Алгоритм «Кузнечик»: современный стандарт блочного ГОСТ-шифрования

Отечественные нормы криптографии — тема, которая раньше касалась только узких специалистов, а сегодня актуальна для любой компании, работающей с государственными системами или обрабатывающей конфиденциальные данные. Алгоритм «Кузнечик»Алгоритм «Кузнечик» — отечественный блочный шифр по алгоритму ГОСТ Р 34.12-2015 с длиной блока 128 бит, обязательный для защиты данных в государственных информационных системах РФ. — блочный шифр по ГОСТ Р 34.12-2015, работающий с блоками размером 128 бит и ключами длиной 256 бит. За рубежом его знают под именем Grasshopper. В статье рассказываем, чем он отличается от Магмы, как устроен изнутри и где применяется на практике — в том числе в VPN на базе IPsec.

История создания алгоритма «Кузнечик»

Толчком к разработке нового шифра стала не какая-то катастрофическая ситуация, а планомерная работа криптографов. К 2010-м годам стало ясно, что 64-битный блок в алгоритме ГОСТ 28147-89 (Магма) — слишком маленький размер для надежной защиты больших объемов данных: при шифровании нескольких гигабайтов одним ключом вероятность коллизий становится некомфортно высокой. Мировое криптографическое сообщество к тому моменту давно перешло на 128-битные блоки — AES появился еще в 2001 году.

Разработчики из ФСБ России выбрали принципиально иную архитектуру — вместо сети Фейстеля, которая лежит в основе «Магмы», новый стандарт строится на SP-сети. Это позволило получить лучшие показатели диффузии и упростить доказательство криптографической стойкости. В 2015 году норматив получил официальный статус как часть ГОСТ Р 34.12-2015. Вместе с ним в тот же документ вошла и «Магма» — уже в обновленном описании, сохранив преемственность с советским стандартом.

Выход на международную арену шел через IETF. Специалисты компании «ЭЛВИС-ПЛЮС», имеющие статус соавторов протокола IPsec, добились включения алгоритмов «Магма» и «Кузнечик» в документы рабочей группы по криптографическим примитивам. Так российские разработки оказались не просто национальным стандартом, но и частью международной технической документации.

Технические характеристики алгоритма «Кузнечик»

Конструкция шифра — SP-сеть из десяти раундов. Каждый раунд последовательно выполняет три преобразования: нелинейное (замена байтов по таблице π), линейное (перемешивание позиций через матричное умножение в поле GF(2^8)) и добавление раундового ключа по XOR. Именно комбинация нелинейной и линейной частей обеспечивает быстрое распространение изменений по всему блоку — эффект «лавины».

Развертывание ключей — процедура, при которой исходный 256-битный ключ превращается в десять 128-битных раундовых. Интересно, что для этого используется та же SP-сеть, что и в основном шифровании, — архитектурное решение, упрощающее верификацию и аппаратную реализацию. Алгоритм шифрования «Кузнечик» показывает хорошую скорость на современных x86-процессорах и легко ложится на FPGA. Ключевые параметры:

• Длина блока: 128 бит
• Длина ключа: 256 бит
• Число раундов: 10
• Структура: SP-сеть (подстановка-перестановка)
• Стандарт: ГОСТ Р 34.12-2015
• Международное название: Grasshopper

Реализация хорошо масштабируется на FPGA и специализированных криптопроцессорах — это важно для встраиваемых систем и телекоммуникационного оборудования. ГОСТ-алгоритм «Кузнечик» по вычислительной нагрузке сопоставим с AES-256 на современном «железе».

«Кузнечик» и «Магма»: сравнение российских алгоритмов

Оба шифра входят в ГОСТ Р 34.12-2015 и используются параллельно — отечественные алгоритмы «Магма» и «Кузнечик» не конкурируют, а решают разные задачи. «Магма» сохраняет ценность там, где требуется совместимость с унаследованными системами. Для новых проектов рекомендован более современный стандарт.

На практике оба нередко реализуются в одном программном или аппаратном модуле. «Магма» и «Кузнечик» — не выбор «один вместо другого», а два инструмента под разные сценарии: первый там, где важна обратная совместимость, второй — там, где нужна актуальная криптография.

Режимы работы алгоритма «Кузнечик»

Сам по себе шифр обрабатывает одиночный блок фиксированного размера. Для защиты произвольных по длине сообщений применяются режимы работы, описанные в ГОСТ Р 34.13-2015. Выбор режима определяет, как блоки данных связываются друг с другом в процессе шифрования:

• ECB (режим простой замены) — каждый блок шифруется независимо. Применяется редко из-за уязвимости для анализа повторяющихся паттернов, но полезен для шифрования одиночных блоков.
• CBC (режим сцепления блоков) — перед шифрованием каждый блок объединяется по XOR с результатом предыдущей операции. Широко применяется для защиты файлов и хранимых данных, обеспечивает зависимость блоков друг от друга.
• CTR (режим счетчика) — шифр работает как генератор гаммы, которая накладывается на открытый текст. Удобен для потоковой передачи данных, обеспечивает параллельное шифрование.
• OFB (режим обратной связи по выходу) — схож с CTR, но гамма не зависит от открытого текста. Применяется в телекоммуникационных каналах.
• CFB (режим обратной связи по шифртексту) — самосинхронизирующийся режим, восстанавливающийся после потери блока.
• MAC (имитовставка) — вычисление кода аутентификации сообщения на основе шифра. Обеспечивает целостность данных без шифрования.

