ВУЗ:
Составители:
вания.
Анализ алгоритма DES на эффективность показывает, что поскольку
длина блоков исходного текста равна 64, поддержка каталогов частот ис-
пользования блоков является для злоумышленника задачей, выходящей за
пределы современных технических возможностей.
Однако, данный алгоритм, являясь первым опытом стандарта шифро-
вания имеет ряд недостатков. За время, прошедшее после создания DES,
компьютерная техника развилась настолько быстро, что оказалось возмож-
ным осуществлять исчерпывающий перебор ключей и тем самым раскры-
вать шифр. Стоимость этой атаки постоянно снижается. В 1998 г. была по-
строена машина стоимостью около 100 000 долларов, способная по данной
паре <исходный текст, шифрованный текст> восстановить ключ за среднее
время в трое суток. Таким образом, DES, при его использовании стандарт-
ным образом, уже стал далеко не оптимальным выбором для удовлетворе-
ния требованиям скрытности данных.
Большое количество предложений по усовершенствованию DES от-
части компенсируют указанные недостатки, рассмотрим два из них.
Наиболее широко известным предложением по усилению DES являет-
ся так называемый "тройной DES", одна из версий которого определяется
формулой
.)))((()(3
1
1
23321
xDESDESDESxЕDE
kkkkkk
−
=
To есть, ключ для EDE3 имеет длину 56 × 3 = 168 бит, и шифрование
64-битового блока осуществляется шифрованием с одним подключом,
расшифрованием с другим и затем шифрованием с третьим. (Причина, по
которой вторым шагом является
1
2
−
k
DES , а не
2k
DES , является совмести-
мость с DES: если выбрать
,,
K
kkk
=
, то EDE3
k
= DES
k
. Причина использо-
вания DES три раза вместо двух заключается в существовании атаки
"встреча в середине" на двойной DES).
Проблема с тройным DES состоит в том, что он гораздо медленнее, чем
сам DES, – его скорость составляет ровно одну треть исходной. При использо-
вании EDE3 в режиме сцепления блоков это замедление скажется как на аппа-
ратном, так и на программном (даже если попытаться компенсировать его
дополнительной аппаратной частью) уровнях. Во многих случаях такое
падение производительности неприемлемо.
В 1984 г. Рон Ривест предложил расширение DES, называемое DESX
(DES eXtended), свободное от недостатков тройного DES. DESX определя-
ется как
.)(
122,1,
xkDESkDES
kkkk
⊕
⊗
=
Ключ DESX
12
,,
K
kk k=
состоит из 54 + 64 + 64 = 184 бит и включает
три различных подключа: ключ "DES" k, предварительный "зашумляющий"
ключ k
1
и завершающий "зашумляющий" ключ k
2
.
Для шифрования блока сообщения сложим его поразрядно по модулю
2 с k
1
, шифруем его алгоритмом DES с ключом k и вновь поразрядно скла-
дываем его по модулю 2 с k
2
. Таким образом, затраты DESX на шифрование
блока всего на две операции сложения по модулю 2 больше, чем затраты
исходного алгоритма.
В отношении DESX замечательно то, что эти две операции "исклю-
чающее ИЛИ" делают шифр гораздо менее уязвимым по отношению к пе-
ребору ключей. DESX затрудняет получение даже одной пары
〈 )( ,
iKi
xDESx 〉 в том случае, когда злоумышленник организует атаку на
шифр по выбранному исходному тексту, получая множество пар
,()
jKj
PDES P<>
DESX предназначался для увеличения защищенности DES против пе-
ребора ключей и сохранения его стойкости против других возможных атак.
Но DESX в действительности также увеличивает стойкость против диффе-
ренциального и линейного криптоанализа, увеличивая требуемое количест-
во проб с выбранным исходным текстом до величины, превышающей 2
60
.
Дальнейшее увеличение стойкости против этих атак может быть достигну-
то заменой в DESX операции "исключающее ИЛИ" на сложение, как это
〈
〉.
Страницы
- « первая
- ‹ предыдущая
- …
- 21
- 22
- 23
- 24
- 25
- …
- следующая ›
- последняя »
