Режим гаммирования позволяет получить поточный шифр, то есть такой шифр, который позволяет получить последовательность с хорошими статистическими свойствами и использовать ее для наложения на открытый текст.

Шифрование данных в режиме гаммирования. Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования, показана на рис. 2. Открытые данные разбиваются на 64-разрядные блоки

Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀⁽ⁱ⁾, …, Т₀^(m),

где Т₀⁽ⁱ⁾ – i-тый 64-разрядный блок открытых данных, i=1…m, m определяется объемом шифруемых данных.

Эти блоки поочередно зашифровываются в режиме гаммирования путем поразрядного сложения по модулю в сумматоре СМ₅ с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бита, т.е.

Г_ш = (Г_ш⁽¹⁾, Г_ш⁽²⁾, …, Г_ш⁽ⁱ⁾, …, Г_ш^(m)),

где Г_ш⁽ⁱ⁾ – i-тый 64-разрядный блок, i=1…m.

Рис. 3. Схема реализации режима гаммирования с обратной связью

Число двоичных разрядов в блоке Т₀^(m) может быть меньше 64, при этом неиспользованная для зашифрования часть гаммы шифра из блока Г_ш^(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования имеет вид:

Т_ш⁽ⁱ⁾ = Т₀⁽ⁱ⁾ + Г_ш⁽ⁱ⁾,

где Г_ш⁽ⁱ⁾ = А(Y_i-1[+]C₂, Z_i?1[+']C₁), i=1..m; Т_ш⁽ⁱ⁾ – i-тый блок 64-разрядного блока зашифрованного текста; А(х) – функция зашифрования в режиме простой замены; С₁, С₂ – 32-разрядные двоичные константы; Y_i, Z_i – 32-разрядные двоичные последовательности.

Величины Y_i, Z_i определяются итерационно по мере формирования гаммы Г_ш следующим образом

(Y₀, Z₀) = А(S),

где S – синхропосылка (64-разрядная двоичная последовательность),

(Y_i, Z_i) = (Y_i-1[+]C₂, Z_i-1[+']C₁), i = 1…m.

Процедура шифрования в режиме гаммирования заключается в следующем. В накопители N₆ и N₅ заранее записываются 32-разярдные двоичные константы С₁ иС₂, имеющие следующие значения (в шестнадцатеричной форме): С₁ = 01010104₍₁₆₎ иС₂=01010101 ₍₁₆₎. В КЗУ вводится 256 бит ключа; в накопители N₁ и N₂ – 64-разрядная двоичная последовательность (синхропосылка) S = (S₁, S₂,…, S₆₄). Синхропосылка S является исходным заполнением накопителей N₁ и N₂ для последовательной выработки m блоков гаммы шифра.

Исходное заполнение накопителя N₁

(S₃₂(0), S₃₁(0), …, S₂(0), S₁(0)),

^{32, 31, ……, 2, 1 номер разряда N}₁

а заполнение накопителя N₂ имеет вид

(S₆₄(0), S₆₃(0), …, S₃₄(0), S₃₃(0)),

^{64, 63, ……, 34, 33 номер разряда N}₂

Исходное заполнение N₁ и N₂ (синхропосылка S) зашифровывается в режиме простой замены. Результат зашифрования

А(S) = (Y₀, Z₀)

переписывается в 32-разрядные накопители N₃ и N₄ так, что заполнение N₁ переписывается в и N₃, а заполнение N₂ – в N₄.

Заполнение накопителя N₄ суммируют по модулю (2³²-1) в сумматоре СМ₄ с 32-разрядной константой С₁ из накопителя N₆. Результат записывается в N₄. Заполнение накопителя N₃ суммируют по модулю 2³² в сумматоре СМ₃ с 32-разрядной константой С₂ из накопителя N₅. Результат записывается в N₃. Заполнение N₃ записываются в N₁, а заполнение N₄ – в N₂, при этом заполнения N₃ и N₄ сохраняются. Заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены.

Полученное в результате шифрования заполнение накопителей N₁ и N₂ образует первый 64-разрядный блок гаммы шифра Г_ш = (g₁⁽¹⁾, g₂^(!), …, g₆₃⁽¹⁾, …, g₆₄⁽¹⁾), который суммируют поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных Т₀ = (t₁⁽¹⁾, t₂^(!), …, t ₆₃⁽¹⁾, …, t ₆₄⁽¹⁾). В результате суммирования по модулю 2 значений Г_ш⁽¹⁾ и Т₀⁽¹⁾ получают первый 64-разрядный блок зашифрованных данных:

Т_ш⁽¹⁾ = Г_ш⁽ⁱ⁾ + Т₀⁽ⁱ⁾ =(t₁⁽¹⁾, t₂^(!), …, t₆₃⁽¹⁾, …, t₆₄⁽¹⁾), где t_i⁽¹⁾ = t_i⁽¹⁾ + g_i⁽¹⁾, i=1…64.

Для получения следующего 64-разрядного блока гаммы шифра Г_ш⁽²⁾ заполнение N₄ суммируется по модулю (2³²–1) в сумматоре СМ₄ с константой С₁ из N₆. Результат записывается в N₄. Заполнение N₃ суммируют по модулю 2³² в сумматоре СМ₃ с константой С₂ из накопителя N₅. Результат записывается в N₃. Новое заполнение N₃ переписываются в N₁, а новое заполнение N₄ – в N₂, при этом заполнения N₃ и N₄ сохраняются. Заполнение накопителей N₁ и N₂ зашифровывается в режиме простой замены.

Полученное в результате шифрования заполнение накопителей N₁ и N₂ образует второй 64-разрядный блок гаммы шифра Г_ш⁽²⁾, который суммируется поразрядно по модулю 2 в сумматоре СМ₅ с первым 64-разрядным блоком открытых данных Т₀⁽²⁾: Т_ш⁽²⁾ = Г_ш⁽²⁾ + Т₀⁽²⁾.

Аналогично вырабатываются блоки гаммы шифра Г_ш⁽³⁾, …, Г_ш^(m) и зашифровываются блоки открытых данных Т₀⁽³⁾, Т₀⁽⁴⁾, …, Т₀^(m). В канал связи передаются синхропосылка S и блоки зашифрованных данных Т₀⁽¹⁾, Т₀⁽²⁾, …, Т₀^(m).

Расшифрование данных в режиме гаммирования. При расшифровании криптосхема имеет тот же вид, что и при зашифровании (рис. 2). Уравнение расшифрования: Т₀⁽ⁱ⁾ = Т_ш⁽ⁱ⁾ +Г_ш⁽ⁱ⁾ = Т_ш⁽ⁱ⁾ +А(Y_i-1[+]C₂, Z_i-1[+']C₁), i = 1..m. Отметим, что расшифрование возможно при наличии синхропосылки, которая не является секретным элементом шифра и может передаваться по каналу связи вместе с зашифрованными данными.