Выбор режима зависит от задачи: для защиты каналов связи чаще всего используется CTR или CBC, для аутентификации — MAC.

Посмотрите, как алгоритм «Кузнечик» реализован в продукте «ЗАСТАВА»: защита каналов связи, IPsec с российской криптографией, сертификаты ФСБ и ФСТЭК.

Скачать презентацию

Применение алгоритма «Кузнечик» в VPN и защите каналов связи

Шифрование алгоритмом «Кузнечик» — обязательный элемент любого VPN-решения, претендующего на сертификат ФСБ. Применение отечественной криптографии в каналах передачи данных прямо предписано для государственных информационных систем, объектов КИИ и организаций, работающих с конфиденциальными сведениями под юрисдикцией РФ.

На практике этот инструмент защищает трафик между офисами, шифрует каналы удаленного доступа, обеспечивает безопасность связи с филиалами и внешними партнерами. Помимо конфиденциальности, алгоритм шифрования «Кузнечик» гарантирует целостность данных с помощью режима имитовставки — это исключает незаметную подмену передаваемых пакетов.

Кузнечик и протокол IPsec: интеграция российского шифрования с международным стандартом

IPsec — семейство протоколов для шифрования и аутентификации трафика на сетевом уровне. Это общепринятая основа корпоративных VPN, применяемая для защиты каналов между шлюзами. Блочный шифр «Кузнечик» встраивается в него как одна из криптографических опций — отечественная криптография работает в рамках привычной сетевой архитектуры без изменения ее логики.

Интеграция технически реализуется через IKEv2 — протокол согласования параметров защищенного соединения. В ходе установки туннеля стороны выбирают алгоритм шифрования «Кузнечик» вместо AES или 3DES через механизм криптонаборов. Архитектура IPsec при этом сохраняется — меняется только криптографический слой. Это дает практическое преимущество: существующая инфраструктура шлюзов, маршрутизации и мониторинга остается нетронутой. Организация обеспечивает соответствие нормативным требованиям без перестройки всей сети.

IPsec и вклад компании «ЭЛВИС-ПЛЮС» в международный стандарт

Компания «ЭЛВИС-ПЛЮС» (входит в ГК «Солар») — один из соавторов протокола IPsec и член Международного союза электросвязи (ITU). Ее специалисты участвовали в разработке RFC, описывающих применение алгоритмов шифрования «Кузнечик» и «Магма» в протоколах IKEv2 и ESP.

Для продукта «ЗАСТАВА»«ЗАСТАВА» — семейство продуктов сетевой безопасности от соавторов IPsec — реализует шифрование по ГОСТу в VPN-шлюзах, сертифицированных ФСБ России и ФСТЭК России. это означает принципиально иной уровень реализации. Команда, которая разработала стандарт, встраивает его в коммерческое решение — без посредников и интерпретаций. Результат: корректная, протокольно совместимая реализация, проверенная в гетерогенных сетях рядом с оборудованием Cisco и Fortinet. Участие в международной стандартизации снижает и риски совместимости в будущем — алгоритм описан в открытых документах IETF, доступных любому вендору.

Профессиональная реализация алгоритма «Кузнечик» — «ЗАСТАВА»

«ЗАСТАВА» — семейство продуктов сетевой безопасности от АО «ЭЛВИС-ПЛЮС» для защиты корпоративных каналов связи и удаленного доступа. В основе — IPsec-стек с шифрованием, сертифицированный ФСБ России (КС1 и КС3) и ФСТЭК России. Это делает продукт применимым для государственных ИС и объектов КИИ.

Архитектура включает три компонента: шлюзы АПК «ЗАСТАВА» — на периметре сети, «ЗАСТАВА-Клиент» — для защищенного удаленного доступа и «ЗАСТАВА-Управление» — централизованный сервер, обслуживающий до 100 000 устройств из одной точки. Шлюзы работают под управлением собственной ОС на базе Linux и одновременно выполняют функции VPN и межсетевого экрана. Ключевые характеристики продукта:

• Реализация IPsec и IKEv2 с алгоритмом «Кузнечик» — нативная, без сторонних библиотек.
• Работа в режимах L2 и L3 на одном шлюзе — гибкость интеграции в любую инфраструктуру.
• Отказоустойчивость: кластеризация active/active и active/passive для непрерывной работы.
• Обратная совместимость всех сертифицированных версий — без принудительной миграции.
• Стоимость владения на 10–15% ниже рыночной, без доплат за количество туннелей и серверов управления.

Среди реализованных проектов:

• Федеральная налоговая служба — 17 500 устройств «ЗАСТАВА-ТК» и 2000 «ЗАСТАВА-Клиент».
• Минздрав Татарстана — 22 000 «ЗАСТАВА-Клиент» и 45 000 пользователей. Крупнейшая инсталляция в России.
• Росреестр — 2500 АПК «ЗАСТАВА» и 1000 «ЗАСТАВА-Клиент».
• Департамент информационных технологий города Москвы — 400 АПК «ЗАСТАВА» и 5000 «ЗАСТАВА-Клиент».

FAQ