Головна

алгебраїчна структура

  1. A. Структура комерційних листів
  2. II. СТРУКТУРА сучасних комп'ютерів
  3. III. Структура і особливості багаторічної підготовки спортсменів
  4. III. Структура складної захисту від подвійного свідомості
  5. VI. Найпростіше «визначення», його призначення і структура
  6. VII.1.2) Правова структура речі.

Всі можливі 64-бітові блоки відкритого тексту можна відобразити на 64-бітові блоки шифротекста


264! Різними способами. Алгоритм DES, використовуючи 56-бітовий ключ, надає нам 2 56 (Приблизно 1017) Таких відображень. Використання багаторазового шифрування на перший погляд твердженням про-ляет значно збільшити частку можливих відображень. Але це правильно тільки, якщо дія DES не володіє певною структурою алгебри.

Якби DES був замкнутим,то для будь-яких Кг и К2 завжди існувало б таке К3, що

ЕК2К1(Р)) = ЕКз(Р)

Іншими словами, операція шифрування DES утворила б групу, і шифрування набору блоків відкритий о-го тексту послідовно за допомогою К1 і К2 було б ідентично шифрування блоків ключем КЗ. Що ще гірше, DES був би чутливий до розтину "зустріч посередині" з відомим відкритим текстом, для якого треба було б тільки 228 етапів [807].

Якби DES був чистим,то для будь-яких Ки К2 и К3 завжди існувало б таке К4, що

ЕКзК2К1(Р))) = ЕК4(Р)

Потрійне шифрування було б марним. (Зауважте, що замкнутий шифр обов'язково є і чи з-тим, але чистий шифр не обов'язково є замкнутим.)

Ряд підказок можна знайти в ранній теоретичну роботу Дона Копперсміта, але цього недостатньо [377]. Різні криптографи намагалися вирішити цю проблему [588, 427, 431, 527, 723, 789]. В повторюваних експ е-ріментах збиралися "неспростовні докази" того, що DES не є групою [807, 371, 808, 1116, 809], але тільки в 1992 році криптографії вдалося це довести остаточно [293]. Копперсміт утве р-ждает, що команда IBM знала про це з самого н ачала.

довжина ключа

В оригінальній заявці фірми IBM в NBS передбачалося використовувати 112-бітовий ключ. На той час, коли DES стандартом, довжина ключа зменшилася до 56 біт. Багато криптографи наполягали на більш трива н-ном ключі. Основним їхнім аргументом було розтин грубою силою (див. Розділ 7.1).

У 1976 і 1977 рр. Діффі і Хеллмана стверджували, що спеціалізований паралельний комп'ютер для розтину DES, що коштує 20 мільйонів доларів, зможе розкрити ключ за день. У 1981 році Діффі збільшив час пошуку до двох днів, а вартість - до 50 мільйонів доларів [491]. Діффі і Хеллмана стверджували, що розтин в той момент часу перебувало за межами можливостей будь-якої організації, крім подібних NSA, але що до 1990 року DES повинен повністю втратити свою безпеку [714].

Хеллман [716] продемонстрував ще один аргумент проти малого розміру ключа: розмінюючи обсяг п а-мяти на час, можна прискорити процес пошуку. Він запропонував обчислювати і зберігати 2 56 можливих результатів шифрування кожним можливим ключем єдиного блоку відкритого тексту. Тоді для злому невідомими о-го ключа криптоаналітику потрібно тільки вставити блок відкритого тексту в шіфруемий потік, розкрити вийшов результат і знайти ключ. Хеллман оцінив вартість такого пристрою розтину в 5 мільйонів доларів.

Аргументи за і проти існування в якомусь таємному бункері урядового пристрої розтину DES продовжують з'являтися. Багато хто вказує на те, що середній час напрацювання на відмову для мікросхем DES ніколи не було великим настільки, щоб забезпечувати роботу пристрою. В [1278] було показано, що цього заперечення більш ніж достатньо. Інші дослідники пропонують способи ще більше прискорити процес і зменшити ефект відмови мікросхем.

Тим часом, апаратні реалізації DES поступово наблизилися до реалізації вимоги про мільйон шифрування в секунду, висунутого спеціалізованої машиною Діффі і Хеллмана. У 1984 році були випущені мікросхеми DES, здатні виконувати 256000 шифрування в секунду [533, 534]. До 1987 року були розроблені мікросхеми DES, що виконують 512000 шифрування в секунду, і стало можливим поява варіанту, здатного перевіряти понад мільйон ключів в секунду [738, тисяча п'ятсот сімдесят три]. А в 1993 Майкл Вінер (Michael Wiener) спроектував машину вартістю 1 мільйон доларів, яка може виконати розтин DES гр у-бій силою в середньому за 3.5 години (див. Розділ 7.1).

Ніхто відкрито не заявив про створення цієї машини, хоті розумно припустити, що комусь це вдалося. Мільйон доларів - це не дуже великі гроші для великої і навіть не дуже великої країни.

У 1990 році два ізраїльських математика, Біхам (Biham) і Шамір, відкрили диференційний криптоаналіз,метод, який дозволив залишити в спокої питання довжини ключа. Перш, ніж ми розглянемо цей метод, повернемося до деяких інших критичних зауважень на адресу DES.





Квадратні корені по модулю п | Rabin-Miller | практичні міркування | Сильні прості числа | Обчислення дискретних логарифмів в кінцевій групі | Розробка стандарту | прийняття стандарту | Перевірка і сертифікація обладнання DES | перетворення ключа | Перестановка за допомогою Р-блоків |

© 2016-2022  um.co.ua - учбові матеріали та реферати