Стандарт шифрования данных

Стандарт шифрования данных

Функция Фейстеля (функция F) DES
Общие
Конструкторы	IBM
Впервые опубликовано	1975 (Федеральный регистр) (стандартизовано в январе 1977 г.)
На основе	Люцифер
Преемники	Triple DES, G- DES, DES-X, LOKI89, ICE
Сведения о шифре
Размеры ключа	56 бит (+8 битов четности)
Размеры блоков	64 бита
Структура	Сбалансированная Сеть Фейстеля
Раунды	16
Лучший общедоступный криптоанализ
DES с самого начала считался небезопасным, поскольку о возможности атак грубой силы Такие атаки были применены на практике (см. взломщик EFF DES ) и теперь доступны на рынке в качестве услуги. По состоянию на 2008 год лучшей аналитической атакой является линейный криптоанализ, который требует 2 известных открытых текстов и имеет временную сложность 2 (Junod, 2001).

Данные Стандарт шифрования (DES ) - это алгоритм с симметричным ключом для шифрования цифровых данных. Хотя его короткая длина ключа в 56 бит делает его слишком небезопасным для приложений, он оказал большое влияние на развитие криптографии.

. Разработан в начале 1970-х в IBM и основан на более ранней конструкции. от Хорста Фейстеля, алгоритм представлен в Национальном бюро стандартов (NBS) после приглашения предложения кандидата для защиты конфиденциальных, несекретных данных электронного правительства. В 1976 году, после консультации с Агент национальной безопасности (NSA), NBS выбрало слегка измененную версию (усиленную против дифференциального криптоанализа, но ослабленную против атак грубой силы ), который опубликован как официальный Федеральный стандарт обработки информации (FIPS) для США в 1977 году.

Публикация стандарта шифрования, одобренного АНБ, привела к его быстрому международному принятию и повсеместная научная проверка. Споры возникли из-за классифицированных элементов дизайна, относительно короткой длины ключа symmetric-key блочного шифра и участия АНБ, вызывает подозрения в отношении бэкдора. S-блоки, которые вызвали эти подозрения, были разработаны АНБ для устранения бэкдора, который им был известен втайне (дифференциальный криптоанализ ). Тем не менее, АНБ также позаботилось о том, чтобы размер ключа был резко увеличен, чтобы они могли взломать шифр с помощью атаки грубой силы. Интенсивное научное исследование алгоритма, полученное с течением времени, к современному пониманию блочных шифров и их криптоанализа.

DES небезопасен из-за относительно короткого 56-битного размера ключа. В январе 1999 года distribution.net и Electronic Frontier Foundation объединились, чтобы публично взломать ключ DES за 22 часа 15 минут (см. хронологию). Есть также некоторые аналитические результаты, которые демонстрируют теоретические недостатки шифра, хотя на практике они невозможны. Считается, что алгоритм практически безопасен в форме Triple DES, хотя существуют теоретические атаки. Этот шифр был заменен на Advanced Encryption Standard (AES). DES был отозван в качестве стандарта Национальным институтом стандартов и технологий.

В некоторых документах проводится различие между стандартом DES и его алгоритмом, называя алгоритм DEA (Данные Алгоритм шифрования ).

• 1 История
  • 1.1 Участие АНБ в разработке
  • 1.2 Алгоритм как стандартный
  • 1.3 Хронология
• 2 Описание
  • 2.1 Общая структура
  • 2.2 Фейстел (F) функция
  • 2.3 Ключевое расписание
• 3 Безопасность и криптоанализ
  • 3.1 Атака грубой силы
  • 3.2 Атаки быстрее, чем грубая сила
  • 3.3 Незначительные криптоаналитические свойства замены
• 4 Упрощенный DES
• 5 Алгоритмы
• 6 См. Также
• 7 Примечания
• 8 Ссылки
• 9 Внешние ссылки

Истоки DES к 1972 году, когда Национальное бюро Исследование стандартов правительства США компьютерной безопасности выявило потребность в общегосударственном стандарте шифрования несекретной конфиденциальной информации.

