ДКЕ N 7
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | f | d | a | 5 | c | 0 | 1 | 6 | 9 | 2 | e | 7 | 3 | b | 4 | 8 |
| К2 | 2 | 5 | a | 0 | 6 | 9 | 1 | f | d | 4 | 7 | e | b | 3 | 8 | c |
| К3 | 3 | e | 4 | b | 5 | 9 | 1 | 2 | f | 6 | 8 | d | 7 | 0 | a | c |
| К4 | 4 | a | b | 9 | f | 2 | e | 5 | d | 1 | 3 | 6 | 0 | 7 | c | 8 |
| К5 | f | 6 | 5 | 8 | 9 | 7 | c | b | 0 | a | 3 | 1 | 2 | 4 | d | e |
| К6 | c | b | f | 4 | 5 | 1 | e | 9 | 0 | 8 | d | 2 | a | 7 | 3 | 6 |
| К7 | d | 2 | 4 | 8 | b | c | 1 | 3 | a | 5 | 9 | e | 7 | f | 0 | 6 |
| К8 | 1 | 5 | 0 | f | 6 | a | 3 | e | 7 | 2 | c | d | b | 8 | 9 | 4 |
ДКЕ N 8
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | e | 4 | b | 2 | 8 | 7 | 5 | c | 9 | d | 0 | 3 | 1 | f | 6 | a |
| К2 | 3 | e | c | a | 6 | 2 | d | 1 | 9 | 8 | 7 | 4 | 0 | f | 5 | b |
| К3 | 5 | 2 | 8 | 7 | 1 | f | e | 6 | 4 | d | b | 0 | a | 3 | c | 9 |
| К4 | c | a | 7 | d | e | 3 | 0 | 2 | 9 | 5 | 1 | 6 | b | 4 | f | 8 |
| К5 | 6 | 3 | f | 7 | 0 | 9 | a | 8 | b | c | 4 | 1 | 5 | 2 | d | e |
| К6 | 6 | d | f | 1 | 5 | 3 | 8 | 0 | b | a | e | 4 | 9 | c | 2 | 7 |
| К7 | 2 | f | c | 5 | b | 1 | 3 | e | 0 | 6 | d | a | 7 | 9 | 4 | 8 |
| К8 | 3 | 0 | 5 | c | 8 | f | d | e | b | 6 | 2 | 9 | 7 | 1 | 4 | a |
ДКЕ N 9
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 9 | 0 | b | c | 2 | 4 | 3 | f | d | 6 | e | 1 | a | 7 | 5 | 8 |
| К2 | 3 | 5 | 0 | f | 8 | 7 | e | c | d | a | 1 | 6 | b | 2 | 4 | 9 |
| К3 | 8 | 4 | 5 | a | e | b | d | 6 | c | f | 7 | 9 | 3 | 1 | 2 | 0 |
| К4 | 5 | 4 | f | 0 | c | b | a | 9 | 1 | e | 8 | 6 | 3 | 2 | d | 7 |
| К5 | 7 | c | 3 | 0 | 6 | 8 | e | b | 1 | f | d | a | 9 | 5 | 2 | 4 |
| К6 | 7 | 4 | 3 | b | 6 | a | 8 | 1 | 9 | c | e | d | 0 | f | 2 | 5 |
| К7 | 7 | e | 9 | f | 1 | 4 | 8 | 3 | b | d | 0 | 2 | 6 | a | 5 | c |
| К8 | e | 2 | 8 | f | 3 | 0 | 7 | c | b | d | 1 | 5 | 6 | 4 | 9 | a |
ДКЕ N 10
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 8 | 4 | 6 | 9 | b | c | 1 | 2 | 3 | 7 | e | 0 | d | a | f | 5 |
| К2 | 7 | d | 1 | 8 | a | e | 4 | f | 9 | 0 | 6 | 3 | 2 | c | b | 5 |
| К3 | c | 8 | d | 1 | a | 2 | 9 | 6 | 3 | 4 | e | 7 | 5 | f | 0 | b |
| К4 | 2 | b | 3 | 4 | c | 7 | 9 | d | f | 8 | 5 | 0 | 1 | e | a | 6 |
| К5 | 8 | 3 | d | a | e | f | 5 | 1 | 4 | 7 | b | c | 2 | 0 | 6 | 9 |
| К6 | 4 | c | 9 | b | e | a | 7 | 6 | 3 | 5 | 0 | f | 1 | 2 | 8 | d |
| К7 | 5 | 8 | e | 7 | 3 | 0 | 1 | d | a | 6 | 9 | 2 | f | b | c | 4 |
| К8 | a | 3 | 5 | 9 | 0 | d | 7 | 8 | c | 4 | 1 | 6 | b | f | 2 | e |
| Начальник Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Держспецзв'язку | В.П.Грєбнєв |
Додаток 2
до пункту 3.2 Інструкції
про порядок постачання
і використання ключів
до засобів криптографічного
захисту інформації
ТИПИ
рекомендованих НКІ та форматів ключів, що розміщуються на них
1. Загальні положення
1.1. Залежно від типу та кількості ключів, що містяться на НКІ, а також типу носія постачальником можуть постачатися різні типи НКІ.
