Недостатки алгоритма DES

Алгоритм DES имеет ряд существенных недостанков. Основные их них:

² Битовые операции в узлах замены неэффективно реализуются программ­ным путем.

² Короткая длина ключа (56 битов), что, собственно, и помогло организо­вать полный перебор.

² Обнаружена теоретическая возможность уменьшить пространство пере­бора с помощью дифференциального криптоанализа (с выбором шифро­граммы) и линейного криптоанализа (с известным сообщением), если известно достаточно много (поряд­ка 2⁴⁷) пар сообщение — шифрограмма.

Известно, что независимый выбор подключей практически не увели­чи­вает стойкости алгоритма.

Криптостойкость DES

В январе 1997г. компания RSA Data Security опубликовала зашиф­ро­ванный с помощью DES текст и назначила приз в 10 тыс. долларов тому, кто его расшифрует. Результат был получен за 4 месяца «грубой силой», путем полного перебора ключей, в котором участвовало около 78 000 ком­пьютеров в США и Канаде, в основном обычных персональ­ных (в среднем 14 000 ком­пьютеров ежедневно). Пользователи этих машин получали по интернету программу для перебора и интервалы прос­транства ключей. Всего было испробовано около 18х10¹⁵ вариантов из примерно 72х10¹⁵ возможных. Пик производитель­ности составил 7х10⁹ вариантов в секунду. Результат был получен на компьютере с процессором Рentium-90 и 16 мегабайт памяти. Таким образом, DES нельзя считать надежным шифром, тем более при многократно увеличевшейся с тех тор мощности компьте­ров. Однако, DES оказал большое влияние на развитие крипто­систем с секретным ключом и до сих пор используется для защиты информации невысокого уровня секретности.

Способы улучшения DES. Тройной DES

Преобразования DES не образуют группы, то есть композиция двух опера­ций шифрования с разными ключами не является в общем случае DES-шифрованием с некоторым третьим ключом. Следовательно, можно пытаться увеличить пространство ключей за счет многократного приме­нения DES.

Ключ DES имеет длину 56 бит, по­этому существует 2⁵⁶ возможных вариантов такого ключа.

Двойной DES:

c = DES _{k 1}(DES _{k 2}(m)),

нe обеспечивает увеличения в 2⁵⁶ раз объе­ма перебора, необходимого для определения ключа, поскольку при атаке с известным сообщением можно подбирать параллельно ключи k ₁ и k ₂, накап­ливать в хэш-таблице значения DES _{k 2}(m) и DES _{K 1}^-1(с) и искать совпадения между ними.

Специалистами рекомендуется тройной DES:

• в режиме ЕСВ: c = DES _{k 1}(DES _{k 2}(DES _{k 3}(m)))

или c = DES _{k 1}(DES _{k 2}^-1(DES _{k 3}(m)),

• в других режимах: c = DES _{k 1}(DES _{k 2}^-1(DES _{k 1}(m)).

Применение функции дешифрования на втором шаге объясняется жела­нием достичь совместимости с однократным алгоритмом DES в случае, если все ключи равны.

Тройное шифрование с двумя ключами все равно сводится к однократно­му при использовании атаки с выбором сообщения.

Сновные режимы работы алгоритма DES

Алгоритм DES вполне подходит как для шифрования, так и для ау­тентификации данных. Он позволяет непосредственно преобразовывать 64-битовый входной открытый текст в 64-битовый выходной шифро­ванный текст, однако данные редко ограничиваются 64 разрядами.

Чтобы воспользоваться алгоритмом DES для решения разнообразных криптографических задач, разработаны четыре рабочих режима:

• электронная кодовая книга ЕСВ (Electronic Code Book);

• сцепление блоков шифра СВС (Ciрher Block Chaining);

• обратная связь по шифртексту CFB (Ciрher Feed Back);

• обратная связь по выходу OFB (Outрut Feed Back).

Эти режимы могут быть использованы для шифрования с помощью произвольного блочного шифра (не только DES) потока данных, кото­рый в общем случае длиннее блока шифрования, хотя впервые они введены в стандарте DES.