing – "перетворювати на фарш", "мішанина") – перетворення масиву вхідних даних довільної довжини в (вихідний) бітовий рядок встановленої довжини, що виконується певним алгоритмом. Функція, що втілює алгоритм і виконує перетворення, називається "хеш-функцією" або "функцією згортки". Вихідні дані називаються вхідним масивом, "ключом" або "повідомленням". Результат перетворення (вихідні дані) називається «хеш», «хеш-кодом», «хеш-сумою», «зведенням повідомлення».

Ключ – це секретна інформація, що використовується криптографічним алгоритмом при зашифруванні/розшифруванні повідомлень, постановці та перевірці цифрового підпису, обчисленні кодів автентичності (MAC). При використанні того самого алгоритму результат шифрування залежить від ключа. Для сучасних алгоритмів сильної криптографії втрата ключа призводить до практичної неможливості розшифрувати інформацію.

Відкритий текст (англ. plain text) — у криптографії вихідний текст, що підлягає шифруванню, або в результаті розшифровки. Може бути прочитаний без додаткової обробки (без розшифрування).

Криптографічні хеш-функції – це виділений клас хеш-функцій, який має певні властивості, що роблять його придатним для використання в криптографії.

У криптографії та комп'ютерній безпеці, атака подовженням повідомлення – тип атаки на хеш-функцію, що полягає в додаванні нової інформації до кінця вихідного повідомлення. У цьому нове значення хеша може бути обчислено, навіть якщо вміст вихідного повідомлення залишається невідомим. При використанні хеш-функції як імітівставки нове значення буде дійсним кодом автентифікації для нового повідомлення.

Протокол Діффі – Хеллмана (англ. Diffie-Hellman, DH) – криптографічний протокол, що дозволяє двом і більше сторонам отримати загальний секретний ключ, використовуючи незахищений від прослуховування канал зв'язку. Отриманий ключ використовується для подальшого шифрування обміну за допомогою алгоритмів симетричного шифрування.

Доповнення (англ. padding) в криптографії – додавання нічого не значущих даних до інформації, що зашифровується, націлене на підвищення криптостійкості. Різні техніки доповнення застосовувалися у класичній криптографії, широке застосування техніки доповнень знайшли у комп'ютерних системах шифрування.

Потоковий або Потоковий шифр – це симетричний шифр, в якому кожен символ відкритого тексту перетворюється на символ шифрованого тексту залежно не тільки від ключа, що використовується, але і від його розташування в потоці відкритого тексту. Поточний шифр реалізує інший підхід до симетричного шифрування, ніж блокові шифри.

Шифрування — оборотне перетворення інформації з метою приховування від неавторизованих осіб з наданням авторизованим користувачам доступу до неї.Головним чином, шифрування служить завданням дотримання конфіденційності інформації, що передається. Важливою особливістю будь-якого алгоритму шифрування є використання ключа, який затверджує вибір конкретного перетворення із сукупності можливих даного алгоритму.

Шифруюче програмне забезпечення — це програмне забезпечення, основним завданням якого є шифрування та дешифрування даних, як правило, у вигляді файлів (або секторів), жорстких дисків та змінних носіїв (дискет, компакт-дисків, USB-флеш-накопичувачів), повідомлень електронної пошти або у вигляді пакетів, що передаються через комп'ютерні мережі.

Шифрування, що зберігає формат (англ. format-preserving encryption, FPE) означає шифрування, у якому вихідні дані (шифротекст) перебувають у тому форматі, як і вхідні дані (відкритий текст). Значення слова "формат" варіюється. Зазвичай маються на увазі лише кінцеві множини, наприклад.

Симетричні криптосистеми (також симетричне шифрування, симетричні шифри) (англ. symmetric-key algorithm) — спосіб шифрування, в якому для шифрування та розшифровування застосовується один і той же криптографічний ключ. До винаходу схеми асиметричного шифрування єдиним існував способом було симетричне шифрування. Ключ алгоритму повинен зберігатися в таємниці обома сторонами, здійснюватися заходи захисту доступу до каналу, на всьому шляху прямування криптограми, або сторонами.