1.2. Найменування НКІ, що однозначно визначає його тип, складається з трьох частин:
частина 1, визначає тип ключів, що містяться на НКІ (РК або ДКЕ);
частина 2, визначає тип фізичного носія (А, Б, В, Г, Д);
частина 3, визначає кількість ключів, які розміщуються на НКІ.
Наприклад: РК-А-001, ДКЕ-Б-005, РК-Г-366 тощо.
1.3. Тип фізичного носія визначається, виходячи з такого:
"А" - ключі представлені у вигляді таблиці, яка надрукована на аркуші папера;
"Б" - ключі представлені у вигляді файла відповідного формату, який розміщується на стандартному накопичувачі на гнучкому магнітному диску (1,44 Мб, 3,5");
"В" - ключі представлені у вигляді файла відповідного формату, який розміщується на стандартному компакт-диску типу СD-R, діаметром 12 см;
"Г" - ключі представлені у вигляді файла відповідного формату, який розміщується на стандартному компакт-диску типу СD-R, діаметром 8 см;
"Д" - ключі представлені у вигляді файла відповідного формату, який розміщується на запам'ятовувальному пристрої типу USB-флеш, виконаному у вигляді брелока.
1.4. Кількість ключів, що можуть розміщуватися на електронних носіях (носії типу "Б", "В", "Г" та "Д"), визначається замовником, але не більше ніж 999. На носіях типу "А" розміщується лише по одному ключу.
1.5. НКІ виготовляються серіями у визначеній замовником кількості примірників.
1.6. Кожний НКІ постачається замовнику у відповідній захисній упаковці, яка забезпечує захист НКІ від впливу зовнішнього середовища та унеможливлює безконтрольне вилучення НКІ та ознайомлення з її вмістом.
1.7. Зовнішній вигляд упаковки, розташування елементів маркування та порядок розкриття упаковок визначаються правилами розкриття НКІ в упаковках відповідного типу, які постачаються замовнику разом з НКІ.
2. НКІ типу "РК-А-001"
2.1. НКІ типу "РК-А-001" (рис. 1) являє собою аркуш паперу формату А5, на якому друкарським способом нанесено:
ступінь обмеження доступу;
найменування (тип) НКІ;
ключові дані РК;
номер серії;
номер примірника.
---------------------------------------------------- Ступінь
| --------------- | обмеження
| |Конфіденційно| ---------+--------------
| --------------- | доступу
| |
| ---------- | Найменування
| |РК-А-001| -------------------+--------------
| ---------- | (тип) НКІ
| ------------------ ------------------ | --
| |X = 73 3D 2C 20| |X = 62 6E 73 73| | |
| | 0 | | 4 | | |
| ------------------ ------------------ | |
| ------------------ ------------------ | |
| |X = 65 68 65 73| |X = 20 65 73 69| | |
| | 2 | | 5 | | |
| ------------------ ------------------ | > Ключові
| ------------------ ------------------ | | дані РК
| |X = 74 74 67 69| |X = 32 6C 65 68| | |
| | 3 | | 6 | | |
| ------------------ ------------------ | |
| ------------------ ------------------ | |
| |X = 79 67 61 20| |X = 33 20 6D 54| | |
| | 2 | | 7 | | |
| ------------------ ------------------ | --
| ---------- ------- |
| | 123456 | | 001 | |
| ---------- ------- |
| |
-------+-------------------------------------+------
| Номер серії | Номер примірника
-------------- -------------------
Примітка. Використовувані умовні позначення мають відповідати позначенням, наведеним у ДСТУ ГОСТ 28147:2009.
