ВУЗ:
Составители:
136
Хеллман придумали способ обменять память на время, который позволяет
вскрыть такую схему двойного шифрования за 2
n+1
шифрований, а не за 2
2n
.
(Они использовали эту схему против DES, но результаты можно обобщить на
все блочные алгоритмы.) Это вскрытие называется "встреча посередине", с
одной стороны выполняется шифрование а с другой - дешифрирование,
получившиеся посередине результаты сравниваются.
В этом вскрытии криптоаналитику известны Р
1
, С
1
, Р
2
и С
2
, такие что
C
1
=E
K2
(E
K1
(P
1
))
C
2
=E
K2
(E
K1
(P
2
))
Для каждого возможного К (или К
1
, или К
2
), криптоаналитик
рассчитывает E
K
(P
1
) и сохраняет результат в памяти. Собрав все результаты,
он для каждого К вычисляет D
K
(C
1
) И ищет в памяти такой же результат. Если
такой результат обнаружен, то возможно, что текущий ключ - К
2
, а ключ для
результата в памяти - К
1
. Затем криптоаналитик шифрует Р
1
с помощью К
1
и
К
2
. Если он получает С
2
, то он может гарантировать (с вероятностью успеха 1
к 2
2п-2т
, где т - размер блока), что он узнал и К
1
, и К
2
. Если это не так, он
продолжает поиск. Максимальное количество попыток шифрования, которое
ему, возможно, придется предпринять, равно 2*2
n
, или 2
n+1
. Если вероятность
ошибки слишком велика, он может использовать третий блок шифротекста,
обеспечивая вероятность успеха 1 к 2
2п-3т
. Существуют и другие способы
оптимизации.
Для такого вскрытия нужен большой объем памяти: 2
n
блоков. Для 56-
битового ключа нужно хранить 2
56
64-битовых блоков, или 10
17
байтов.
Такой объем памяти пока еще трудно себе представить, но этого хватает,
чтобы убедить криптографов в том, что двойным шифрованием пользоваться
не стоит.
При 128-битовом ключе для хранения промежуточных результатов
потребуется 10
39
байтов. Вскрытие "встреча посередине" кажется
невозможным для ключей такого размера.
Другим способом двойного шифрования, который иногда называют
Davies-Price, является вариантом СВС.
С
i
=Е
К1
(P
⊕
Е
Кг
(C
i-1
)) Р
i
=D
К1
(С
i
)
⊕
Е
К2
(С
i-1
))
Утверждается, что "у этого режима нет никаких особых достоинств", к
тому же он, по видимому, так же чувствителен ко вскрытию "встреча
посередине" как и другие режимы двойного шифрования.
2.6.2.Тройное шифрование
Тройное шифрование с двумя ключами. Воспользуемся [17]. В более
интересном методе, предложенном Тачменом, блок обрабатывается три раза
с помощью двух ключей: первым ключом, вторым ключом и снова первым
ключом. Он предлагает, чтобы отправитель сначала шифровал первым
ключом, затем дешифрировал вторым, и окончательно шифровал первым
ключом. Получатель расшифровывает первым ключом, затем шифрует
вторым и, наконец, дешифрирует первым.
Страницы
- « первая
- ‹ предыдущая
- …
- 134
- 135
- 136
- 137
- 138
- …
- следующая ›
- последняя »
