Data Encryption Standard

Sujets connexes: Cryptographie

Saviez-vous ...

Arrangeant une s??lection Wikipedia pour les ??coles dans le monde en d??veloppement sans internet ??tait une initiative de SOS Enfants. Tous les enfants disponibles pour le parrainage de SOS Enfants des enfants sont pris en charge dans une maison de famille pr??s de la charit??. Lire la suite ...

Data Encryption Standard
G??n??ral
La fonction de Feistel (fonction F) du DES
Designers	IBM
Premi??re publication	1977 (normalis?? en Janvier 1979)
D??riv?? de	Lucifer
Successeurs	Triple DES, G-DES, DES-X, LOKI89, ICE
Cipher d??tail
Tailles cl??s	56 bits
Les tailles de bloc	64 bits
Structure	??quilibr?? R??seau de Feistel
Rounds	16
Meilleur publique cryptanalyse
DES est maintenant consid??r?? comme l'ins??curit??, car une attaque en force brute est possible (voir EFF DES cracker). En 2008, la meilleure attaque est analytique cryptanalyse lin??aire, ce qui n??cessite deux ⁴³ plaintexts connue et a une complexit?? en temps de 2 ^39-43 (Junod, 2001).

Le Data Encryption Standard (DES, pron .: / ˌ r?? Je ˌ Je ɛ s / Ou / r?? ɛ z /) Est une pr??dominante pr??c??demment algorithme pour le cryptage des donn??es ??lectroniques. Il a ??t?? tr??s influent dans l'avancement de moderne cryptographie dans le monde acad??mique. D??velopp?? dans les ann??es 1970 ?? IBM et bas?? sur une conception plus t??t par Horst Feistel, l'algorithme a ??t?? soumis ?? la National Bureau of Standards (NBS) suite ?? l'invitation de l'agence ?? proposer un candidat ?? la protection des donn??es sensibles, non class??s ??lectroniques gouvernementaux. En 1976, apr??s consultation avec le National Security Agency (NSA), le NBS finalement choisi une version l??g??rement modifi??e, qui a ??t?? publi??e en tant que fonctionnaire Federal Information Processing Standard (FIPS) pour le ??tats-Unis en 1977. La publication d'une norme de cryptage NSA approuv?? entra??n?? simultan??ment ?? son adoption internationale rapide et un examen acad??mique r??pandue. Controverses d??coulaient de ??l??ments de conception class??es, un temps relativement court longueur de la cl?? cl?? sym??trique bloquer la conception de chiffrement, et l'implication de la NSA, nourrissant les soup??ons sur un porte arri??re. L'examen acad??mique intense l'algorithme a re??u au fil du temps conduit ?? la compr??hension moderne de chiffrement par bloc et leur cryptanalyse.

DES est maintenant consid??r?? comme l'ins??curit?? pour de nombreuses applications. Ceci est principalement d?? ?? la taille de la cl?? de 56 bits ??tant trop petit; en Janvier 1999, distributed.net et Electronic Frontier Foundation a collabor?? ?? rompre publiquement une cl?? DES en 22 heures et 15 minutes (voir la chronologie ). Il ya aussi quelques r??sultats analytiques qui d??montrent les faiblesses th??oriques dans le chiffre, m??me si elles sont impossible ?? monter dans la pratique. L'algorithme est consid??r?? comme pratiquement s??curis?? sous la forme de Triple DES, m??me si il ya des attaques th??oriques. Au cours des derni??res ann??es, le chiffre a ??t?? remplac?? par le Advanced Encryption Standard (AES). En outre, DES a ??t?? retir??e comme une norme par le National Institute of Standards and Technology (anciennement le National Bureau of Standards).

Certains documents fait une distinction entre DES comme une norme et DES comme un algorithme, se r??f??rant ?? l'algorithme comme la DEA (Data Encryption Algorithm).

Histoire de DES

Les origines de DES remontent au d??but des ann??es 1970. En 1972, apr??s la conclusion d'une ??tude sur le gouvernement am??ricain de besoins de s??curit?? informatique, l'organisme de normalisation am??ricains NBS (National Bureau of Standards) - nomm??s aujourd'hui NIST (National Institute of Standards and Technology) - ont identifi?? un besoin d'une norme pour le cryptage, les informations sensibles non classifi??es l'??chelle du gouvernement. En cons??quence, le 15 mai 1973, apr??s consultation avec la NSA, NBS a sollicit?? des propositions pour un chiffre qui r??pondent ?? des crit??res de conception rigoureuses. Aucune des soumissions, cependant, se est av??r?? ??tre appropri??. Une deuxi??me demande a ??t?? publi?? le 27 Ao??t 1974. Cette fois, IBM a pr??sent?? un candidat qui a ??t?? jug?? acceptable - un chiffre d??velopp?? pendant la p??riode de 1973 ?? 1974 bas?? sur un algorithme plus t??t, Horst Feistel de Chiffrement Lucifer. L'??quipe IBM impliqu??s dans la conception et l'analyse de chiffrement de Feistel inclus, Walter Tuchman, Don Coppersmith, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, et Bryant Tuckerman.

