Стандарт шифрования данных

Ранний несекретный симметричный блочный шифр

Стандарт шифрования данных ( DES / ˌ d iː ˌ iː ˈ ɛ s , d ɛ z / ) — это алгоритм с симметричным ключом для шифрования цифровых данных. Хотя его короткая длина ключа в 56 бит делает его слишком небезопасным для современных приложений, он оказал большое влияние на развитие криптографии .

Разработанный в начале 1970-х годов в IBM и основанный на более ранней разработке Хорста Фейстеля , алгоритм был представлен в Национальное бюро стандартов (NBS) после приглашения агентства предложить кандидата для защиты конфиденциальных, несекретных электронных правительственных данных. В 1976 году, после консультаций с Агентством национальной безопасности (NSA), NBS выбрало слегка измененную версию (усиленную против дифференциального криптоанализа , но ослабленную против атак методом подбора ), которая была опубликована в качестве официального Федерального стандарта обработки информации (FIPS) для Соединенных Штатов в 1977 году. ^[2]

Публикация одобренного АНБ стандарта шифрования привела к его быстрому международному принятию и широкому академическому изучению. Споры возникли из- за засекреченных элементов дизайна, относительно короткой длины ключа дизайна блочного симметричного ключа и участия АНБ, что вызвало подозрения о бэкдоре . S -boxes , которые вызвали эти подозрения, были разработаны АНБ для устранения уязвимости, о которой они тайно знали ( дифференциальный криптоанализ ). Однако АНБ также гарантировало, что размер ключа был радикально уменьшен, чтобы они могли взломать шифр методом грубой силы. ^{[2] [ неудачная проверка ]} Интенсивное академическое изучение алгоритма с течением времени привело к современному пониманию блочных шифров и их криптоанализа .

DES небезопасен из-за относительно короткого размера ключа в 56 бит . В январе 1999 года distributed.net и Electronic Frontier Foundation объединились, чтобы публично взломать ключ DES за 22 часа и 15 минут (см. § Хронология). Также есть некоторые аналитические результаты, которые демонстрируют теоретические слабости шифра, хотя они неосуществимы на практике. Алгоритм считается практически безопасным в форме Triple DES , хотя существуют теоретические атаки. Этот шифр был заменен Advanced Encryption Standard (AES). DES был отозван как стандарт Национальным институтом стандартов и технологий . ^[3]

В некоторых документах проводится различие между стандартом DES и его алгоритмом, именуя алгоритм DEA ( алгоритм шифрования данных ).

История

Истоки DES относятся к 1972 году, когда исследование Национального бюро стандартов компьютерной безопасности правительства США выявило необходимость в общегосударственном стандарте для шифрования несекретной, конфиденциальной информации. ^[4]

Примерно в то же время инженер Мохамед Аталла в 1972 году основал Atalla Corporation и разработал первый аппаратный модуль безопасности (HSM), так называемый «Atalla Box», который был выпущен в продажу в 1973 году. Он защищал автономные устройства с помощью безопасного ключа генерации PIN-кода и имел коммерческий успех. Банки и компании, выпускающие кредитные карты, опасались, что Atalla будет доминировать на рынке, что подстегнуло разработку международного стандарта шифрования. ^[3] Atalla был одним из первых конкурентов IBM на банковском рынке и упоминался как источник влияния сотрудников IBM, работавших над стандартом DES. ^[5] IBM 3624 позже приняла систему проверки PIN-кода, похожую на более раннюю систему Atalla. ^[6]

15 мая 1973 года, после консультаций с NSA, NBS запросило предложения по шифру, который бы соответствовал строгим критериям проектирования. Ни одно из представленных предложений не было подходящим. Второй запрос был отправлен 27 августа 1974 года. На этот раз IBM представила кандидатуру, которая была признана приемлемой — шифр, разработанный в период 1973–1974 годов на основе более раннего алгоритма, шифра Люцифера Хорста Фейстеля . Команда IBM, занимавшаяся проектированием и анализом шифра, включала Фейстеля, Уолтера Такмана , Дона Копперсмита , Алана Конхейма, Карла Мейера, Майка Матьяса, Роя Адлера , Эдну Гроссман , Билла Нотца, Линн Смит и Брайанта Такермана .

Участие АНБ в разработке

17 марта 1975 года предложенный DES был опубликован в Федеральном реестре . Были запрошены публичные комментарии, и в следующем году были проведены два открытых семинара для обсуждения предложенного стандарта. Была получена критика от пионеров криптографии с открытым ключом Мартина Хеллмана и Уитфилда Диффи , ^[1] ссылающихся на укороченную длину ключа и таинственные « S-boxes » как на доказательство неправомерного вмешательства со стороны АНБ. Подозрение заключалось в том, что алгоритм был тайно ослаблен разведывательным агентством, чтобы они — но никто другой — могли легко читать зашифрованные сообщения. ^[7] Алан Конхейм (один из разработчиков DES) прокомментировал: «Мы отправили S-boxes в Вашингтон. Они вернулись и все были другими». ^[8] Специальный комитет Сената США по разведке рассмотрел действия АНБ, чтобы определить, было ли какое-либо неправомерное участие. В несекретном резюме своих выводов, опубликованном в 1978 году, комитет написал:

При разработке DES АНБ убедило IBM , что уменьшенный размер ключа достаточен; косвенно помогло в разработке структур S-box; и подтвердило, что окончательный алгоритм DES, насколько им известно, не имеет никаких статистических или математических недостатков. ^[9]

Однако также было установлено, что

АНБ никоим образом не вмешивалось в конструкцию алгоритма. IBM изобрела и спроектировала алгоритм, приняла все соответствующие решения относительно него и согласилась, что согласованный размер ключа был более чем достаточным для всех коммерческих приложений, для которых предназначался DES. ^[10]

Другой член команды DES, Уолтер Такман, заявил: «Мы разработали алгоритм DES полностью в IBM, используя сотрудников IBM. АНБ не диктовало ни единого слова!» ^[11] Напротив, в рассекреченной книге АНБ по истории криптографии говорится:

В 1973 году NBS обратилось к частной промышленности с просьбой о стандарте шифрования данных (DES). Первые предложения оказались разочаровывающими, поэтому NSA начало работать над собственным алгоритмом. Затем Говард Розенблюм, заместитель директора по исследованиям и инжинирингу, обнаружил, что Уолтер Такман из IBM работает над модификацией Lucifer для общего пользования. NSA выдало Такману разрешение и привлекло его к совместной работе с Агентством над его модификацией Lucifer." ^[12]

и

АНБ тесно сотрудничало с IBM, чтобы усилить алгоритм против всех атак, кроме атак методом грубой силы, и усилить таблицы подстановки, называемые S-boxes. С другой стороны, АНБ пыталось убедить IBM уменьшить длину ключа с 64 до 48 бит. В конечном итоге они пошли на компромисс, установив 56-битный ключ. ^{[13] [14]}

Некоторые подозрения о скрытых слабостях S-boxes были развеяны в 1990 году, когда Эли Бихам и Ади Шамир независимо открыли и опубликовали дифференциальный криптоанализ , общий метод взлома блочных шифров. S-boxes DES были гораздо более устойчивы к атакам, чем если бы они были выбраны случайным образом, что убедительно свидетельствует о том, что IBM знала об этой технике в 1970-х годах. Это было действительно так; в 1994 году Дон Копперсмит опубликовал некоторые из первоначальных критериев проектирования для S-boxes. ^[15] По словам Стивена Леви , исследователи IBM Watson обнаружили дифференциальные криптоаналитические атаки в 1974 году и получили от АНБ требование сохранить эту технику в секрете. ^[16] Копперсмит объясняет решение IBM о секретности, говоря: «это было сделано потому, что [дифференциальный криптоанализ] может быть очень мощным инструментом, используемым против многих схем, и были опасения, что такая информация в открытом доступе может негативно повлиять на национальную безопасность». Леви цитирует Уолтера Такмана: «Они попросили нас поставить на всех наших документах гриф «конфиденциально»... На самом деле, мы поместили на каждый из них номер и заперли их в сейфах, потому что они считались секретными для правительства США. Они сказали: «Сделай это». И я это сделал». ^[16] Брюс Шнайер заметил, что «академическому сообществу потребовалось два десятилетия, чтобы понять, что «улучшения» АНБ на самом деле повысили безопасность DES». ^[17]

Алгоритм как стандарт

Несмотря на критику, DES был одобрен в качестве федерального стандарта в ноябре 1976 года и опубликован 15 января 1977 года как FIPS PUB 46, разрешенный для использования на всех несекретных данных. Впоследствии он был повторно подтвержден в качестве стандарта в 1983, 1988 годах (пересмотренный как FIPS-46-1), 1993 году (FIPS-46-2) и снова в 1999 году (FIPS-46-3), последний предписывал « Triple DES » (см. ниже). 26 мая 2002 года DES был окончательно заменен Advanced Encryption Standard (AES) после публичного конкурса . 19 мая 2005 года FIPS 46-3 был официально отозван, но NIST одобрил Triple DES до 2030 года для конфиденциальной правительственной информации. ^[18]

Алгоритм также указан в ANSI X3.92 (сегодня X3 известен как INCITS , а ANSI X3.92 как ANSI INCITS 92), ^[19] NIST SP 800-67 ^[18] и ISO/IEC 18033-3 ^[20] (как компонент TDEA ).

Другая теоретическая атака, линейный криптоанализ, была опубликована в 1994 году, но именно взломщик DES от Electronic Frontier Foundation в 1998 году продемонстрировал, что DES можно атаковать очень практично, и подчеркнул необходимость замены алгоритма. Эти и другие методы криптоанализа более подробно обсуждаются далее в этой статье.

Введение DES считается катализатором академического изучения криптографии, в частности методов взлома блочных шифров. Согласно ретроспективе NIST о DES,

Можно сказать, что DES «дал толчок» невоенному изучению и разработке алгоритмов шифрования. В 1970-х годах было очень мало криптографов, за исключением тех, кто работал в военных или разведывательных организациях, и мало академических исследований криптографии. Сейчас есть много активных академических криптологов, математических факультетов с сильными программами по криптографии, а также коммерческих компаний и консультантов по информационной безопасности . Поколение криптоаналитиков набралось опыта, анализируя (то есть пытаясь «взломать») алгоритм DES. По словам криптографа Брюса Шнайера , ^[21] «DES сделал больше для активизации области криптоанализа, чем что-либо еще. Теперь появился алгоритм для изучения». Поразительная доля открытой литературы по криптографии в 1970-х и 1980-х годах была посвящена DES, и DES является стандартом, с которым с тех пор сравнивают все алгоритмы симметричного ключа . ^[22]

Хронология

Описание

Рисунок 1 — Общая структура DES по Фейстелю

DES — это архетипический блочный шифр — алгоритм , который берет строку битов открытого текста фиксированной длины и преобразует ее с помощью ряда сложных операций в другую строку битов зашифрованного текста той же длины. В случае DES размер блока составляет 64 бита. DES также использует ключ для настройки преобразования, так что расшифровка предположительно может быть выполнена только теми, кто знает конкретный ключ, используемый для шифрования. Ключ якобы состоит из 64 бит; однако на самом деле алгоритмом используются только 56 из них. Восемь бит используются исключительно для проверки четности и впоследствии отбрасываются. Следовательно, эффективная длина ключа составляет 56 бит.

Ключ номинально хранится или передается как 8 байтов , каждый с нечетной четностью. Согласно ANSI X3.92-1981 (теперь известный как ANSI INCITS 92–1981), раздел 3.5:

Один бит в каждом 8-битном байте KEY может использоваться для обнаружения ошибок при генерации, распространении и хранении ключей. Биты 8, 16,..., 64 используются для обеспечения того, чтобы каждый байт имел нечетную четность.