Рис. 1. Зовнішній вигляд НКІ типу "РК-А-001" (приклад)
2.2. Ключові дані РК визначають заповнення відповідних 32-розрядних накопичувачів ключового запам'ятовувального пристрою.
2.3. Заповнення накопичувачів ключового запам'ятовувального пристрою представлено шістнадцятьковим 32-розрядним словом. При цьому молодший біт відповідає молодшому розряду відповідного накопичувача (див. рис. 3).
2.4. Постачальником можуть уноситися незначні зміни в зовнішній вигляд НКІ, порядок взаємного розташування інформації на ньому, розміри та шрифт літер, а також наноситися інша додаткова інформація.
3. НКІ типу ДКЕ-А-001
3.1. НКІ типу "ДКЕ-А-001" (рис. 2) являє собою аркуш паперу формату А5, на якому друкарським способом нанесено:
ступінь обмеження доступу;
найменування ключового документа;
ключові дані ДКЕ;
номер серії;
номер примірника.
Найменування ключового
------------------------
документа |
----------------------------+------------------------------- Ступінь
| | --------------- | обмеження
| | |Конфіденційно| ----------+--------------
| --------------- | доступу
| ----------- |
| |ДКЕ-А-001| |
| ----------- |
| -------------------------------------------------------- |
| | | 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 | |
| |----+------------------------------------------------ | | --
| | К1 | A 9 D 6 E B 4 5 F 1 3 C 7 0 8 2 | | |
| | | | | |
| | К2 | 8 0 C 4 9 6 7 B 2 3 1 F 5 E A D | | |
| | | | | |
| | К3 | F 6 5 8 E B A 4 C 0 3 7 2 9 1 D | | |
| | | | | |
| | К4 | 3 8 D 9 6 B F 0 2 5 C A 4 E 1 7 | | | Ключові
| | | | | > дані ДКЕ
| | К5 | F 8 E 9 7 2 0 D C 6 1 5 B 4 3 A | | |
| | | | | |
| | К6 | 2 8 9 7 5 F 0 B C 1 D E A 3 6 4 | | |
| | | | | |
| | К7 | 3 8 B 5 6 4 E A 2 C 1 7 9 F D 0 | | |
| | | | | |
| | К8 | 1 2 3 E 6 D B 8 F A C 5 7 9 0 4 | | |
| | | | | |
| -------------------------------------------------------- | --
| ---------- ------- |
| | 123456 | | 001 | |
| ---------- ------- |
| |
-------+---------------------------------------------+------
| Номер серії Номер примірника |
-------------- -------------------
Примітка. Використовувані умовні позначення мають відповідати позначенням, наведеним у ДСТУ ГОСТ 28147:2009.
Рис. 2. Зовнішній вигляд носія "ДКЕ-А-001" (приклад)
3.2. Ключові дані ДКЕ визначають заповнення таблиць блока підстановки K. Кожний вузол заміни (K1, K2, ..., K8) визначає таблицю з шістнадцяти рядків (від 0 до 15), кожен з яких містить по 4 біти (представлені в шістнадцятьковому вигляді). При цьому за молодшою адресою розташовується молодший біт (див. рис. 4).
Кожний вузол заміни є підстановкою на множині чисел {0, 1, 2, ..., F}.
3.3. Постачальником можуть уноситися незначні зміни в зовнішній вигляд НКІ, порядок взаємного розташування інформації на ньому, розміри та шрифт літер, а також наноситися інша додаткова інформація.
4. Електронні НКІ
4.1. До електронних НКІ належать носії типів "Б", "В", "Г" та "Д", які дають змогу записувати та зчитувати дані стандартними засобами електронної обчислювальної техніки, які обладнані відповідними пристроями зчитування (запису).
4.2. Ключові дані РК та ДКЕ на електронних НКІ розміщуються у відповідних ключових файлах, кількість яких визначається замовником.
4.3. Ключові файли розміщуються на електронних НКІ в каталозі "КEY". Структура НКІ не повинна містити будь-яких інших файлів та каталогів.
4.4. Найменування ключових файлів, які містять ключові дані РК - "RKXXXXXX.YYY", де RK - ознака ключового файла, що визначає тип ключа, XXXXXX - номер серії НКІ (однаковий для всіх ключових файлів, що містяться на НКІ, YYY - номер ключового файла (001, 002, ..., 999). Довжина ключового файла - 256 біт (32 байти).
