При описании алгоритма будем использовать следующие обозначения: L и R – последовательность битов; LR – конкатенация последовательностей L и R; + – операция побитового сложения по модулю 2; [+] – операция сложения по модулю 2³²; [+'] – операция сложения по модулю 2³²-1.

Для реализации алгоритма шифрования данных в режиме простой замены используется только часть блоков общей криптосистемы (рис. 1). Обозначения на схеме: N₁, N₂ – 32-разрядные накопители; СМ₁ – 32-разрядный сумматор по модулю 2³² ([+]); СМ₂ – 32-разрядный сумматор по модулю 2 (+); R – 32-разядный регистр циклического сдвига; КЗУ – ключевое запоминающее устройство на 256 бит, состоящее из восьми 32-разрядных накопителей Х₀, Х₁, Х₂, …Х₇; S – блок подстановки, состоящий из восьми узлов замены (S-блоков замены) S₁, S₂, S₃, S₄, S₅, S₆, S₇, S₈.

Шифрование данных в режиме простой замены. Открытые данные, подлежащие зашифрованию, разбиваются на 64-разрядные блоки Т₀. Процедура шифрования 64-разярдного блока Т₀ в режиме простой замены включает 32 цикла (j=1…32). В КЗУ вводят 256 бит ключа К в виде восьми 32-разрядных подключей (чисел) К_i:

К = К₇К₆К₅К₄К₃К₂К₁К₀.

Последовательность битов блока

Т₀=(а₁(0), а₂(0), …, а₃₁(0), а₃₂(0), b₁(0), b₂(0), …, b₃₁(0), b₃₂(0))

разбивают на 2 последовательности по 32 бита: b(0) и а(0), где b(0) – левые или старшие биты, а(0) – правые или младшие биты. Эти последовательности вводят в накопители N₁, N₂ перед началом первого цикла шифрования. В результате начальное заполнение накопителя N₁,

а(0) = а₃₂(0), а₃₁(0), …, а₂(0), а₁(0),

^{32, 31, ……, 2, 1 ? номер разряда N}₁

начальное заполнение накопителя N₂

b(0) = b₃₂(0), b₃₁(0), …, b₂(0), b₁(0).

^{32, 31, ……, 2, 1 ? номер разряда N}₂

Первый цикл (j=1) процедуры шифрования 64-разрядного блока открытых данных можно описать уравнениями:

Здесь а(1) – заполнение N₁ после 1-го цикла шифрования; b(1) – заполнение N₂ после 1-го цикла шифрования; f – функция шифрования.

Рис. 1. Схема реализации режима простой замены

Аргументом функции f является сумма по модулю 2³² числа а(0) (начального заполнения накопителя N₁) и числа K₀ – подключа, считываемого из накопителя X₀ КЗУ. Каждое из этих чисел равно 32 битам. Функция f включает две операции над полученной 32-разрядной суммой (а(0) [+] K₀). Первая операция называется подстановкой (заменой) и выполняется блоком подстановки S, который состоит из восьми узлов замены S₁, S₂, S₃, S₄, S₅, S₆, S₇, S₈ с памятью 64 бит каждый. Поступающий из СМ₁ на блок подстановки S 32-разрядный вектор разбивают на восемь последовательно идущих 4-разрядных векторов, каждый из которых преобразуется в четырехразрядный вектор соответствующим узлом замены. Каждый узел замены можно представить в виде таблицы-перестановки шестнадцати четырехразрядных двоичных чисел в диапазоне 0000…1111. Входной вектор указывает адрес строки в таблице, а число в этой строке является выходным вектором. Затем четырехразрядные векторы последовательно объединяют в 32-разрядный вектор. Узлы замены (таблицы-перестановки) представляют собой ключевые элементы, которые являются общими для сети ЭВМ и редко изменяются. Эти узлы должны сохранятся в секрете. Отметим, что восемь узлов замены (S-блоков), в ГОСТ 28147-89 не определены, кроме этого, не дано рекомендаций по их выбору, хотя ясно, что есть S-блоки, приводящие к снижению стойкости шифра.

Вторая операция – циклический сдвиг влево (на 11 разрядов) 32-разрядного вектора, полученного с выхода блока подстановки S. Циклический сдвиг выполняется регистром сдвига R.