Как и другие блочные шифры, DES сам по себе не является безопасным средством шифрования, а должен использоваться в режиме работы . FIPS-81 определяет несколько режимов для использования с DES. ^[27] Дополнительные комментарии по использованию DES содержатся в FIPS-74. ^[28]

Расшифровка использует ту же структуру, что и шифрование, но ключи используются в обратном порядке. (Это имеет то преимущество, что одно и то же оборудование или программное обеспечение может использоваться в обоих направлениях.)

Общая структура

Общая структура алгоритма показана на рисунке 1: есть 16 идентичных этапов обработки, называемых раундами . Также есть начальная и конечная перестановка , называемые IP и FP , которые являются обратными (IP «отменяет» действие FP, и наоборот). IP и FP не имеют криптографического значения, но были включены для того, чтобы облегчить загрузку блоков в и из 8-битного оборудования середины 1970-х годов. ^[29]

Перед основными раундами блок делится на две 32-битные половины и обрабатывается поочередно; это пересечение известно как схема Фейстеля . Структура Фейстеля гарантирует, что дешифрование и шифрование являются очень похожими процессами — единственное отличие заключается в том, что подключи применяются в обратном порядке при дешифровании. Остальная часть алгоритма идентична. Это значительно упрощает реализацию, особенно в аппаратном обеспечении, поскольку нет необходимости в отдельных алгоритмах шифрования и дешифрования.

Символ ⊕ обозначает операцию «исключающее ИЛИ» (XOR). Функция F скремблирует половину блока вместе с частью ключа. Затем вывод функции F объединяется с другой половиной блока, и половины меняются местами перед следующим раундом. После последнего раунда половины меняются местами; это особенность структуры Фейстеля, которая делает шифрование и дешифрование похожими процессами.

Функция Фейстеля (F)

F-функция, изображенная на рисунке 2, обрабатывает половину блока (32 бита) за раз и состоит из четырех этапов:

Рисунок 2 — Функция Фейстеля (F-функция) DES

1. Расширение : 32-битный полублок расширяется до 48 бит с помощью перестановки расширения , обозначенной на схеме E , дублируя половину бит. Выход состоит из восьми 6-битных (8 × 6 = 48 бит) частей, каждая из которых содержит копию 4 соответствующих входных битов, плюс копию непосредственно смежного бита из каждой из входных частей с обеих сторон.
2. Смешивание ключей : результат объединяется с подключом с помощью операции XOR. Шестнадцать 48-битных подключей — по одному на каждый раунд — выводятся из основного ключа с помощью ключевого расписания (описанного ниже).
3. Замена : после смешивания в подключаемом ключе блок делится на восемь 6-битных частей перед обработкой S-boxes или блоками замены . Каждый из восьми S-boxes заменяет свои шесть входных бит четырьмя выходными битами в соответствии с нелинейным преобразованием, представленным в виде таблицы поиска . S-boxes обеспечивают ядро ​​безопасности DES — без них шифр был бы линейным и тривиально взламываемым.
4. Перестановка : наконец, 32 выхода из S-boxes перестраиваются в соответствии с фиксированной перестановкой , P-box . Это разработано так, что после перестановки биты с выхода каждого S-boxes в этом раунде распределяются по четырем различным S-boxes в следующем раунде.

Чередование подстановки из S-блоков и перестановки битов из P-блока и E-расширения обеспечивает так называемые « смешение и диффузию » соответственно, концепцию, определенную Клодом Шенноном в 1940-х годах как необходимое условие для безопасного, но практичного шифра.

Расписание ключей

Рисунок 3 — Ключевая схема DES

Рисунок 3 иллюстрирует ключевой график для шифрования — алгоритм, который генерирует подключаемые ключи. Первоначально 56 бит ключа выбираются из начальных 64 с помощью Permuted Choice 1 ( PC-1 ) — оставшиеся восемь бит либо отбрасываются, либо используются в качестве бит проверки четности . Затем 56 бит делятся на две 28-битные половины; каждая половина затем обрабатывается отдельно. В последовательных раундах обе половины вращаются влево на один или два бита (указанных для каждого раунда), а затем 48 бит подключа выбираются с помощью Permuted Choice 2 ( PC-2 ) — 24 бита из левой половины и 24 из правой. Вращения (обозначенные как «<<<» на схеме) означают, что в каждом подключаемом ключе используется разный набор бит; каждый бит используется приблизительно в 14 из 16 подключаемых ключей.

Расписание ключей для расшифровки аналогично — подключи идут в обратном порядке по сравнению с шифрованием. За исключением этого изменения, процесс такой же, как и для шифрования. Те же 28 бит передаются во все блоки ротации.

Псевдокод

Ниже приведен псевдокод для алгоритма DES.

// Все переменные беззнаковые 64 бита// Предварительная обработка: заполнение разницей в размере сообщения в байтах для достижения длины , кратной 64 битам         var key // Ключи, заданные пользователем var keys [ 16 ] var left , right     // Генерация ключей// PC1 (64 бита в 56 бит) key := permutation ( key , PC1 ) left := ( key rightshift 28 ) и 0xFFFFFFF right := key и 0xFFFFFFF             для i от 1 до 16 do right := right leftrotate KEY_shift [ i ] left := left leftrotate KEY_shift [ i ] var concat := ( left leftshift 28 ) или right // PC2 (от 56 бит до 48 бит) keys [ i ] := permutation ( concat , PC2 ) end for                         // Чтобы расшифровать сообщение, измените порядок ключей if decrypt do reverse keys end if    // Шифрование или расшифровка для каждого 64 - битного фрагмента дополненного сообщения do var tmp        // IP chunk := permutation ( chunk , IP ) left := chunk rightshift 32 right := chunk и 0xFFFFFFFF для i от 1 до 16 do tmp := right // E (32 бита в 48 бит) right := expansion ( right , E ) right := right xor keys [ i ] // Подстановка (48 бит в 32 бита) right := substitution ( right ) // P right := permutation ( right , P ) right := right xor left left := tmp end for // Concat right и left var cipher_chunk := ( right leftshift 32 ) or left // FP cipher_chunk := permutation ( cipher_chunk , FP ) end for                                                 

Безопасность и криптоанализ

Хотя было опубликовано больше информации о криптоанализе DES, чем о любом другом блочном шифре, наиболее практичной атакой на сегодняшний день по-прежнему является подход грубой силы. Известны различные второстепенные криптоаналитические свойства, и возможны три теоретические атаки, которые, имея теоретическую сложность меньше, чем атака грубой силы, требуют нереалистичного количества известных или выбранных открытых текстов для выполнения и не являются проблемой на практике.