Схема Ель-Гамаля (Elgamal) – криптосистема з відкритим ключем, заснована на труднощі обчислення дискретних логарифмів у кінцевому полі. Криптосистема включає алгоритм шифрування і алгоритм цифрового підпису.Схема Ель-Гамаля лежить в основі колишніх стандартів електронного цифрового підпису в США (DSA) та Росії (ГОСТ Р 34.10-94).

Раундом (або циклом) у криптографії називають один із послідовних кроків обробки даних в алгоритмі блокового шифрування. У шифрах Фейстеля (побудованих відповідно до архітектури мережі Фейстеля) і близьких йому по архітектурі шифрах – один крок шифрування, в ході якого одна або кілька частин блоку даних, що шифрується, піддається модифікації шляхом застосування кругової функції.

Пошта з підвищеною таємністю (Privacy-Enhanced Mail, PEM) є стандартом Internet для гарантування безпеки електронної пошти у мережі Internet. Цей стандарт схвалено порадою з архітектури Internet (Internet Architecture Board, IAB). Вперше був розроблений під керівництвом Групи приватності та безпеки Internet Resources Task Force (IRTF) у 1993 році, далі розробку було передано до PEM Working Group (IETF). Фактично, протоколи PEM створені для шифрування, автентифікації.

Криптографічна стійкість (або криптостійкість) – здатність криптографічного алгоритму протистояти криптоаналізу. Стійким вважається алгоритм, атака який вимагає від атакуючого наявності настільки значних обчислювальних ресурсів чи величезних витрат часу на розшифровку перехоплених повідомлень, що у момент їх розшифровування захищена інформація втратить свою актуальність. У великій кількості випадків криптостійкість не може бути математично доведена; можна лише довести вразливість.

Закритий ключ — компонент ключової пари, що зберігається в таємниці, застосовується в асиметричних шифрах, тобто таких шифрах, в яких для прямого і зворотного перетворень використовуються різні ключі.На відміну від закритого ключа інший компонент ключової пари — відкритий ключ, як правило, не зберігається в таємниці, а захищається від підробки і публікується.

Блоковий шифр – різновид симетричного шифру, що оперує групами біт фіксованої довжини – блоками, характерний розмір яких змінюється в межах 64-256 біт. Якщо вихідний текст (або його залишок) менший за розмір блоку, перед шифруванням його доповнюють. Фактично, блоковий шифр є підстановкою на алфавіті блоків, яка, як наслідок, може бути моно- або поліалфавітною. Блоковий шифр є важливим компонентом багатьох криптографічних протоколів і широко використовується для захисту.

Блоковий шифр «Коник» (входить до стандарту ГОСТ Р 34.12-2015) — симетричний алгоритм блокового шифрування з розміром блоку 128 біт та довжиною ключа 256 біт і використовує для генерації раундових ключів мережу Фейстеля.

Криптографічні примітиви – низькорівневі криптографічні алгоритми, які часто використовуються для побудови криптографічних протоколів. У вузькому значенні це операції та процедури, що визначають необхідні властивості криптосистеми.

Атака на основі відкритих текстів (англ. Known-plaintext attack) – вид криптоаналізу, при якому в шифротексті присутні стандартні уривки, зміст яких наперед відомий аналітику. Під час Другої світової війни англійські криптоаналітики називали такі уривки "підказками" (англ. crib – підказка, шпаргалка).

Атака по стороннім (або побічним) каналам (англ. side-channel attack) – клас атак, спрямований на вразливість у практичній реалізації криптосистеми.На відміну від теоретичного криптоаналізу, атака по сторонніх каналах використовує інформацію про фізичні процеси у пристрої, які не розглядаються в теоретичному описі криптографічного алгоритму. Хоча подібні атаки були добре відомі вже у 1980-х роках, вони набули широкого поширення після публікації результатів Полом Кохером.

Функція формування ключа (KDF) — функція, що формує один або кілька секретних ключів на основі секретного значення (головний ключ, пароль або парольна фраза) за допомогою псевдовипадкової функції. Функція формування ключа може бути використана для створення ключа необхідної довжини або заданого формату. Прикладом цього може бути перетворення секретного ключа, отриманого як результат протоколу Діффі – Хеллмана, в симетричний ключ для використання в алгоритмі.