L'implication des ANE dans la conception

Le 17 Mars 1975, le DES propos?? a ??t?? publi?? au Federal Register. Les commentaires du public ont ??t?? invit??s, et l'ann??e suivante deux ateliers ouverts ont eu lieu pour discuter de la proposition de norme. Il y avait quelques critiques de diverses parties, y compris ?? partir pionniers de cryptographie ?? cl?? publique Martin Hellman et Whitfield Diffie, citant un raccourci longueur de cl?? et le myst??rieux " . "Comme preuve de toute ing??rence de la NSA bo??tes S La suspicion ??tait que l'algorithme avait ??t?? secr??tement affaibli par l'agence de renseignement afin qu'ils - mais personne d'autre - pourrait facilement lire les messages chiffr??s Alan Konheim (l'un des concepteurs. du DES) a comment??, "Nous avons envoy?? les bo??tes S pour Washington. Ils sont revenus et ??taient tous diff??rents "Le. United States Senate Select Committee on Intelligence pass?? en revue les actions de la NSA pour d??terminer se il ya eu toute ing??rence indue. Dans le r??sum?? non classifi?? de leurs r??sultats, publi??s en 1978, le Comit?? a ??crit:

Dans le d??veloppement de DES, NSA convaincu IBM qu'une taille de cl?? r??duite ??tait suffisante; indirectement contribu?? ?? l'??laboration des structures S-box; et certifi?? que l'algorithme DES finale ??tait, au meilleur de leur connaissance, libre de toute faiblesse statistique ou math??matique.

Cependant, il a ??galement constat?? que

NSA ne pas modifier la conception de l'algorithme en aucune fa??on. IBM a invent?? et con??u l'algorithme, prenait toutes les d??cisions pertinentes concernant, et a reconnu que l'accord sur la taille de cl?? ??tait plus que suffisant pour toutes les applications commerciales pour lesquelles le DES a ??t?? destin??.

Un autre membre de l'??quipe DES, Walter Tuchman, a d??clar?? ??Nous avons d??velopp?? l'algorithme DES enti??rement dans IBM utilisant IBMistes. La NSA n'a pas dicter un seul fil!" En revanche, un livre sur l'histoire de la NSA d??classifi?? de cryptologie d??clare:

En 1973 NBS sollicit?? le secteur priv?? pour un niveau de cryptage de donn??es (DES). Les premi??res offres ont ??t?? d??cevants, donc NSA commenc?? ?? travailler sur son propre algorithme. Puis Howard Rosenblum, directeur adjoint de la recherche et de l'ing??nierie, a d??couvert que Walter Tuchman d'IBM travaille sur une modification ?? Lucifer pour un usage g??n??ral. NSA a Tuchman un d??gagement et l'a amen?? ?? travailler conjointement avec l'Agence sur son modification Lucifer ??.

NSA a travaill?? en ??troite collaboration avec IBM pour renforcer l'algorithme contre tous sauf attaques par force brute et de renforcer tables de substitution, appel??es bo??tes S. Inversement, la NSA a tent?? de convaincre IBM pour r??duire la longueur de la cl?? de 64 ?? 48 bits. Finalement, ils compromis sur une cl?? de 56 bits.

Certains des soup??ons sur les faiblesses cach??es dans les bo??tes S ont ??t?? dissip??s en 1990, avec la d??couverte et la publication ind??pendante ouverte par Eli et Biham Adi Shamir cryptanalyse diff??rentielle, une m??thode g??n??rale pour casser le chiffrement par blocs. Les bo??tes S du DES ??taient beaucoup plus r??sistant ?? l'attaque que se ils avaient ??t?? choisis au hasard, sugg??rant fortement que IBM connaissait la technique dans les ann??es 1970. Ce ??tait effectivement le cas; en 1994, Don Coppersmith publi?? quelques-uns des crit??res de conception originaux pour les bo??tes S. Selon Steven Levy, chercheurs IBM Watson a d??couvert cryptanalyses diff??rentielles en 1974 et ont ??t?? invit??s par la NSA ?? garder le secret de la technique. Coppersmith explique la d??cision du secret d'IBM en disant, "ce est parce que [la cryptanalyse diff??rentielle] peut ??tre un outil tr??s puissant, utilis?? contre de nombreux r??gimes, et il ??tait ?? craindre que de telles informations dans le domaine public pourrait nuire ?? la s??curit?? nationale." Levy cite Walter Tuchman:. "[T] hey nous a demand?? d'estampiller tous nos documents confidentiels ... Nous mettons en fait un num??ro sur chacun d'eux et les ont enferm??s dans un coffre-fort, parce qu'ils ??taient consid??r??s gouvernement am??ricain class?? Ils ont dit le faire donc. je l'ai fait ". Bruce Schneier a observ?? que ??Il a fallu la communaut?? universitaire de deux d??cennies pour comprendre que la NSA?? tweaks ??effectivement am??lior?? la s??curit?? du DES."