Атака методом грубой силы

Для любого шифра самым основным методом атаки является грубая сила — перебор всех возможных ключей по очереди. Длина ключа определяет количество возможных ключей и, следовательно, осуществимость этого подхода. Для DES вопросы об адекватности размера ключа поднимались на раннем этапе, еще до того, как он был принят в качестве стандарта, и именно малый размер ключа, а не теоретический криптоанализ, диктовал необходимость замены алгоритма . В результате обсуждений с участием внешних консультантов, включая АНБ, размер ключа был уменьшен с 256 бит до 56 бит, чтобы поместиться на одном чипе. ^[30]

Машина для взлома DES компании EFF стоимостью 250 000 долларов США содержала 1856 специальных чипов и могла взломать ключ DES методом подбора всего за несколько дней. На фотографии изображена печатная плата DES Cracker, оснащенная несколькими чипами Deep Crack.

В академических кругах выдвигались различные предложения по взлому DES-машины. В 1977 году Диффи и Хеллман предложили машину стоимостью около 20 миллионов долларов США, которая могла бы найти ключ DES за один день. ^{[1] [31]} К 1993 году Винер предложил машину поиска ключей стоимостью 1 миллион долларов США, которая могла бы найти ключ в течение 7 часов. Однако ни одно из этих ранних предложений так и не было реализовано — или, по крайней мере, ни одна реализация не была публично признана. Уязвимость DES была практически продемонстрирована в конце 1990-х годов. ^[32] В 1997 году RSA Security спонсировала серию конкурсов, предложив приз в размере 10 000 долларов США первой команде, которая взломает сообщение, зашифрованное с помощью DES, для конкурса. Этот конкурс выиграл проект DESCHALL , возглавляемый Роке Версером, Мэттом Кертином и Джастином Долске, с использованием циклов простоя тысяч компьютеров по всему Интернету. Возможность быстрого взлома DES была продемонстрирована в 1998 году, когда Electronic Frontier Foundation (EFF), группа по защите гражданских прав в киберпространстве, создала специальный взломщик DES стоимостью около 250 000 долларов США (см. Взломщик EFF DES ). Их мотивацией было показать, что DES можно взломать как на практике, так и в теории: « Многие люди не поверят в правду, пока не увидят ее своими глазами. Демонстрация им физической машины, которая может взломать DES за несколько дней, — единственный способ убедить некоторых людей, что они действительно не могут доверять свою безопасность DES ». Машина взломала ключ методом подбора всего за два дня поисков.

Следующим подтвержденным взломщиком DES стала машина COPACOBANA, созданная в 2006 году командами университетов Бохума и Киля , оба в Германии . В отличие от машины EFF, COPACOBANA состоит из коммерчески доступных, реконфигурируемых интегральных схем. 120 из этих программируемых пользователем вентильных матриц (FPGA) типа XILINX Spartan-3 1000 работают параллельно. Они сгруппированы в 20 модулей DIMM, каждый из которых содержит 6 FPGA. Использование реконфигурируемого оборудования делает машину применимой и для других задач по взлому кодов. ^[33] Одним из наиболее интересных аспектов COPACOBANA является ее фактор стоимости. Одна машина может быть построена примерно за 10 000 долларов. ^[34] Снижение стоимости примерно в 25 раз по сравнению с машиной EFF является примером непрерывного совершенствования цифрового оборудования — см. закон Мура . Поправка на инфляцию за 8 лет дает еще большее улучшение примерно в 30 раз. С 2007 года SciEngines GmbH , дочерняя компания двух партнеров проекта COPACOBANA, улучшила и разработала преемников COPACOBANA. В 2008 году их COPACOBANA RIVYERA сократила время взлома DES до менее чем одного дня, используя 128 Spartan-3 5000. SciEngines RIVYERA удерживала рекорд по взлому DES методом грубой силы, используя 128 Spartan-3 5000 FPGA. ^[35] Их модель 256 Spartan-6 LX150 на этот раз снизила еще больше.

В 2012 году Дэвид Халтон и Мокси Марлинспайк анонсировали систему с 48 ПЛИС Xilinx Virtex-6 LX240T, каждая ПЛИС содержит 40 полностью конвейерных ядер DES, работающих на частоте 400 МГц, с общей производительностью 768 гигаключей/сек. Система может полностью перебрать все 56-битное пространство ключей DES примерно за 26 часов, и эта услуга предлагается за плату в Интернете. ^{[36] [37]}

Атаки быстрее, чем грубая сила

Известны три атаки, которые могут взломать все 16 раундов DES с меньшей сложностью, чем поиск методом грубой силы: дифференциальный криптоанализ (DC), ^[38] линейный криптоанализ (LC), ^[39] и атака Дэвиса . ^[40] Однако эти атаки являются теоретическими и, как правило, считаются неосуществимыми для реализации на практике; ^[41] эти типы атак иногда называют уязвимостями сертификации.

