15:53 Стандарт Шифрования Данных | |
| Стандарт шифрования данных ( DES / ˌ д я ˌ я ɛ ы , д ɛ г / ) является симметричным ключом алгоритм для шифрования цифровых данных. Несмотря на то, что длина короткого ключа в 56 битов - подвергнутая критике с самого начала - делает его слишком небезопасным для большинства современных приложений, он сильно повлиял на развитие современной криптографии . DES - это архетипический блочный шифр - алгоритм, который принимает строку битов открытого текста и преобразует ее с помощью ряда сложных операций в другую цепочку битов зашифрованного текста той же длины. В случае DES размер блока составляет 64 бита. DES также использует ключ для настройки преобразования, так что расшифровка может быть выполнена только теми, кто знает конкретный ключ, используемый для шифрования. Ключ якобы состоит из 64 битов; однако только 56 из них фактически используются алгоритмом. Восемь битов используются исключительно для проверки четности и после этого отбрасываются. Следовательно, эффективная длина ключа 56 бит. Хотя было опубликовано больше информации о криптоанализе DES, чем о любом другом блочном шифре, наиболее практичной атакой на сегодняшний день все еще является метод "грубой силы". Известны различные второстепенные криптоаналитические свойства, и возможны три теоретических атаки, которые, хотя теоретическая сложность которых меньше, чем атака методом грубой силы, требуют нереалистичного числа известных или выбранных открытых текстов и не являются проблемой на практике. Для любого шифра самый основной метод атаки - грубая сила - пробовать каждый возможный ключ по очереди. Длина ключа определяет число возможных ключей, и , следовательно, целесообразности такого подхода. Что касается DES, то были подняты вопросы об адекватности размера его ключа на раннем этапе, еще до того, как он был принят в качестве стандарта, и именно небольшой размер ключа, а не теоретический криптоанализ, обусловил необходимость замены алгоритма. В результате обсуждений с участием внешних консультантов, в том числе АНБ, размер ключа был уменьшен с 128 до 56 бит, чтобы соответствовать одному чипу. ледующим подтвержденным взломщиком DES была машина COPACOBANA, созданная в 2006 году командами университетов Бохума и Киля , оба в Германии . В отличие от машины EFF, COPACOBANA состоит из коммерчески доступных реконфигурируемых интегральных схем. 120 из этих программируемых полем массивов затворов (FPGA) типа XILINX Spartan-3 1000 работают параллельно. Они сгруппированы в 20 модулей DIMM, каждый из которых содержит 6 FPGA. Использование реконфигурируемого оборудования делает машину пригодной и для других задач по взлому кода. Одним из наиболее интересных аспектов COPACOBANA является ее фактор стоимости. Одна машина может быть построена примерно за 10000 долларов. Снижение затрат примерно в 25 раз по сравнению с машиной EFF является примером постоянного совершенствования цифрового оборудования - см. Закон Мура . Корректировка на инфляцию за 8 лет приводит к еще большему улучшению, примерно в 30 раз. С 2007 года SciEngines GmbH , дочерняя компания двух партнеров проекта COPACOBANA, расширила и разработала преемников COPACOBANA. В 2008 году их COPACOBANA RIVYERA сократили время прерывания DES до менее чем одного дня, используя 128 Spartan-3 5000. SciEngines RIVYERA установила рекорд по взлому DES, использовав 128 ПЛИС Spartan-3 5000. Их 256 Spartan-6 модель LX150 еще больше снизилась на этот раз. Известны три атаки, которые могут сломать полные 16 раундов DES с меньшей сложностью, чем поиск методом перебора: дифференциальный криптоанализ (DC), линейный криптоанализ (LC), и атака Дэвиса . Тем не менее, атаки носят теоретический характер и, как правило, считаются неосуществимыми на практике; эти типы атак иногда называют сертификационными слабостями. Дифференциальный криптоанализ был вновь открыт в конце 1980-х Эли Бихамом и Ади Шамиром ; это было известно ранее как IBM, так и АНБ и держалось в секрете. Чтобы разорвать полные 16 раундов, дифференциальный криптоанализ требует 2 47 выбранных открытых текстов . DES был разработан, чтобы быть устойчивым к постоянному току. Линейный криптоанализ был открыт Mitsuru Matsui и нуждается в 2 43 известных открытых текстах (Matsui, 1993); метод был реализован (Matsui, 1994) и был первым экспериментальным криптоанализом DES, о котором было сообщено. Нет никаких доказательств того, что DES