ВУЗ:
Составители:
137
C = E
K1
(D
K2
(E
K1
(P))) P = D
K1
(E
K2
(D
K1
(C)))
Иногда такой режим называют шифрование-дешифрирование-
шифрование (encrypt-decrypt-encrypt, EDE). Если блочный алгоритм
использует n-битовый ключ, то длина ключа описанной схемы составляет 2n
бит. Любопытный вариант схемы шифрование-дешифрирование-
шифрование был разработан в IBМ для совместимости с существующими
реализациями алгоритма: задание двух одинаковых ключей эквивалентно
одинарному шифрованию, этим ключом. Схема шифрование-
дешифрирование-шифрование сама по себе не обладает никакой
безопасностью, но этот режим был использован для улучшения алгоритма
DES в стандартах Х9.7 и ISO 8732.
Ключи К
1
и К
2
чередуются для предотвращения описанного выше
вскрытия "встреча посередине". Если С = Е
K1
(Е
K1
(Е
K1
(Р))), то
криптоаналитик для любого возможного К
1
может заранее вычислить Е
K1
(Е
K1
(P)) и затем выполнить вскрытие. Для этого потребуется только 2
n+2
шифрований.
Тройное шифрование с двумя ключами устойчиво к такому вскрытию.
Но Меркл и Хеллман разработали другой способ размена памяти на время,
который позволяет взломать этот метод шифрования за 2
n-1
действий,
используя 2
n
блоков памяти.
Для каждого возможного К
2
расшифруйте 0 и сохраните результат.
Затем расшифруйте 0 для каждого возможного K
1
, чтобы получить Р.
Выполните тройное шифрование Р, чтобы получить С, и затем расшифруйте
С ключом К
1
. Если полученное значение совпадает с значением (хранящемся
в памяти), полученным при дешифрировании 0 ключом К
2
, то пара К
1
К
2
является возможным результатом поиска. Проверьте, так ли это. Если нет,
продолжайте поиск.
Выполнение этого вскрытия с выбранным открытым текстом требует
огромного объема памяти. Понадобится 2
n
времени и памяти, а также 2
т
выбранных открытых текстов. Вскрытие не очень практично, но все же чув-
ствительность к нему является слабостью алгоритма.
Пауль ван Оорсчот (Paul van Oorschot) и Майкл Винер (Michael Wiener)
преобразовали это вскрытие ко вскрытию с известным открытым текстом,
для которого нужно р известных открытых текстов. В примере пред-
полагается, что используется режим EDE.
(1) Предположить первое промежуточное значения а.
(2) Используя известный открытый текст, свести в таблицу для
каждого возможного К
1
второе промежуточное значение b, при первом
промежуточном значении, равном а:
b=D
K1
(C)
где С - это шифротекст, полученный по известному открытому тексту.
(3) Для каждого возможного К
2
найти в таблице элементы с
совпадающим вторым промежуточным значение
b: b=E
K2
(a)
Страницы
- « первая
- ‹ предыдущая
- …
- 135
- 136
- 137
- 138
- 139
- …
- следующая ›
- последняя »