Примерно в то же время инженер Мохамед Аталла в 1972 году основала Atalla Corporation и разработала первый аппаратный модуль безопасности (HSM), так называемый «Atalla Box», который был коммерциализирован в 1973 году. Он защищал автономные устройства с помощью секу re PIN генерировал ключ и имел коммерческий успех. Банки и компании, выпускающие кредитные карты, опасались, что Atalla будет доминировать на рынке, что стимулировано международным стандартом шифрования. Аталла был одним из первых конкурентов IBM на банковском рынке, и сотрудники IBM, работавшие над стандартом DES, указали на его влияние. В IBM 3624 позже принята система проверки PIN-кода, аналогичная более ранней системе Atalla.

15 мая 1973 г., после консультации с АНБ, NBS запросило предложения по шифру, который соответствовал бы строгим требованиям. отзыв. Ни одно из представлений не подходило. Второй запрос был отправлен 27 августа 1974 года. На этот раз IBM представила кандидата, который был сочтен приемлемым - шифр, используемый в период 1973–1974 годов на основе более раннего алгоритма, Хорст Фейстель <152 шифр Люцифера. Команда IBM, занимавшаяся разработкой и анализом шифров, включала Фейстела, Уолтера Тачмана, Дон Копперсмит, Алан Конхейм, Карл Мейер, Майка Матиаса, Роя Адлера, Эдна Гроссман, Билл Нотц, Линн Смит и Брайант Такерман.

участие АНБ в разработке

17 марта 1975 года предложенный DES был опубликован в Федеральном Зарегистрируйте. Были запрошены комментарии для обсуждения предлагаемого стандарта. Была высказана критика со стороны пионеров криптографии с открытым ключом Мартина Хеллмана и Уитфилда Диффи со ссылкой на сокращенную длину ключа и загадочный "S-box "как доказательство неправомерного вмешательства со стороны АНБ. Подозрение заключалось в том, что алгоритм был тайно ослаблен спецслужбами, так что они - но другой - могли легко читать зашифрованные сообщения. Алан Конхейм (один из разработчиков DES) пишет: «Мы отправили S-блоки в Вашингтон. Они вернулись, и все они были другими ». Специальный комитет Сената США по разведке рассмотрел действия АНБ, чтобы определить, было ли какое-либо неправомерное участие. В несекретном резюме своих выводов, опубликованном в 1978 году, Комитет написал:

При разработке DES АНБ убедило IBM в том, что уменьшенного размера ключа достаточно; косвенно помогал в разработке конструкций S-box; и подтвердили, что окончательный алгоритм DES, насколько им известно, каких-либо статистических или математических недостатков.

Однако было также обнаружено, что

АНБ никоим образом не вмешивалось в преобразование. IBM изобрела и спроектировала алгоритм, обеспечивает все соответствующие решения в отношении него и была согласована с тем, что согласованный размер ключа более чем достаточен для всех коммерческих приложений, для которых предназначена DES.

Другой член команды DES, Уолтер Тачман, заявлено: «Мы полностью разработали алгоритм DES внутри IBM с помощью сотрудников IBM. АНБ не диктовало ни единого провода! » Напротив, рассекреченная книга АНБ по истории криптографии гласит:

В 1973 году NBS обратилось в частную промышленность с просьбой о стандарте шифрования данных (DES). Первые предложения были разочаровывающими, поэтому АНБ начало работать над собственным алгоритмом. Затем Говард Розенблюм, заместитель директора по исследованиям и разработкам, обнаружил, что Уолтер Тачман из IBM работает над модификацией Lucifer для общего пользования. АНБ дало Тучману разрешение и пригласило его для совместной работы с Агентством над его модификацией Люцифера ».

и

АНБ сотрудничало с IBM, чтобы усилить алгоритм против всех атак, кроме грубой силы, и укрепить таблицы подстановки, назывались S-блоками. Наоборот, АНБ пыталось убедить IBM сократить длину ключа с 64 до 48 бит. В итоге они взяли под угрозу 56-битный ключ.