Далее результат работы функции шифрования f суммируют поразрядно по модулю 2 в сумматоре СМ₂ с 32-разрядным начальным заполнением b(0) накопителя N₂. Затем полученный на выходе СМ₂ результат (значение а(1)) переписывают в накопитель N₁, а старое значение N₁ (значение а(0)) переписывают в накопитель N₂ (значение b(1) = а(0)). Первый цикл завершен.

Следующие циклы осуществляются аналогично, при этом во втором цикле из КЗУ считывают заполнение X₁ – подключ К₁, в третьем цикле – подключ К₂ и так далее, в восьмом цикле – подключ К₇. В циклах с 9-го по 16?й, а также в циклах с 17-го по 24-й подключи из КЗУ считываются в том же порядке: К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇. В последних восьми циклах с 25-го по 32-й порядок считывания подключей из КЗУ обратный К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀.

В 32-м цикле результат из сумматора СМ₂ вводится в накопитель N₂, а в накопителе N₁ сохраняется прежнее заполнение. Полученные после 32-го цикла шифрования заполнения накопителей N₁ и N₂ являются блоком зашифрованных данных Т_ш, соответствующих блоку открытых данных Т₀.

Уравнение зашифрования в режиме простой замены имеют вид:

где a(j) = (а₃₂(j), а₃₁(j), …, а₂(j), а₁(j)) – заполнение N₁ после j-го цикла шифрования; b(j) = (b₃₂(j), b₃₁(j), …, b₂(j), b₁(j)) – заполнение N₂ после j-го цикла шифрования, j = 1…32.

Блок зашифрованных данных Т_ш (64 разряда) выводится из накопителей N₁, N₂ в следующем порядке: из разрядов 1..32 накопителя N₁, затем из разрядов 1..32 накопителя N₂:

Т_ш=(а₁(32), а₂(32), …,а₃₁(32), а₃₂(32), b₁(32), b₂(32), …, b₃₁(32), b₃₂(32)).

Остальные блоки открытых данных зашифровываются в режиме простой замены аналогично.

Расшифрование данных в режиме простой замены. Криптосхема, реализующая алгоритм расшифрования в режиме простой замены, имеет тот же вид, что и при зашифровании (рис. 1).

Рис. 2. Схема реализации режима гаммирования

В КЗУ вводят 256 бит ключа, на котором осуществлялось зашифрование. Зашифрованные данные, подлежащие расшифрованию, разбиты на блоки Т_ш по 64 бита в каждом. Ввод любого блока

Т_ш=(а₁(32), а₂(32), …, а₃₁(32), а₃₂(32), b₁(32), b₂(32), …, b₃₁(32), b₃₂(32))

в накопители N₁, N₂ производят так, чтобы начальное значение накопителя N₁ имело вид

а(32) = а₃₂(32), а₃₁(32), …, а₂(32), а₁(32),

^{32, 31, ……, 2, 1 ? номер разряда N}₁

а начальное заполнение накопителя N₂ имело вид

b(32) = b₃₂(32), b₃₁(32), …, b₂(32), b₁(32).

^{32, 31, ……, 2, 1 ? номер разряда N}₂

Расшифрование осуществляется по тому же алгоритму, что и шифрование, с тем изменением, что заполнение накопителей Х₀, Х₁, Х₂, …Х₇; считывают из КЗУ в циклах расшифрования в следующем порядке:

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀,

К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀, К₇, К₆, К₅, К₄, К₃, К₂, К₁, К_0.

Уравнения расшифрования имеют вид:

Полученные после 32 циклов работы заполнения накопителей N₁, N₂ образуют блок открытых данных

Т₀=(а₁(0), а₂(0), …,а₃₁(0), а₃₂(0), b₁(0), b₂(0), …, b₃₁(0), b₃₂(0)),

соответствующий блоку зашифрованных данных Т_ш. При этом состояние накопителя N₁

а(0) = а₃₂(0), а₃₁(0), …, а₂(0), а₁(0),

^{32, 31, ……, 2, 1 ? номер разряда N}₁

а заполнение накопителя N₂ имеет вид

b(0) = b₃₂(0), b₃₁(0), …, b₂(0), b₁(0).

^{32, 31, ……, 2, 1 ? номер разряда N}₂

Аналогично расшифровываются остальные блоки зашифрованных данных.

Следует заметить, что алгоритм зашифрования в режиме простой замены допускается использовать для шифрования данных только в ограниченных случаях – при выработке ключа и зашифрования его с обеспечением имитозащиты для передачи по каналам связи или для хранения его в памяти ЭВМ.