Цілісність інформації – термін в інформатиці (криптографії, теорії телекомунікацій, теорії інформаційної безпеки), що означає, що дані не були змінені при виконанні будь-якої операції над ними, передача, зберігання або відображення.

Стандарти шифрування даних – сукупність правил, що використовуються в потужній алгоритмічній техніці кодування інформації.

Криптографічна система з відкритим ключем (різновид асиметричного шифрування, асиметричного шифру) — система шифрування та/або електронного підпису (ЕП), при якій відкритий ключ передається по відкритому (тобто незахищеному, доступному для спостереження) каналу і використовується для перевірки ЕП та для шифрування повідомлення. Для генерації ЕП та для розшифрування повідомлення використовується закритий ключ.Криптографічні системи з відкритим ключем в даний час широко застосовуються в різних мережних.

Шифрування бази даних — використання технології шифрування для перетворення інформації, що зберігається в базі даних (БД), в шифротекст, що робить її прочитання неможливим для осіб, які не мають ключів шифрування.

Лавинний ефект (англ. Avalanche effect) — поняття в криптографії, яке зазвичай застосовується до блокових шифрів і криптографічних хеш-функцій. Важлива криптографічна властивість для шифрування, що означає, що зміна значення малої кількості бітів у вхідному тексті або ключі веде до «лавинної» зміни значень вихідних бітів шифротексту. Інакше кажучи, це залежність всіх вихідних бітів від кожного вхідного біта.

Райдужна таблиця (англ. rainbow table) – спеціальний варіант таблиць пошуку (англ. lookup table) для звернення криптографічних хеш-функцій, що використовує механізм розумного компромісу між часом пошуку по таблиці і пам'яттю (англ. time-memory tradeoff). Райдужні таблиці використовуються для розкриття паролів, перетворених за допомогою складнооборотної хеш-функції, а також для атак на симетричні шифри на основі відомого відкритого тексту. Використання функції формування ключа із застосуванням.

Контрольна сума – деяке значення, розраховане за набором даних шляхом застосування певного алгоритму і використовуване для перевірки цілісності даних при їх передачі або зберіганні. Також контрольні суми можуть бути використані для швидкого порівняння двох наборів даних на нееквівалентність: з великою ймовірністю різні набори даних матимуть нерівні контрольні суми. Це може бути використане, наприклад, виявлення комп'ютерних вірусів.Незважаючи на свою назву, контрольна.

Шифротекст, шифртекст – результат операції шифрування. Часто використовується замість терміну «криптограма», хоча останній підкреслює сам факт передачі повідомлення, а чи не шифрування.

Одностороння функція – математична функція, яка легко обчислюється для будь-якого вхідного значення, але важко знайти аргумент за заданим значенням функції. Тут "легко" і "важко" повинні розумітися з точки зору теорії складності обчислень. Розрив між складністю прямого та зворотного перетворень визначає криптографічну ефективність односторонньої функції. Неін'єктивність функції не є достатньою умовою для того, щоб називати її односторонньою. Односторонні функції можуть називатися.

Атака на основі підібраного відкритого тексту (Chosen-plaintext attack, CPA) — один з основних способів криптоаналітичного розтину. Криптоаналітик має певну кількість відкритих текстів і відповідних шифротекстів, крім того, він має можливість зашифрувати кілька попередньо вибраних відкритих текстів.

Криптосистема Крамера-Шоупа (англ. Cramer-Shoup system) – алгоритм шифрування з відкритим ключем. Перший алгоритм доказав свою стійкість до атак на основі адаптивно підібраного шифротексту.

Мережа Фейстеля, або конструкція Фейстеля (Feistel network, Feistel cipher), – один з методів побудови блокових шифрів. Мережа складається з осередків, званих осередками Фейстеля. На вхід кожного осередку надходять дані та ключ. На виході кожного осередку отримують змінені дані та змінений ключ. Всі комірки однотипні, і кажуть, що мережа є певною багаторазово повторюваною (ітерованою) структурою.Ключ вибирається залежно від алгоритму шифрування/розшифрування та змінюється.