L'algorithme comme norme

Malgr?? les critiques, DES a ??t?? approuv?? comme norme f??d??rale en Novembre 1976 et publi?? le 15 Janvier 1977 FIPS PUB 46, l'utilisation est autoris??e sur toutes les donn??es non classifi??es. Il a ??t?? r??affirm?? que la norme en 1983, 1988 (r??vis?? en FIPS-46-1), 1993 (FIPS 46-2), et de nouveau en 1999 (FIPS 46-3), cette derni??re prescription " Triple DES ??(voir ci-dessous). Le 26 mai 2002, le DES a finalement ??t?? remplac?? par l'Advanced Encryption Standard (AES), ?? la suite un concours public. Le 19 mai 2005, FIPS 46-3 a ??t?? officiellement retir??e, mais NIST a approuv?? Triple DES long de l'ann??e 2030 pour obtenir des informations sensibles du gouvernement.

L'algorithme est ??galement sp??cifi?? dans la norme ANSI X3.92, NIST SP 800-67 et ISO / CEI 18033-3 (comme une composante de TDEA).

Une autre attaque th??orique, la cryptanalyse lin??aire, a ??t?? publi?? en 1994, mais ce ??tait une attaque en force brute en 1998 qui a d??montr?? que le DES pourrait ??tre attaqu?? tr??s pratique, et a soulign?? la n??cessit?? d'un algorithme de remplacement. Ceux-ci et d'autres modes de cryptanalyse sont discut??s plus en d??tail dans cet article.

L'introduction du DES est consid??r?? comme ayant ??t?? un catalyseur pour l'??tude acad??mique de la cryptographie, en particulier des m??thodes pour casser le chiffrement par blocs. Selon une r??trospective NIST au sujet DES,

Le DES peut ??tre dit avoir "saut a commenc??" l'??tude et le d??veloppement non militaire des algorithmes de cryptage. Dans les ann??es 1970 il y avait tr??s peu de cryptographes, sauf pour ceux dans les organisations militaires ou de renseignement, et peu d'??tudes universitaires de la cryptographie. Il ya maintenant beaucoup cryptographes universitaires actifs, d??partements de math??matiques avec des programmes solides en cryptographie, et de l'information commerciale des entreprises de s??curit?? et les consultants. Une g??n??ration de cryptanalystes a coup?? ses dents analyse (qui essaie de "crack") l'algorithme DES. Dans les mots de cryptographe Bruce Schneier, "DES a fait plus pour galvaniser le domaine de la cryptanalyse qu'autre chose. Il y avait un algorithme d'??tudier." Une part ??tonnante de la litt??rature ouverte en cryptographie dans les ann??es 1970 et 1980 portait sur le DES et le DES est l'aune ?? laquelle chaque algorithme ?? cl?? sym??trique depuis a ??t?? compar??.