• Дифференциальный криптоанализ был заново открыт в конце 1980-х годов Эли Бихамом и Ади Шамиром ; ранее он был известен и IBM, и АНБ и держался в секрете. Чтобы взломать все 16 раундов, дифференциальный криптоанализ требует 247 ^{выбранных} открытых текстов . ^[38] DES был разработан, чтобы быть устойчивым к DC. ^{[ требуется цитата ]}
• Линейный криптоанализ был открыт Мицуру Мацуи и требует 2 ⁴³ известных открытых текстов (Matsui, 1993); ^[39] метод был реализован (Matsui, 1994) и стал первым экспериментальным криптоанализом DES, о котором сообщалось. Нет никаких доказательств того, что DES был специально разработан для устойчивости к этому типу атак. Обобщение LC — множественный линейный криптоанализ — было предложено в 1994 году (Kaliski и Robshaw) и было дополнительно усовершенствовано Бирюковым и другими (2004); их анализ показывает, что множественные линейные приближения могут быть использованы для уменьшения требований к данным атаки по крайней мере в 4 раза (то есть 2 ⁴¹ вместо 2 ⁴³ ). ^[42] Аналогичное снижение сложности данных может быть получено в варианте линейного криптоанализа с выбранным открытым текстом (Knudsen и Mathiassen, 2000). ^[43] Джунод (2001) провел несколько экспериментов, чтобы определить фактическую временную сложность линейного криптоанализа, и сообщил, что он оказался несколько быстрее, чем предполагалось, и потребовал времени, эквивалентного 2 ³⁹ –2 ⁴¹ оценкам DES. ^[44]
• Улучшенная атака Дэвиса : в то время как линейный и дифференциальный криптоанализ являются общими методами и могут применяться к ряду схем, атака Дэвиса является специализированным методом для DES, впервые предложенным Дональдом Дэвисом в восьмидесятых годах ^[40] и улучшенным Бихамом и Бирюковым (1997). ^[45] Самая мощная форма атаки требует 2 ⁵⁰ известных открытых текстов , имеет вычислительную сложность 2 ⁵⁰ и имеет 51% успеха.

Также были предложены атаки против версий шифра с сокращенным числом раундов, то есть версий DES с числом раундов менее 16. Такой анализ дает представление о том, сколько раундов необходимо для безопасности и какой «запас безопасности» сохраняет полная версия.

Дифференциально-линейный криптоанализ был предложен Лэнгфордом и Хеллманом в 1994 году и объединяет дифференциальный и линейный криптоанализ в одну атаку. ^[46] Улучшенная версия атаки может взломать 9-раундовый DES с 2 ^15,8 выбранными открытыми текстами и имеет временную сложность 2 ^29,2 (Бихэм и др., 2002). ^[47]

Незначительные криптоаналитические свойства

DES проявляет свойство комплементарности, а именно, что

${\displaystyle E_{K}(P)=C\iff E_{\overline {K}}({\overline {P}})={\overline {C}}}$

где — побитовое дополнение обозначает шифрование с ключом и обозначает блоки открытого текста и шифротекста соответственно. Свойство дополнения означает, что работа для атаки методом подбора может быть уменьшена в 2 раза (или на один бит) при условии выбранного открытого текста . По определению, это свойство также применимо к шифру TDES. ^[48] ${\displaystyle {\overline {x}}}$ ${\displaystyle x.}$ ${\displaystyle E_{K}}$ ${\displaystyle K.}$ ${\displaystyle P}$ ${\displaystyle C}$

DES также имеет четыре так называемых слабых ключа . Шифрование ( E ) и дешифрование ( D ) под слабым ключом имеют одинаковый эффект (см. инволюцию ):

${\displaystyle E_{K}(E_{K}(P))=P}$или эквивалентно, ${\displaystyle E_{K}=D_{K}.}$

Также существует шесть пар полуслабых ключей . Шифрование с одним из пары полуслабых ключей, , работает идентично расшифровке с другим, : ${\displaystyle K_{1}}$ ${\displaystyle K_{2}}$

${\displaystyle E_{K_{1}}(E_{K_{2}}(P))=P}$или эквивалентно, ${\displaystyle E_{K_{2}}=D_{K_{1}}.}$

Достаточно легко избежать слабых и полуслабых ключей в реализации, либо явно проверяя их, либо просто выбирая ключи случайным образом; вероятность случайного выбора слабого или полуслабого ключа ничтожно мала. В любом случае, ключи на самом деле не слабее любых других ключей, поскольку они не дают атаке никаких преимуществ.

Также было доказано, что DES не является группой , или, точнее, набор (для всех возможных ключей ) при функциональной композиции не является группой и не «близок» к тому, чтобы быть группой. ^[49] Это был открытый вопрос в течение некоторого времени, и если бы это было так, то было бы возможно взломать DES, а множественные режимы шифрования, такие как Triple DES, не увеличили бы безопасность, поскольку повторное шифрование (и расшифровка) под разными ключами были бы эквивалентны шифрованию под другим, одним ключом. ^[50] ${\displaystyle \{E_{K}\}}$ ${\displaystyle K}$

Упрощенный DES

Упрощенный DES (SDES) был разработан только в образовательных целях, чтобы помочь студентам узнать о современных криптоаналитических методах. SDES имеет схожую структуру и свойства с DES, но был упрощен, чтобы сделать намного более простым выполнение шифрования и дешифрования вручную с помощью карандаша и бумаги. Некоторые люди считают, что изучение SDES дает понимание DES и других блочных шифров, а также понимание различных криптоаналитических атак против них. ^{[51] [52] [53] [54] [55] [56] [57] [58] [59]}

Алгоритмы замены

Опасения по поводу безопасности и относительно медленной работы DES в программном обеспечении побудили исследователей предложить множество альтернативных конструкций блочных шифров , которые начали появляться в конце 1980-х и начале 1990-х годов: примеры включают RC5 , Blowfish , IDEA , NewDES , SAFER , CAST5 и FEAL . Большинство этих конструкций сохраняли 64-битный размер блока DES и могли выступать в качестве «вставной» замены, хотя обычно они использовали 64-битный или 128-битный ключ. В Советском Союзе был введен алгоритм ГОСТ 28147-89 с 64-битным размером блока и 256-битным ключом, который позже использовался и в России .