Циклічний надлишковий код (англ. Cyclic redundancy check, CRC) – алгоритм знаходження контрольної суми, призначений для перевірки цілісності даних. CRC є практичним додатком завадостійкого кодування, заснованим на певних математичних властивостях циклічного коду.

Криптосистема – це завершена комплексна модель, здатна виробляти двосторонні криптоперетворення над даними довільного обсягу і підтверджувати час відправлення повідомлення, що має механізм перетворення паролів, ключів і системою транспортного кодування.

У криптографії час атаки (англ. Time attack) – це атака по сторонніх каналах, в якій атакуючий намагається скомпрометувати криптосистему за допомогою аналізу часу, що витрачається на виконання криптографічних алгоритмів. Кожна логічна операція потребує часу на виконання на комп'ютері, і цей час може відрізнятися залежно від даних. Маючи точні виміри часу для різних операцій, атакуючий може відновити вхідні дані.

Криптографічний протокол (англ. Cryptographic protocol) – це абстрактний або конкретний протокол, що включає набір криптографічних алгоритмів. В основі протоколу лежить набір правил, що регламентують використання криптографічних перетворень та алгоритмів в інформаційних процесах.

Клептографія (англ.Kleptography) — розділ криптовірології, який досліджує безпечні та приховані комунікації через криптосистеми та криптографічні протоколи та асиметричні бекдори у криптографічних алгоритмах (генерації ключів, цифрового підпису, обміні ключами, генераторах псевдовипадкових чисел, алгоритмах шифрування) з метою здійснення шифрування. Термін був введений Адамом Янгом та Моті Юнгом на конференції Advances in Cryptology—Crypto '96Клептографія є природним продовженням.

Псевдовипадкова послідовність (ПСП) — послідовність чисел, яка була обчислена за деяким певним арифметичним правилом, але має всі властивості випадкової послідовності чисел у рамках розв'язуваної задачі.

Компрометація в криптографії — факт доступу сторонньої особи до інформації, що захищається, а також підозра на неї. Найчастіше розглядають компрометацію закритого ключа, закритого алгоритму, цифрового сертифіката, облікових записів (паролів), абонентів або інших елементів, що захищаються, що дозволяють засвідчити особу учасника обміну інформацією.

Еліптична криптографія — розділ криптографії, який вивчає асиметричні криптосистеми, що базуються на еліптичних кривих над кінцевими полями. Основна перевага еліптичної криптографії полягає в тому, що на сьогоднішній день не відомо існування субекспоненційних алгоритмів розв'язання задачі дискретного логарифмування.

Схема Шнорра (англ. schnorr scheme) – одна з найбільш ефективних та теоретично обґрунтованих схем аутентифікації. Безпека схеми ґрунтується на труднощі обчислення дискретних логарифмів.Запропонована Клаусом Шнорром схема є модифікацією схем Ель-Гамаля (1985) та Фіата-Шаміра (1986), але має менший розмір підпису. Схема Шнорра лежить в основі стандарту Республіки Білорусь СТБ 1176.2-99 та південнокорейських стандартів KCDSA та EC-KCDSA. Вона була покрита патентом США 4999082, який минув.

Зсувна атака (англ. slide attack) – криптографічна атака, що є, в загальному випадку, атакою на основі підібраного відкритого тексту, що дозволяє проводити криптоаналіз блокових багатораундових шифрів незалежно від кількості раундів, що використовуються. Запропонована Алексом Бірюковим та Девідом Вагнером у 1999 році.

Криптоаналітик – фахівець із криптоаналізу. Одним із перших криптоаналітиків був Аристотель, який криптографічно розкрив скиталу — один з перших відомих криптографічних пристроїв.

Повний перебір (або метод «грубою сили», англ. brute force) — метод розв'язання математичних завдань. Належить до класу методів пошуку рішення вичерпуванням різноманітних варіантів. Складність повного перебору залежить кількості всіх можливих рішень завдання. Якщо простір рішень дуже великий, то повний перебір може дати результатів протягом кількох років і навіть століть.

Виявлення помилок у техніці зв'язку — дія, спрямоване на контроль цілісності даних під час запису/відтворення інформації або її передачі лініями зв'язку. Виправлення помилок (корекція помилок) — процедура відновлення інформації після читання її із пристрою зберігання чи каналу зв'язку.