Некоторые из подозрений относительно скрытых слабых мест в S-блоках были смягчены в 1990 году независимым открытием и открытой публикацией Эли Бихама и Ади Шамира из дифференциального криптоанализа, общий метод взлома блочных шифров. -боксы DES были гораздо более устойчивыми к атакам, чем если бы они были выбраны случайным образом, что убедительно знаоксы о том, что IBM об этом методе в 1970-х годах. Это действительно так; в 1994 году Дон Копперсмит опубликовал некоторые из исходных критериев проектирования для S-боксов. Согласно Стивену Леви, исследователи IBM Watson создали дифференциальные криптоаналитические атаки в 1974 году, и АНБ попросило их сохранить эту методику в секрете. Копперс секретмит объясняет решение IBM о том, что «это произошло, что [дифференциальный криптоанализ] может быть очень мощным инструментом, используемым против многих схем, и были опасны, что такая информация в открытом доступе может быть отрицательно сказаться на национальной безопасности». Леви цитирует Уолтера Тачмана: «[t] они попросили нас поставить печать на всех наших документах как конфиденциальные... Мы фактически поставили номер на каждый из них и заперли их в сейфы, потому что они считались секретными правительством США. Они сказали, сделайте это. Брюс Шнайер заметил, что «адаптивному сообществу потребовалось два десятилетия, чтобы понять, что« »АНБ на самом деле улучшили безопасность DES».

Алгоритм в качестве стандартного

Несмотря на на критику, DES был утвержден в качестве федерального стандарта в ноябре 1976 г. и опубликован 15 января 1977 г. как FIPS PUB 46, разрешенный для использования со всеми несекретными данными., 1988 (пересмотренный как FIPS-46-1), 1993 (FIPS-46-2) и снова в 1999 году (FIPS-46-3), последний предписывал «Triple DES » (см. Ниже). 26 мая 2002 года DES был окончательно заменен на Advanced Encryption Standard (AES) после открытого конкурса. 19 мая 2005 г. FIPS 46-3 был официально отозван, но NIST утвердил Triple DES до 2030 г. для конфиденциальной информации.

Алгоритм также является ссылками в ANSI X3.92 (сегодня X3 известен как INCITS, а ANSI X3.92 как ANSI INCITS 92), NIST SP 800-67 и ISO / IEC 18033-3 (как компонент TDEA ).

Еще одна теоретическая атака, линейный криптоанализ, опубликована в 1994 году, но именно взломщик DES от Electronic Frontier Foundation в 1998 году использовал, что DES можно атаковать. очень практично, и подчеркнуло необходимость замены алгоритма. Эти и другие методы криптоанализа более подробно обсуждаются далее в этой статье.

Введение DES считается катализатором академических исследований криптографии, в частности методами взлома блочных шифров. Согласно ретроспективе NIST о DES,

можно сказать, что DES положил начало невоенному исследованию и разработке алгоритмов шифрования. В 1970-х было очень мало криптографов, за исключением тех, кто работал в военных или разведывательных организациях, и было мало академических исследований криптографии. Сейчас есть много активных академических криптологов, математических факультетов с сильными программами по криптографии, а также коммерческих компаний и консультантов по информационной безопасности. Поколение криптоаналитиков зарекомендовало себя, анализируя (то есть пытаясь «взломать») алгоритм DES. По словам криптографа Брюса Шнайера, «DES сделал больше для активизации области криптоанализа, чем что-либо другое. Теперь нужно было изучить алгоритм ». Поразительная доля открытой литературы по криптографии 1970-х и 1980-х годов посвящена DES, и DES, с которым сравнивается каждый алгоритм является с симметричным ключом с тех пор.