Chronologie

Date	Ann??e	??v??nement
15 mai	1973	NBS publie une premi??re demande d'un algorithme de cryptage standard
27 Ao??t	1974	NBS publie une deuxi??me demande d'algorithmes de chiffrement
17 Mars	1975	DES est publi?? dans le Federal Register pour commentaires
Ao??t	1976	Premier atelier sur le DES
Septembre	1976	Deuxi??me atelier, discuter base math??matique du DES
Novembre	1976	DES est approuv?? comme norme
15 Janvier	1977	DES est publi?? en tant que norme FIPS PUB standard FIPS 46
	1983	DES est r??affirm?? pour la premi??re fois
	1986	Videocipher II, un syst??me de brouillage de la t??l??vision par satellite bas??e sur DES, commence ?? utiliser par HBO
22 Janvier	1988	DES est r??affirm?? pour la deuxi??me fois que FIPS 46-1, rempla??ant FIPS PUB 46
Juillet	1991	Biham et Shamir red??couvrir cryptanalyse diff??rentielle, et l'appliquer ?? un syst??me de chiffrement de 15 rondes DES-like.
	1992	Biham et Shamir rapportent la premi??re attaque th??orique avec moins de complexit?? que la force brutale: cryptanalyse diff??rentielle. Cependant, il n??cessite irr??aliste 2 ⁴⁷ plaintexts choisis.
30 D??cembre	1993	DES est r??affirm?? pour la troisi??me fois que la norme FIPS 46-2
	1994	La premi??re cryptanalyse exp??rimentale du DES est effectu??e en utilisant la cryptanalyse lin??aire (Matsui, 1994).
Juin	1997	Le DESCHALL projet casse un message crypt?? avec DES pour la premi??re fois en public.
Juillet	1998	Le FEP de DES cracker (Deep Crack) rompt une cl?? DES en 56 heures.
Janvier	1999	Ensemble, Crack et profonde distributed.net casser une cl?? DES en 22 heures et 15 minutes.
25 Octobre	1999	DES est r??affirm?? pour la quatri??me fois que FIPS 46-3, qui sp??cifie l'utilisation pr??f??r??e de Triple DES, avec un seul DES autoris??e que dans les syst??mes existants.
26 Novembre	2001	Le Advanced Encryption Standard est publi?? dans la norme FIPS 197
26 mai	2002	L'AES devient effective
26 Juillet	2004	Le retrait de FIPS 46-3 (et un couple de normes connexes) est propos?? dans le Federal Register
19 mai	2005	NIST FIPS 46-3 retire (voir Federal Register vol 70, num??ro 96)
Avril	2006	Le FPGA machine parall??le base Copacobana des Universit??s de Bochum et Kiel, en Allemagne, rompt DES en neuf jours ?? $ 10,000 co??t du mat??riel. Moins d'un an am??liorations logicielles ont r??duit le d??lai moyen de 6,4 jours.
Novembre	2008	Le successeur de Copacabana, la machine de RIVYERA r??duit le d??lai moyen de moins d'un seul jour.

Description

Figure 1 - La structure globale de Feistel DES

Par souci de concision, la description suivante omet les transformations et les permutations exactes qui sp??cifient l'algorithme; pour r??f??rence, les d??tails peuvent ??tre trouv??s dans Constantes du DES.

DES est l'arch??type chiffrement par bloc - un algorithme qui prend une cha??ne de longueur fixe les bits de texte en clair et le transforme ?? travers une s??rie d'op??rations complexes dans un autre cryptogramme cha??ne binaire de la m??me longueur. Dans le cas du DES, le la taille des blocs est de 64 bits. DES utilise ??galement un cl?? de personnaliser la transformation, de sorte que le d??cryptage peut cens??ment ??tre effectu??e que par ceux qui connaissent la cl?? particulier utilis?? pour crypter. La cl?? consiste ostensiblement de 64 bits; Toutefois, seulement 56 d'entre eux sont effectivement utilis??s par l'algorithme. Huit bits sont utilis??s uniquement pour v??rifier la parit??, et sont par la suite mis au rebut. D'o?? l'efficacit?? longueur de cl?? est de 56 bits, et il est toujours cit?? en tant que tel.

La cl?? est nominalement stock??es ou transmises 8 octets, chacune avec une parit?? impaire. Selon ANSI X3.92-1981, section 3.5:

Un bit dans chaque octet de 8 bits de la cl?? peut ??tre utilis??e pour la d??tection d'erreur dans la g??n??ration de cl??s, la distribution et le stockage. Bits 8, 16, ..., 64 sont pour une utilisation ?? faire en sorte que chaque octet est de parit?? impaire.

Comme d'autres algorithmes de type bloc, DES par lui-m??me ne est pas un moyen s??r de cryptage, mais doit plut??t ??tre utilis?? dans un mode de fonctionnement. FIPS 81 sp??cifie plusieurs modes d'utilisation avec DES. Autres commentaires sur l'utilisation de DES sont contenues dans la norme FIPS-74.

Structure g??n??rale

La structure globale de l'algorithme est illustr?? ?? la figure 1: il ya 16 stades identiques de traitement, appel?? tours. Il ya aussi une premi??re et derni??re permutation , appel??e IP et FP, qui sont inverses (IP "annule" l'action de la FP, et vice versa). IP et FP ont pratiquement aucune signification cryptographique, mais ont apparemment ??t?? inclus afin de faciliter blocs de chargement dans et hors du mat??riel milieu des ann??es 1970.