DES сам по себе может быть адаптирован и повторно использован в более безопасной схеме. Многие бывшие пользователи DES теперь используют Triple DES (TDES), который был описан и проанализирован одним из патентообладателей DES (см. FIPS Pub 46–3); он включает в себя применение DES три раза с двумя (2TDES) или тремя (3TDES) разными ключами. TDES считается достаточно безопасным, хотя он довольно медленный. Менее затратной в вычислительном отношении альтернативой является DES-X , который увеличивает размер ключа путем XOR-обработки дополнительного ключевого материала до и после DES. GDES был вариантом DES, предложенным как способ ускорения шифрования, но было показано, что он подвержен дифференциальному криптоанализу.

2 января 1997 года NIST объявил, что они хотели бы выбрать преемника DES. ^[60] В 2001 году после международного конкурса NIST выбрал новый шифр, Advanced Encryption Standard (AES), в качестве замены. ^[61] Алгоритм, который был выбран в качестве AES, был представлен его разработчиками под названием Rijndael . Другими финалистами конкурса NIST AES были RC6 , Serpent , MARS и Twofish .

Смотрите также

• Brute Force: Взлом стандарта шифрования данных
• Дополнительный материал DES
• Попрыгунчик (шифр)
• Тройной DES

Примечания

1. Диффи, Уитфилд; Хеллман, Мартин Э. (июнь 1977 г.). «Исчерпывающий криптоанализ стандарта шифрования данных NBS» (PDF) . Компьютер . 10 (6): 74–84. doi :10.1109/CM.1977.217750. S2CID  2412454. Архивировано из оригинала (PDF) 2014-02-26.
2. "Наследие DES - Шнайер о безопасности". www.schneier.com . 6 октября 2004 г.
3. Bátiz-Lazo, Bernardo (2018). Наличные и Dash: Как банкоматы и компьютеры изменили банковское дело. Oxford University Press . С. 284 и 311. ISBN 9780191085574.
4. Уолтер Такман (1997). «Краткая история стандарта шифрования данных». Осада Интернета: противодействие киберпространственным нарушителям . ACM Press/Addison-Wesley Publishing Co. Нью-Йорк, штат Нью-Йорк, США. С. 275–280.
5. "Экономические последствия программы NIST's Data Encryption Standard (DES)" (PDF) . Национальный институт стандартов и технологий . Министерство торговли США . Октябрь 2001 г. Архивировано из оригинала (PDF) 30 августа 2017 г. . Получено 21 августа 2019 г. .
6. Konheim, Alan G. (1 апреля 2016 г.). «Автономные кассовые аппараты: их история и протоколы аутентификации». Journal of Cryptographic Engineering . 6 (1): 1–29. doi :10.1007/s13389-015-0104-3. ISSN  2190-8516. S2CID  1706990. Архивировано из оригинала 22 июля 2019 г. . Получено 28 августа 2019 г. .
7. RSA Laboratories. "DES был сломан?". Архивировано из оригинала 2016-05-17 . Получено 2009-11-08 .
8. Шнайер. Прикладная криптография (2-е изд.). С. 280.
9. Дэвис, Д. В.; У. Л. Прайс (1989). Безопасность компьютерных сетей, 2-е изд . John Wiley & Sons.
10. Роберт Шугерман, ред. (Июль 1979 г.). «О пресечении компьютерной преступности». IEEE Spectrum .
11. P. Kinnucan (октябрь 1978 г.). «Гуру шифрования данных: Такман и Мейер». Cryptologia . 2 (4): 371. doi :10.1080/0161-117891853270.
12. Томас Р. Джонсон (18.12.2009). "Американская криптология во время холодной войны, 1945-1989. Книга III: Сокращение и реформа, 1972-1980, стр. 232" (PDF) . Агентство национальной безопасности , DOCID 3417193 (файл выпущен 18.12.2009, размещен на nsa.gov). Архивировано из оригинала (PDF) 18.09.2013 . Получено 10.07.2014 .
13. Томас Р. Джонсон (18.12.2009). "Американская криптология во время холодной войны, 1945-1989. Книга III: Сокращение и реформа, 1972-1980, стр. 232" (PDF) . Агентство национальной безопасности . Архивировано (PDF) из оригинала 2015-04-25 . Получено 2015-07-16 – через запрос FOIA Архива национальной безопасности . Эта версия отредактирована иначе, чем версия на веб-сайте АНБ.
14. Томас Р. Джонсон (18.12.2009). "Американская криптология во время холодной войны, 1945-1989. Книга III: Сокращение и реформа, 1972-1980, стр. 232" (PDF) . Агентство национальной безопасности . Архивировано (PDF) из оригинала 2015-04-25 . Получено 2015-07-16 – через запрос FOIA Архива национальной безопасности . Эта версия отредактирована иначе, чем версия на веб-сайте АНБ.
15. Конхейм. Компьютерная безопасность и криптография . стр. 301.
16. Levy, Crypto , стр. 55
17. Шнайер, Брюс (27.09.2004). «Салютуя наследию шифрования данных». CNet . Получено 22.07.2015 .
18. Национальный институт стандартов и технологий , Специальная публикация NIST 800-67 Рекомендации по алгоритму тройного шифрования данных (TDEA) Блочный шифр, версия 1.1
19. Американский национальный институт стандартов , ANSI X3.92-1981 (теперь известный как ANSI INCITS 92-1981) Американский национальный стандарт, алгоритм шифрования данных
20. "ISO/IEC 18033-3:2010 Информационные технологии — Методы обеспечения безопасности — Алгоритмы шифрования — Часть 3: Блочные шифры". Iso.org. 2010-12-14 . Получено 2011-10-21 .
21. Брюс Шнайер, Прикладная криптография, протоколы, алгоритмы и исходный код на языке C, второе издание, John Wiley and Sons, Нью-Йорк (1996) стр. 267
22. Уильям Э. Берр, «Стандарт шифрования данных», в антологии NIST «Столетие совершенства в измерениях, стандартах и ​​технологиях: хроника избранных публикаций NBS/NIST, 1901–2000». HTML Архивировано 19 июня 2009 г. на Wayback Machine PDF Архивировано 23 августа 2006 г. на Wayback Machine
23. "FR Doc 04-16894". Edocket.access.gpo.gov . Получено 2009-06-02 .
