Популярное изложение.
1. "Многие алгоритмы, включая DES и ГОСТ, построены по одному и тому же принципу: Процесс шифрования состоит из набора раундов-шагов, на каждом шаге выполняются следующие действия.
Входной блок делится пополам на старшую (L) и младшую (R) части.
Вычисляется значение функции шифрования от младшей части (R) и раундового ключа (k) X=f(R,k).Используемая на данном шаге функция и называется ФУНКЦИЕЙ ШИФРОВАНИЯ РАУНДА. Она может быть одна для всех раундов, или индивидуальна для каждого раунда. В последнем случае функции шифрования различных раундов одного шифра отличаются, как правило, лишь в деталях.
Формируется выходной блок, его старшая часть равна младшей части входного блока L'=R, а младшая часть это результат выполнения операции побитового ИСКЛЮЧАЮЩЕГО ИЛИ (обозначим его (+)) для старшая части входного блока и результата вычисления функции шифрования R'=L(+)f(R,k).
Tак вот, функция шифрования ГОСТа очень проста:
Младшая часть блока R и раундовый ключ складываются по модулю 2^32.
Полученное значение преобразуется по таблице замен - оно делится на 8 4-битовых групп, и каждая группа заменяется на новое значение с использованием соответствующего УЗЛА ЗАМЕН.
Полученное значение циклически сдвигается на 11 бит влево."
2. Этот класс алгоритмов шифрования именуется сетями Фейстеля.
3. Вот эти самые УЗЛЫ ЗАМЕН есть дополнительный элемент секретности.
4. Такой подход критиковался, поскольку принято (т.н. "принцип Керкгофа" )четко разделять алгоритм (и давать его для общего рассмотрения, дабы подвергнуть критике) и ключ, который засекречен и меняется регулярно. А "полусекретный" элемент меняется, но редко. Таким образом, у злоумышленника, который украдет прибор/шифровальщика он будет, а у добросовестного криптографа-исследователя, который мог бы указать на его недостатки, его не будет.
5. Таблицы (узлы) замены должны удовлетворять определенным критериям, чтобы затруднить расшифровку. Но критерии, которыми пользуются организации, наделенные правом предоставлять их - не опубликованы. Хотя вряд ли они отличаются от опубликованных для других шифров.
6. Тем не менее были утверждения, что при разработке таблиц замен в них был умышленно внесен дефект, снижающий их криптостойкость, чтобы иметь возможность расшифровывать чужие сообщения. Подтверждений этому нет, и подобные высказывания были, например, по отношению к американскому шифру DES ("Люцифер"), также быз доказательств. Однако широкому использованию ГОСТ28147-89 это отчасти препятствует.
7. Применительно к криптографии блочные шифры - в которых результат шифрования блока зависит только от данного блока, потоковые - также и от ранее переданных блоков.