Хронология

Дата	Год	Событие
15 мая	1973	NBS публикует первый запрос на стандартный алгоритм шифрования
27 августа	1974	NBS публикует второй запрос на алгоритмы шифрования
17 марта	1975	DES публикуется в Федеральном реестре для комментариев
август	1976	Первый семинар по DES
сентябрь	1976	Второй семинар, обсуждающий математические основы DES
ноябрь	1976	DES утвержден в качестве стандарта
15 января	1977	DES опубликован как стандарт FIPS FIPS PUB 46
июнь	1977	Диффи и Хеллман утверждают, что шифр DES может быть взломан грубой силой.
	1983	DES подтверждается впервые
	1986	Videocipher II, система скремблирования спутникового телевидения, основанная на DES, начинает знакомство HBO
22 января	1988	DES подтвержден во второй раз как FIPS 46-1, заменив FIPS PUB 46
июль	1991	Бихам и Шамир заново открывают дифференциальный криптоанализ, и его применить к DES-подобной криптосистеме с 15 циклами.
	1992	Бихам и Шамир сообщают о первой теоретической атаке с меньшей сложностью, чем грубая сила: дифференциальный криптоанализ. Это требует нереалистичных 2 выбранных открытых текстов.
30 декабря	1993	Однако DES подтвержден в третий раз как FIPS 46-2
	1994	Первый экспериментальный криптоанализ DES выполняется с использованием линейного криптоанализа (Matsui, 1994).
июнь	1997	Проект DESCHALL впервые публично взламывает сообщение, зашифрованное с помощью DES.
июль	1998	Взломщик DES DES (Deep Crack) взламывает ключ DES за 56 часов.
Январь	1999 г.	Вместе Deep Crack и распределенный.net взламывают ключ DES за 22 часа 15 минут.
25 октября	1999	DES подтвержден в четвертый раз как FIPS 46-3, который определяет предпочтительное использование Triple DES с разрешенным одиночным DES только в устаревших системах.
26 ноября	2001	Advanced Encryption Standard опубликован в FIPS 197
26 мая	2002	AES Предлагает в Федеральном реестре
26 июля <153 вступает	2004	Отмена FIPS 46-3 (и соответствующих стандартов) 19 мая	2005	NIST отзывает FIPS 46-3 (см. Federal Register vol 70, number 96 )
апрель	2006	The Параллельная машина на базе FPGA COPACOBANA из университетов Бохума и Киля, Германия, преодолевает DES за 9 дней при стоимости оборудования $ 10 000. В течение года усовершенствования программного обеспечения сократили среднее время до 6,4 дней.
ноябрь	2008	Преемник COPACOBANA, машина RIVYERA, уменьшла среднее время до менее одного дня.
августа	2016	Программа для взлома паролей с внешним исходным кодом hashcat добавлена ​​в поиск грубой силы DES на графических процессах орах общего назначения. показывает единственный готовый к продаже графический процессор Nvidia GeForce GTX 1080 Ti стоимостью 1000 долларов США, который восстанавливает ключ в среднем за 15 дней (полный исчерпывающий поиск занимает 30 дней). Системы были построены восемью графическими процессорами GTX 1080 Ti, которые могут восстановить ключ в среднем за 2 дня.
июль	2017	A атака с выбранным открытым текстом с использованием радуги таблицы может восстановить ключ DES для отдельного отдельного открытого текста 1122334455667788 за 25 секунд. Новая радужная таблица должна быть рассчитана для открытого текста. Ограниченный набор радужных таблиц доступен для загрузки.

Рисунок 1 - Общая структура Фейстеля DES

DES представляет собой архетипический блочный шифр --an алгоритм, который принимает принятую фиксированную длину из битов открытого текста и преобразует ее с помощью ряда сложных операций в другую цепочку битов зашифрованного текста той же длины. В случае DES размер блока составляет 64 бита. DES также использует ключ для настройки преобразования, так что дешифрование предположительно может быть только теми, кто знает конкретный ключ, используемым шифрования. Ключ якобы состоит из 64 бит; однако только 56 из них фактически используются алгоритмом. Восемь битов используются исключительно для проверки четности, после чего отбрасываются. Следовательно, эффективная длина ключа составляет 56 бит.

Ключ номинально сохраняется или передается как 8 байтов, каждый с нечетной четностью. Согласно ANSI X3.92-1981 (теперь известному как ANSI INCITS 92-1981), раздел 3.5:

Один бит в каждом 8-битном байте КЛЮЧА может найти ошибки в генерации, распространение и хранение ключей. Биты 8, 16,..., 64 используются для обеспечения того, чтобы каждый байт имел нечетную четность.

Как и другие блочные шифры, DES сам по себе не является безопасным средством шифрования, но должен быть положен в режим работы. FIPS-81 определяет несколько режимов использования с DES. Дополнительные комментарии по использованию DES установлен в FIPS-74.

Расшифровка использует ту же структуру, что и шифрование, но с ключами, используемыми в обратном порядке. (Это имеет то преимущество, что одно и то же оборудование или программное обеспечение может использоваться в обоих направлениях.)

Общая структура

Общая структура алгоритма показана на рисунке 1: имеется 16 идентичных этапов обработки, называемые раундами. Также существует начальная и конечная перестановка, называемая IP и FP, которые являются инверсией (IP «отменяет» действие FP, и наоборот). IP и FP не имеют криптографического значения, но были включены для облегчения загрузки блоков в 8-битное оборудование середины 1970-х и из него.