24. S. Kumar, C. Paar, J. Pelzl, G. Pfeiffer, A. Rupp, M. Schimmler, «Как взломать DES за 8980 евро». 2-й семинар по специализированному оборудованию для атаки на криптографические системы — SHARCS 2006, Кельн, Германия, 3–4 апреля 2006 г.
25. "8x1080Ti.md".
26. "Crack.sh | Самый быстрый в мире взломщик DES".
27. "FIPS 81 - Des Modes of Operation". csrc.nist.gov . Получено 2009-06-02 .
28. "FIPS 74 - Руководство по внедрению и использованию данных NBS". Itl.nist.gov. Архивировано из оригинала 2014-01-03 . Получено 2009-06-02 .
29. Шнайер. Прикладная криптография (1-е изд.). С. 271.
30. Столлингс, У. Криптография и сетевая безопасность: принципы и практика . Prentice Hall, 2006. стр. 73
31. "Взлом DES".
32. ван Ооршот, Пол К.; Винер, Майкл Дж. (1991), Дамгард, Иван Бьерре (ред.), «Атака с известным открытым текстом на двухключевое тройное шифрование», Advances in Cryptology – EUROCRYPT '90 , т. 473, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 318–325, doi : 10.1007/3-540-46877-3_29 , ISBN 978-3-540-53587-4
33. "Getting Started, COPACOBANA — Оптимизированный по стоимости параллельный дешифратор" (PDF) . 12 декабря 2006 г. Получено 6 марта 2012 г.
34. Рейнхард Вобст (16 октября 2007 г.). Криптология разблокирована. John Wiley & Sons. ISBN 9780470060643.
35. Взломать DES менее чем за один день Архивировано 28 августа 2017 г. на Wayback Machine [Пресс-релиз компании Firm, продемонстрированный на семинаре 2009 г.]
36. «Самый быстрый в мире взломщик DES».
37. Думаете, сложные пароли вас спасут?, Дэвид Халтон, Ян Фостер, BSidesLV 2017
38. Biham, E. & Shamir, A (1993). Дифференциальный криптоанализ стандарта шифрования данных. Shamir, Adi. New York: Springer-Verlag. стр. 487–496. doi :10.1007/978-1-4613-9314-6. ISBN 978-0387979304. OCLC  27173465. S2CID  6361693.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
39. Matsui, Mitsuru (1993-05-23). ​​"Метод линейного криптоанализа для шифра DES". Достижения в криптологии — EUROCRYPT '93 . Конспект лекций по информатике. Том 765. Springer, Берлин, Гейдельберг. С. 386–397. doi : 10.1007/3-540-48285-7_33 . ISBN 978-3540482857.
40. Davies, DW (1987). «Исследование потенциальной слабости алгоритма DES», Частные коммуникации. Частные коммуникации .
41. Аланази, Хамдан О.; и др. (2010). «Новое сравнительное исследование между DES, 3DES и AES в пределах девяти факторов». Журнал вычислительной техники . 2 (3). arXiv : 1003.4085 . Bibcode :2010arXiv1003.4085A.
42. Бирюков, Алекс; Канньер, Кристоф Де; Кискатер, Микаэль (2004-08-15). "О множественных линейных приближениях". Advances in Cryptology – CRYPTO 2004. Lecture Notes in Computer Science. Vol. 3152. Springer, Berlin, Heidelberg. pp. 1–22. doi :10.1007/978-3-540-28628-8_1. ISBN 9783540226680.
43. Кнудсен, Ларс Р.; Матиассен, Джон Эрик (2000-04-10). "A Chosen-Plaintext Linear Attack on DES". Fast Software Encryption . Lecture Notes in Computer Science. Vol. 1978. Springer, Berlin, Heidelberg. pp. 262–272. doi :10.1007/3-540-44706-7_18. ISBN 978-3540447061.
44. Junod, Pascal (2001-08-16). "О сложности атаки Мацуи". Избранные области криптографии . Конспект лекций по информатике. Том 2259. Springer, Берлин, Гейдельберг. С. 199–211. doi :10.1007/3-540-45537-X_16. ISBN 978-3540455370.
45. Бихам, Эли; Бирюков, Алекс (1997-06-01). «Улучшение атаки Дэвиса на DES». Журнал криптологии . 10 (3): 195–205. doi : 10.1007/s001459900027 . ISSN  0933-2790. S2CID  4070446.
46. Лэнгфорд, Сьюзен К.; Хеллман, Мартин Э. (1994-08-21). «Дифференциально-линейный криптоанализ». Достижения в криптологии — CRYPTO '94 . Конспект лекций по информатике. Том 839. Springer, Берлин, Гейдельберг. С. 17–25. doi :10.1007/3-540-48658-5_3. ISBN 978-3540486589.
47. Бихам, Эли; Данкельман, Орр; Келлер, Натан (2002-12-01). «Улучшение дифференциально-линейного криптоанализа». Достижения в криптологии — ASIACRYPT 2002. Конспект лекций по информатике. Том 2501. Springer, Берлин, Гейдельберг. С. 254–266. doi :10.1007/3-540-36178-2_16. ISBN 978-3540361787.
48. Менезес, Альфред Дж.; Ван Ооршот, Пол К.; Ванстоун, Скотт А. (1996). Справочник по прикладной криптографии . CRC Press. стр. 257. ISBN 978-0849385230.
49. Кэмпбелл и Винер, 1992. 16 августа 1992. стр. 512–520. ISBN 9783540573401.
50. "Double DES" (PDF) . Архивировано (PDF) из оригинала 2011-04-09.
51. Санджай Кумар; Сандип Шривастава. «Шифрование изображений с использованием упрощенного стандарта шифрования данных (S-DES)» Архивировано 22 декабря 2015 г. на Wayback Machine . 2014.
52. Аласдер МакЭндрю. «Введение в криптографию с открытым исходным кодом». 2012. Раздел «8.8 Упрощенный DES: sDES». стр. 183–190.
53. Уильям Столлингс. «Приложение G: Упрощенный DES». 2010.
54. Налини Н.; Г. Рагхавендра Рао. «Криптоанализ упрощенного стандарта шифрования данных с помощью эвристики оптимизации». 2006.
55. Минь Ван Нгуен. «Упрощенный DES». 2009.
56. Д-р Манодж Кумар. «Криптография и сетевая безопасность». Раздел 3.4: Упрощенная версия DES (S-DES). стр. 96.
57. Эдвард Ф. Шефер. «Упрощенный стандартный алгоритм шифрования данных». doi :10.1080/0161-119691884799 1996.
58. Лавкуш Шарма; Бхупендра Кумар Патхак; и Нидхи Шарма. «Взлом упрощенного стандарта шифрования данных с использованием оптимизации роя двоичных частиц». 2012.
59. «Исследования в области криптографии: разработка лучшего способа преподавания и изучения передового стандарта шифрования».
60. «Объявление о разработке FIPS для расширенного стандарта шифрования | CSRC». 10 января 2017 г.
61. http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf 26 ноября 2001 г.