был специально разработан для обеспечения устойчивости к этому типу атак. Обобщение LC - множественный линейный криптоанализ - было предложено в 1994 году (Kaliski и Robshaw) и было уточнено Бирюковым и другими. (2004); их анализ показывает, что множественные линейные приближения могут быть использованы для снижения требований к данным для атаки, по крайней мере, в 4 раза (то есть 2 41 вместо 2 43 ). Подобное снижение сложности данных может быть получено в выбранном текстовом варианте линейного криптоанализа (Knudsen and Mathiassen, 2000). Junod (2001) провел несколько экспериментов, чтобы определить реальную временную сложность Также были предложены атаки против версий шифра с уменьшенным количеством раундов, то есть версий DES с менее чем 16 раундами. Такой анализ дает представление о том, сколько раундов необходимо для обеспечения безопасности, и сколько остается «запаса безопасности» в полной версии. Дифференциально-линейный криптоанализ был предложен Лэнгфордом и Хеллманом в 1994 году и объединяет дифференциальный и линейный криптоанализ в одну атаку. Усовершенствованная версия атаки может разбить 9-раундовый DES с 2 15,8 выбранными открытыми текстами и имеет сложность 2 29,2 раза (Biham и др., 2002). DES демонстрирует свойство дополнения, а именно, что {\ displaystyle E_ {K} (P) = C \ если E _ {\ overline {K}} ({\ overline {P}}) = {\ overline {C}}} где {\ displaystyle {\ overline {x}}}является побитовое дополнение в{\ displaystyle x.} {\ displaystyle E_ {K}} обозначает шифрование с ключом {\ displaystyle K.} {\ displaystyle P} и {\ displaystyle C}обозначают блоки открытого текста и шифротекста соответственно. Свойство дополнения означает, что работа для атаки методом грубой силы может быть уменьшена в 2 раза (или на один бит) в предположении выбранного открытого текста . По определению это свойство также применяется к шифру TDES. DES также имеет четыре так называемых слабых ключа . Шифрование ( E ) и дешифрование ( D ) под слабым ключом имеют одинаковый эффект (см. Инволюцию ): {\ displaystyle E_ {K} (E_ {K} (P)) = P} или эквивалентно, {\ displaystyle E_ {K} = D_ {K}.} Есть также шесть пар полуслабых клавиш . Шифрование одним из пары полуслабых ключей,{\ displaystyle K_ {1}}работает аналогично расшифровке с другим, {\ displaystyle K_ }: {\ displaystyle E_ {K_ {1}} (E_ {K_ {2}} (P)) = P} или эквивалентно, {\ displaystyle E_ {K_ {2}} = D_ {K_ {1}}.} Достаточно легко избежать слабых и полуслабых ключей в реализации, либо проверяя их явно, либо просто выбирая ключи случайным образом; вероятность случайного выбора слабого или полуслабого ключа ничтожна. Ключи на самом деле не слабее любых других ключей, так как они не дают атаке никакого преимущества. Было также доказано, что DES не является группой , или, точнее, набором{\ displaystyle \ {E_ {K} \}} (для всех возможных ключей {\ displaystyle K}) по функциональному составу не является ни группой, ни «близкой» к группе. [48] Это был открытый вопрос в течение некоторого времени, и если бы это было так, было бы возможно сломать DES, и несколько режимов шифрования, таких как Triple DES , не повысили бы безопасность, потому что шифрование под одним ключом было бы эквивалентно расшифровке под другим ключом. Упрощенный DES (SDES) был разработан только для образовательных целей, чтобы помочь студентам узнать о современных криптоаналитических методах. SDES обладает свойствами и структурой, аналогичными DES, но был упрощен, чтобы упростить выполнение шифрования и дешифрования вручную с помощью карандаша и бумаги. Некоторые люди считают, что изучение SDES дает представление о DES и других блочных шифрах, а также о различных криптоаналитических атаках на них. Сам DES можно адаптировать и повторно использовать в более безопасной схеме. Многие бывшие пользователи DES сейчас используют Triple DES (TDES), который был описан и проанализирован одним из патентообладателей DES (см. FIPS Pub 46-3); он включает в себя применение DES три раза с двумя (2TDES) или тремя (3TDES) разными ключами. TDES считается достаточно безопасным, хотя и довольно медленным. Менее дорогой вычислительной альтернативой является DES-X , который увеличивает размер ключа за счет XOR дополнительного материала ключа до и после DES. GDES был вариантом DES, предложенным как способ ускорения шифрования, но было показано, что он подвержен дифференциальному криптоанализу. | |
|
| |
| Всього коментарів: 0 | |