Перед основными раундами блок делится на два 32-битных половинки и обрабатываются попеременно; это пересечение известно как схема Фейстеля. Структура Фейстеля гарантирует, что дешифрование и шифрование являются очень похожими процессами, с той лишь разницей, что подключи применяются в обратном порядке при дешифровании. В остальном алгоритм идентичен. Это значительно упрощает реализацию, особенно в аппаратном обеспечении, поскольку нет необходимости в отдельных алгоритмах шифрования и дешифрования.

Символ ⊕ обозначает операцию исключающее ИЛИ (XOR). F-функция скремблирует половину блока вместе с некоторым ключом. Выходные данные F-функции затем объединяются с другой половиной блока, и половины меняются местами перед следующим раундом. После финального раунда половинки меняются местами; это особенность структуры Фейстеля, которая делает процессы шифрования и дешифрования похожими.

Функция Фейстеля (F)

F-функция, изображенная на рисунке 2, работает одновременно с половиной блока (32 бита) и состоит из четырех этапов:

Рисунок 2 - Функция Фейстеля (F-функция) DES

1. Расширение: 32-битный полублок расширяется до 48 бит с использованием перестановки расширения, обозначенной на схеме E, путем дублирования половины битов. Выходные данные состоят из восьми 6-битных (8 × 6 = 48 бит) частей, каждая из которых содержит копию 4 соответствующих входных битов плюс копию непосредственно соседнего бита из каждой входной части скаждой стороны.
2. Смешивание ключей: результат комбинируется с подключенным с помощью операции XOR. Шестнадцать 48-битных подключей - по одному для каждого цикла - выводятся из основного ключа с использованием расписания ключей (описанного ниже).
3. Подстановка: после смешивания в подключе блок разделяется на восемь 6-битных частей перед обработкой с помощью S-блоков или блоков подстановки. Каждый из восьми S-блоков заменяет свои шесть входных битов четырьмя выходными битами в соответствии с нелинейным преобразованием, представленным в форме справочной таблицы . S-блоки основы безопасности DES - без них шифр был бы линейным и тривиально взломанным.
4. Перестановка: наконец, 32 выхода из S-блоков переставляются в соответствии с фиксированным перестановка, П-блок. Это разработано так, что после перестановки битов из вывода каждого S-блока в этом раунде распределяются по четырем S-блокам в следующем раунде.

Чередование подстановки из S-блоков и перестановка битов из P-блока и расширения включает так называемое «смешение и распространение », соответственно, концепция, определенная Клодом Шенноном в 1940 -х как необходимое условие для безопасного пока что практический шифр.

Рисунок Расписание ключей

3 - Расписание ключей DES

Рисунок 3 показывает расписание ключей для шифрования - алгоритм, который генерирует подключи. Первоначально 56 бит ключа выбираются из начальных 64 перестановочным выбором 1 (PC-1) - оставшиеся восемь битов либо отбрасываются, либо используются в качестве контрольных битов четности. Затем 56 бит делятся на две 28-битные половины; после этой части обрабатывается отдельно. В последовательных раундах обе половины поворачиваются влево на один или два бита (указываются для каждого раунда), а 48 бит подключей выбираются с помощью Permuted Choice 2 (PC-2) - 24 бита из левой половины и 24 бита из правой.. Передаются те же 28 бит ко всем блокам ротации, передаются (обозначается как "<<<" in the diagram) mean that a different set of bits is used in each subkey; each bit is used in approximately 14 out of the 16 subkeys.

Протокол ключей для дешифрования аналогично - подключи в обратном порядке по сравнению с шифрованием.

Хотя о криптоанализе DES опубликовано больше информации, чем о другом другом блочном шифре, на сегодняшний день наиболее практичной атакой является метод грубой силы., и возможны три теоретических атаки, которые имеют теоретическую сложность меньше, чем атака грубой силы, требуют нереалистичного количества известных или выбранных открытых текстов

Атака грубой силой

Для любого шифра основным методом атаки является грубая сила - попытка по очереди всех преступников ключей. Длина ключа определяет количество источников ключей, и он По следующий возможности такого подхода. Для DES подняты вопросы об адекватности его размера ключа на раннем этапе, еще до того, как он был принят в качестве стандарта, и именно небольшой размер ключа, не теоретический криптоанализ, продиктовал необходимость замены алгоритма . В результате обсуждения с участием внешних консультантов, включая АНБ, размер ключа был уменьшен со 128 бит до 56 бит, чтобы уместиться на одной микросхеме.