Ссылки

• Бихам, Эли и Шамир, Ади (1991). «Дифференциальный криптоанализ криптосистем типа DES». Журнал криптологии . 4 (1): 3–72. doi :10.1007/BF00630563. S2CID  206783462.{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )(препринт)
• Бихам, Эли и Шамир, Ади , Дифференциальный криптоанализ стандарта шифрования данных, Springer Verlag, 1993. ISBN 0-387-97930-1 , ISBN 3-540-97930-1 .  
• Бихам, Эли и Алекс Бирюков : Улучшение атаки Дэвиса на DES. J. Cryptology 10(3): 195–206 (1997)
• Бихам, Эли , Орр Данкельман , Натан Келлер: Улучшение дифференциально-линейного криптоанализа. ASIACRYPT 2002: стр. 254–266
• Бихам, Эли : Быстрая новая реализация DES в программном обеспечении
• Взлом DES: секреты исследований шифрования, политика прослушивания телефонных разговоров и проектирование чипов, Electronic Frontier Foundation
• Бирюков, А., К. Де Каньер и М. Квискватер (2004). Франклин, Мэтт (ред.). Достижения в криптологии – CRYPTO 2004. Конспект лекций по информатике. Том 3152. С. 1–22. doi :10.1007/b99099. ISBN 978-3-540-22668-0. S2CID  27790868.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )(препринт).
• Кэмпбелл, Кит В., Майкл Дж. Винер: DES не является группой. CRYPTO 1992: стр. 512–520
• Копперсмит, Дон . (1994). Стандарт шифрования данных (DES) и его устойчивость к атакам на Wayback Machine (архивировано 15 июня 2007 г.). IBM Journal of Research and Development , 38 (3), 243–250.
• Диффи, Уитфилд и Мартин Хеллман , «Исчерпывающий криптоанализ стандарта шифрования данных NBS», IEEE Computer 10(6), июнь 1977 г., стр. 74–84
• Эрсам и др., Система блочного шифрования продукта для защиты данных, патент США 3,962,539 , подан 24 февраля 1975 г.
• Гилмор, Джон , «Взлом DES: секреты исследований шифрования, политики прослушивания телефонных разговоров и проектирования чипов», 1998, O'Reilly, ISBN 1-56592-520-3 . 
• Жюно, Паскаль. «О сложности атаки Мацуи». Избранные области криптографии , 2001, стр. 199–211.
• Калиски, Бертон С. , Мэтт Робшоу : Линейный криптоанализ с использованием множественных приближений. CRYPTO 1994: стр. 26–39
• Кнудсен, Ларс , Джон Эрик Матиассен: Линейная атака с выбранным открытым текстом на DES. Быстрое программное шифрование - FSE 2000: стр. 262–272
• Лэнгфорд, Сьюзен К., Мартин Э. Хеллман: Дифференциально-линейный криптоанализ. CRYPTO 1994: 17–25
• Леви, Стивен , Крипто: как повстанцы кода побеждают правительство — спасая конфиденциальность в цифровую эпоху , 2001, ISBN 0-14-024432-8 . 
• Мацуи, Мицуру (1994). Хеллесет, Тор (ред.). Достижения в криптологии — EUROCRYPT '93 . Конспекты лекций по информатике. Том. 765. стр. 386–397. CiteSeerX  10.1.1.50.8472 . дои : 10.1007/3-540-48285-7. ISBN 978-3-540-57600-6. S2CID  21157010.
• Мацуи, Мицуру (1994). «Первый экспериментальный криптоанализ стандарта шифрования данных». Достижения в криптологии – CRYPTO '94 . Конспект лекций по информатике. Том 839. С. 1–11. doi :10.1007/3-540-48658-5_1. ISBN 978-3-540-58333-2.
• Национальное бюро стандартов, Стандарт шифрования данных, FIPS-Pub.46. Национальное бюро стандартов, Министерство торговли США, Вашингтон, округ Колумбия, январь 1977 г.
• Кристоф Паар, Ян Пельцль, «Стандарт шифрования данных (DES) и альтернативы», бесплатные онлайн-лекции по главе 3 «Понимание криптографии. Учебник для студентов и практиков». Springer, 2009.

Внешние ссылки

• FIPS 46-3: Официальный документ, описывающий стандарт DES (PDF)
• COPACOBANA, взломщик DES стоимостью 10 000 долларов на основе ПЛИС, разработанный университетами Бохума и Киля
• Пошаговое представление DES и надежное приложение для кодирования сообщений
• Быстрая новая реализация DES в программном обеспечении - Biham
• О множественных линейных приближениях
• RFC4772: Последствия использования стандарта шифрования данных (DES) для безопасности
• Код Python шифра DES, реализованный с использованием главы DES из NIST SP 958