4.5. Найменування ключових файлів, які містять ключові дані ДКЕ - "DKXXXXXX.YYY", де DK - ознака ключового файла, що визначає тип ключа, XXXXXX - номер серії НКІ (однаковий для всіх ключових файлів, що містяться на НКІ, YYY - номер ключового файла (001, 002, ..., 999). Довжина ключового файла - 512 біт (64 байти).
4.6. Структура ключового файла, який містить ключові дані РК, представлена на рис. 3.
4.7. РК довжиною 256 біт (32 байти) містить (умовно) 8 блоків (X0, X1, ..., X7) по 32 біти (4 байти) у кожному. Блоки розміщуються один за одним у порядку зростання їх номерів.
4.8. Кожний блок (32-розрядне слово - 4 байти) визначає заповнення відповідного накопичувача ключового запам'ятовувального пристрою. При цьому молодший біт відповідає молодшому розряду накопичувача.
X X X
0 1 7
/\ /\ /\
--------- ------------------ ---------- --------- ----------
1 2 3 4 5 6 7 8 29 30 31 32
-------------------------------------------------------------------
| 73 | 3D | 2C | 20 | 65 | 68 | 65 | 73 | ... | 33 | 20 | 6D | 54 |
-------------------------------------------------------------------
| | | ------------ | | | ---------------
--- --- -------- | ------- --- --------- |
----------------------------------------- -----------------------------------------
|0111|0011|0011|1101|0010|1100|0010|0000| |0111|0011|0011|1101|0010|1100|0010|0000|
----------------------------------------- -----------------------------------------
W W W W
32 1 256 225
Примітки.
1. Використовувані умовні позначення мають відповідати позначенням, наведеним у ДСТУ ГОСТ 28147:2009.
2. Як ключ представлено РК, наведений як приклад НКІ "РКА-001".
Рис. 3. Структура ключового файла, який містить ключові дані РК (приклад)
4.9. Структура ключового файла, який містить ключові дані ДКЕ, представлена на рис. 4.
K1 K8
/ \ / \
------------- ----------------- ------------- -----------------
1 2 3 4 5 6 7 8 57 58 59 60 61 62 63 64
-----------------------------------------------------------------------------
|A 9|D 6|E B|4 5|F 1|3 C|7 0|8 2| ... |1 2|3 E|6 D|B 8|F A|C 5|7 9|0 4|
-----------------------------------------------------------------------------
| | | | | | | ------ | | | | | | | ------
| | | | | | - |0010| 0 | | | | | | - |0100| 0
| | | | | | |----| | | | | | | |----|
| | | | | --- |1000| 1 | | | | | --- |0000| 1
| | | | | |----| | | | | | |----|
| | | | ----- |0000| 2 | | | | ----- |1001| 2
| | | | |----| | | | | |----|
| | | ------- |0111| 3 | | | ------- |0111| 3
| | | |----| | | | |----|
| | | |... | | | | |... |
| | | |----| | | | |----|
| | --------------------------- |1101| 13 | | --------------------------- |0011| 13
| | |----| | | |----|
| ----------------------------- |1001| 14 | ----------------------------- |0010| 14
| |----| | |----|
------------------------------- |1010| 15 ------------------------------- |0001| 15
------ ------
Таблиця (16х4) Таблиця (16х4)
вузла заміни K1 вузла заміни K8
Примітки.
1. Використовувані умовні позначення мають відповідати позначенням, наведеним у ДСТУ ГОСТ 28147:2009.
2. Як ключ представлено ДКЕ, наведений як приклад НКІ "ДКЕ-А-001".
Рис. 4. Структура ключового файла, який містить ключові дані ДКЕ (приклад)
4.10. ДКЕ довжиною 512 біт (64 байти) містить (умовно) 8 вузлів заміни (K1, K2, ..., K8) по 64 біти (8 байт) у кожному. Вузли розміщуються один за одним в порядку зростання їх номерів.
4.11. Кожний вузол заміни (64-розрядне слово - 8 байт) визначає таблицю з 16 рядків по 4 біти в кожному. При цьому молодша тетрада відповідає молодшому номеру рядка в таблиці.
| Начальник Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Держспецзв'язку | В.П.Грєбнєв |