EFF стоит 250 000 долларов США взломная машина DES содержала 1856 нестандартных микросхем и могла подобрать ключ DES за считанные дни - фотографии посредством печатной платы DES Cracker, оснащенной микросхемами Deep Crack.

В академических кругах различные предложения по взлому DES машина была продвинута. В 1977 году Диффи и Хеллман предложили машину стоимостью около 20 миллионов долларов США, которая могла бы найти ключ DES за один день. К 1993 году Винер использует машину для поиска ключей стоимостью 1 миллион долларов США, которая могла бы найти ключ в течение 7 часов. Однако ни одно из этих ранних предложений так и не было реализовано - или по крайней мере, ни одна реализация не получила публичного признания. Уязвимость DES была применима в конце 1990-х годов. В 1997 году RSA Security спонсировала серию конкурсов, предложив приз в размере 10 000 долларов первой команде, взломавшей сообщение, зашифрованное с помощью DES. В этом конкурсе выиграл DESCHALL Project, планетный Рок Версер, Мэттом Кёртином и Джастином Долске, который использовал простаивающие циклы тысяч компьютеров в Интернете. Возможность быстрого взлома DES была использована в 1998 году, когда Electronic Frontier Foundation (EFF), группа по защите гражданских прав в киберпространстве, построила индивидуальный взломщик DES стоимостью примерно 250 000 долларов США (см. Взломщик EFF DES ). Их мотивация заключалась в, чтобы показать, что DES можно взломать как на практике, так и в теории: «Многие люди не поверят в истину, пока не увидят ее собственными глазами. Показывая им физическую машину, которая может взломать DES за несколько секунд. дней - это единственный способ убедить некоторых людей, что они действительно не могут доверять свою безопасность DES ». Машина взломала ключ за 2 дня поиска.

Следующим подтвержденным взломщиком DES была машина COPACOBANA, созданная в 2006 году командами университетов Бохума и Киля, оба в Германии. В отличие от машины EFF, COPACOBANA состоит из коммерческих доступных реконфигурируемых интегральных схем. 120 из этих программируемых вентильных матриц (FPGA) типа XILINX Spartan-3 1000 работают параллельно. Они сгруппированы в 20 модулей DIMM, каждый из которых содержит 6 ПЛИС. Использование реконфигурируемого оборудования делает применимой машину и для других задач взлома кода. Один из наиболее интересных компонентов COPACOBANA - это фактор стоимости. Одна машина может быть построена примерно за 10 000 долларов. Снижение стоимости примерно в 25 раз по сравнению с машиной EFF - это пример постоянного совершенствования цифрового оборудования - см. закон Мура. Поправка на инфляцию за 8 лет дает еще большее улучшение, примерно в 30 раз. С 2007 года SciEngines GmbH, дочерняя компания разработала двух партнеров по проекту COPACOBANA, усовершенствовала и усовершенствовала преемников COPACOBANA. В 2008 году их COPACOBANA RIVYERA сократила время взлома DES до менее одного дня, используя 128 Spartan-3 5000. SciEngines RIVYERA установила рекорд по взлому DES, использовав 128 ПЛИС Spartan-3 5000. Их модель 256 Spartan-6 LX150 на этот раз еще ниже..

В 2012 году Дэвид Халтон и Мокси Марлинспайк анонсировали систему с 48 ПЛИС Xilinx Virtex-6 LX240T, каждый ПЛИС содержит 40 полностью конвейерных DES, работающих на частотах 400 МГц, с общей емкостью 768 гигакейсов / сек. Система может выполнить исчерпывающий поиск по всему 56-битному пространству ключей DES примерно за 26 часов, и эта услуга предлагается за плату в Интернете.

Атаки быстрее, чем грубая сила

Известно три атаки, которые могут взломать полные 16 циклов DES с меньшей сложностью, чем перебор: дифференциальный криптоанализ (DC), линейный криптоанализ (LC) и атака Дэвиса. Однако эти атаки носят теоретический характер и обычно считаются невозможными на практике; Эти типы атак иногда называют слабыми сертификатами.

• Дифференциальный криптоанализ был заново открыт в конце 1980-х годов Эли Бихамом и Ади Шамиром ; раньше об этом знали и IBM, а АНБ и держали в секрете. Чтобы разорвать полные 16 циклов, дифференциальный криптоанализ требует 2 выбранных открытых текстов. DES был разработан так, чтобы быть устойчивым к постоянному току.
• Линейный криптоанализ был открыт Мицуру Мацуи и требует 2 известных открытых текстов (Мацуи, 1993); этот метод был реализован (Мацуи, 1994), и это был первый экспериментальный криптоанализ DES, о котором было сообщено. Нет никаких доказательств того, что DES был адаптирован для защиты от атак этого типа. Обобщение LC - множественный линейный криптоанализ - было предложено в 1994 г. (Калиски и Робшоу) и другие усовершенствовано Бирюковым и другими. (2004); их анализ показывает, что можно использовать множественные линейные аппроксимации для уменьшения требований к данным при атаке как минимум в 4 раза (то есть в 2 раза вместо 2). Подобное снижение сложности данных может быть получено в варианте линейного криптоанализа с выбранным открытым текстом (Knudsen and Mathiassen, 2000). Джунод (2001) провел несколько экспериментов, чтобы определить фактическую временную сложность линейного криптоанализа, и сообщил, что он был несколько быстрее, чем предполагалось, и требовал времени, эквивалентного 2–2 оценкам DES.
• Улучшенная атака Дэвиса: это специализированный метод для DES, впервые предложенный Дональдом Дэвисом в восьмидесятых годах и улучшенный Бихамом и Бирюковым. (1997). Наиболее мощная форма атаки требует 2 известных открытых текстов, имеет вычислительную сложность 2 и коэффициент успешности 51%.

Также предлагались тесты против версий шифра с сокращенным циклом., то есть версия DES с менее чем 16 раундами. Такой анализ дает представление о том, сколько раундов необходимо для обеспечения безопасности, и какой «запас прочности» сохраняет полную версию.

Дифференциально-линейный криптоанализ был предложен Лэнгфордом и Хеллманом в 1994 году и объединяет дифференциальный и линейный криптоанализ в единую атаку. Усовершенствованная версия атаки может взломать 9-этапный DES с 2 выбранными открытыми текстами и имеет 2-х временную сложность (Бихам и другие, 2002).

Незначительные криптоаналитические свойства

DES демонстрирует свойство дополнения, а именно, что

$EK\; (P)\; =\; C\; ⟺\; EK\; ¯\; (P\; ¯)\; =\; C\; ¯\; \{\backslash \; displaystyle\; E\_\; \{K\}\; (P)\; =\; C\; \backslash \; iff\; E\; \_\; \{\backslash \; overline\; \{K\}\}\; (\{\backslash \; overline\; \{P\}\})\; =\; \{\backslash \; overline\; \{C\}\}\}$

где $x\; ¯\; \{\backslash \; displaystyle\; \{\backslash \; overline\; \{\; x\}\}\}$- побитовое дополнение элемента $х.\; \{\backslash \; displaystyle\; x.\}$$E\; K\; \{\backslash \; displaystyle\; E\_\; \{K\}\}$обозначает шифрование с ключом $K.\; \{\backslash \; displaystyle\; K.\}$$P\; \{\backslash \; displaystyle\; P\}$и $C\; \{\backslash \; displaystyle\; C\}$обозначают блоки открытого текста и зашифрованного текста соответственно. Свойство дополнения означает, что работа для атаки методом перебора может быть уменьшена в 2 раза (на один бит) в предположении selected-plaintext. По определению, это свойство также применяется к шифру TDES.

DES также имеет четыре так называемых слабых ключа. Шифрование (E) и дешифрование (D) со слабым ключом имеют одинаковый эффект (см. инволюция ):

$EK\; (EK\; (P))\; =\; P\; \{\backslash \; displaystyle\; E\_\; \{K\}\; (E\_\; \{K\; \}\; (P))\; =\; P\}$или эквивалентным образом $EK\; =\; DK.\; \{\backslash \; displaystyle\; E\_\; \{K\}\; =\; D\_\; \{K\}.\}$

Также есть шесть пар полуслабых ключей. Шифрование с одним из пар полуслабых ключей, $K\; 1\; \{\backslash \; displaystyle\; K\_\; \{1\}\}$, работает так же, как и дешифрование с другими, $K\; 2\; \{\backslash \; displaystyle\; K\_\; \{2\}\; \}$:

$EK\; 1\; (EK\; 2\; (P))\; =\; P\; \{\backslash \; displaystyle\; E\_\; \{K\_\; \{1\}\}\; (E\_\; \{K\_\; \{2\}\}\; (P))\; =\; P\}$или эквивалентно $EK\; 2\; =\; DK\; 1.\; \{\backslash \; displaystyle\; E\_\; \{K\_\; \{2\}\}\; =\; D\_\; \{K\_\; \{1\}\}.\}$

Достаточно легко избежать слабых и полуслабых ключей в реализации, либо путем их тестирования. явно или просто путем случайного выбора ключей; шансы случайно выбрать слабый или полуслабый ключ ничтожны. В любом случае ключи на самом деле не слабее любых других ключей, так как они не дают атакующему преимуществу.

Было также доказано, что DES не является группой , или, точнее, набором $\{EK\}\; \{\backslash \; displaystyle\; \backslash \; \{E\_\; \{K\}\; \backslash \}\}$(для всех возможных ключей $K\; \{\backslash \; displaystyle\; K\}$) в рамках функциональная композиция не является группой и не «близка» к тому, чтобы быть группой. Некоторое время это был открытый вопрос, и если бы это было так, можно было бы взломать DES, а несколько режимов шифрования, таких как Triple DES, не повысили бы безопасность, потому что повторное шифрование ( и расшифровки) с разными ключами будет эквивалентно шифрованию с другим, единым ключом.

Упрощенный DES (SDES) был разработан только для образовательных целей, чтобы помочь студентам узнать о современной криптоаналитике техники. SDES имеет те же свойства и структуру, что и DES, но он был упрощен, чтобы значительно упростить выполнение шифрования и дешифрования вручную с помощью карандаша и бумаги. Некоторые люди считают, что изучение SDES дает понимание DES и других блочных шифров, а также понимание различных криптоаналитических атак против них.

Проблемы безопасности и относительно медленная работа DES в программное обеспечение побудило исследователей предложить множество альтернативных конструкций блочных шифров, которые начали появляться в конце 1980-х - начале 1990-х годов: примеры включают RC5, Blowfish., IDEA, NewDES, SAFER, CAST5 и FEAL. В большинстве этих схем сохранен 64-битный размер блока DES, и они могут выступать в качестве замены, хотя обычно они используют 64-битный или 128-битный ключ. В Советском Союзе был введен алгоритм ГОСТ 28147-89 с размером блока 64 бит и ключом 256 бит, который также использовался в России позже.

Сам DES может быть адаптирован и повторно использован в более безопасной схеме. Многие бывшие пользователи DES теперь используют Triple DES (TDES), который был описан и проанализирован одним из патентообладателей DES (см. FIPS Pub 46-3); он включает в себя трехкратное применение DES с двумя (2TDES) или тремя (3TDES) разными ключами. TDES считается достаточно безопасным, хотя и довольно медленным. Менее затратной с точки зрения вычислений альтернативой является DES-X, который увеличивает размер ключа за счет операции XOR с дополнительным ключевым материалом до и после DES. GDES был вариантом DES, предложенным как способ ускорения шифрования, но было показано, что он подвержен дифференциальному криптоанализу.

2 января 1997 г. NIST объявил о своем желании выбрать преемника DES. В 2001 году после международного конкурса NIST выбрал в качестве замены новый шифр, Advanced Encryption Standard (AES). Алгоритм, который был выбран в качестве AES, был представлен его разработчиком под названием Риджндил. Среди других финалистов конкурса NIST AES были RC6, Serpent, MARS и Twofish.

• Грубая сила: взлом стандарта шифрования данных
• Дополнительный материал DES
• Skipjack (шифр)
• Triple DES

Wikimedia У Commons есть носители, относящиеся к стандарту шифрования данных.

• FIPS 46-3: официальный документ, описывающий стандартный DES (PDF)
• COPACOBANA, взломщик DES стоимостью 10 000 долларов США, основанный на FPGA от университетов. Бохума и Киля
• Приложение для пошагового представления DES и надежного кодирования сообщений
• Новая быстрая реализация DES в программном продукте - Бихам
• О множественных линейных приближениях
• RFC4772: последствия использования шифрования данных для безопасности Стандарт (DES)