Avant que les principales s??ries, le bloc est divis?? en deux moiti??s de 32 bits et trait??es en alternance; ce entrecroisement est connu comme le Sch??ma de Feistel. La structure de Feistel assure que le d??cryptage et de cryptage sont des processus tr??s similaires - la seule diff??rence est que les sous-cl??s sont appliqu??es dans l'ordre inverse lors du d??chiffrement. Le reste de l'algorithme est identique. Cela simplifie grandement la mise en oeuvre, en particulier dans le mat??riel, car il ne est pas n??cessaire pour les algorithmes de chiffrement et de d??chiffrement diff??rentes.

Le symbole ⊕ d??signe le OU exclusif (XOR). La fonction F brouille un demi-bloc avec une partie de la cl??. La sortie de la fonction F est ensuite combin?? avec l'autre moiti?? du bloc, et les moiti??s sont ??chang?? avant la prochaine ronde. Apr??s la ronde finale, les moiti??s sont ??chang??s; ce est une caract??ristique de la structure de Feistel qui rend cryptage et de d??cryptage des proc??d??s similaires.

La fonction de Feistel (F)

La fonction F, repr??sent??e sur la figure 2, fonctionne sur une moiti?? d'un bloc (32 bits) ?? la fois et se compose de quatre ??tapes:

Figure 2 -La fonction de Feistel (F-fonction) du DES

Expansion - la demi-bloc de 32 bits est ??tendue ?? 48 bits en utilisant la permutation d'extension, not?? E dans le diagramme, en reproduisant la moiti?? des bits. La sortie se compose de huit bits 6 (8 * 6 = 48 bits) pi??ces, chacune contenant une copie de quatre bits d'entr??e correspondants, en plus d'une copie du bit imm??diatement adjacente de chacun des ??l??ments d'entr??e de chaque c??t??.
M??lange Key - le r??sultat est combin?? avec une sous-cl?? en utilisant une op??ration XOR. 16 sous-cl??s 48 bits - une pour chaque tour - sont d??riv??es de la cl?? principale en utilisant le calendrier cl?? (d??crit ci-dessous).
Remplacement - apr??s m??lange dans la sous-cl??, le bloc est divis?? en huit morceaux de 6 bits avant le traitement par le S-bo??tes, ou des bo??tes de substitution. Chacun des huit bo??tes S remplace ses six bits d'entr??e avec quatre bits de sortie en fonction d'une transformation non lin??aire, fournie sous la forme d'un table de consultation. Les bo??tes S fournissent la base de la s??curit?? du DES - sans eux, le chiffre serait lin??aire, et trivialement cassable.
Permutation - enfin, les 32 sorties des bo??tes S sont r??organis??s selon un fixe permutation , la bo??te de P. Ce est con??u pour les bits de sortie de ce, apr??s permutation, chaque S-box sont r??partis dans six bo??tes S diff??rentes dans la prochaine ronde.

L'alternance de substitution des bo??tes S et permutation de bits de la bo??te de P et E-extension met soi-disant " confusion et la diffusion ??, respectivement, un concept identifi?? par Claude Shannon dans les ann??es 1940 comme une condition n??cessaire pour un chiffre s??curis?? et pratique.

Calendrier Key

Figure 3 - La cl??-horaire du DES

La figure 3 illustre le programme cl?? pour le cryptage - l'algorithme qui g??n??re les sous-cl??s. Initialement, 56 bits de la cl?? sont choisis dans le 64 premier choix permut?? par 1 (PC-1) - les huit bits restants sont soit rejet??es soit utilis??es comme contr??le de parit?? bits. Les 56 bits sont ensuite divis??s en deux moiti??s de 28 bits; chaque moiti?? est ensuite trait??e s??par??ment. Dans les rondes successives, les deux moiti??s sont tourn??s laiss??s par un ou deux bits (sp??cifi??es pour chaque tour), puis 48 bits de sous-cl?? sont s??lectionn??s par permut?? Choix 2 (PC-2) - 24 bits ?? partir de la moiti?? gauche, et 24 de la droite . Les rotations (d??sign??s par ??<<<?? dans le diagramme) signifient qu'un ensemble diff??rent de bits est utilis?? dans chaque sous-cl??; chaque bit est utilis?? dans environ 14 des 16 sous-cl??s.

Le calendrier cl?? pour le d??cryptage est similaire - les sous-cl??s sont dans l'ordre inverse par rapport au chiffrement. En dehors de cette modification, le processus est le m??me que pour le chiffrement. Les m??mes 28 bits sont transmis ?? toutes les bo??tes de rotation.

La s??curit?? et la cryptanalyse

Bien que plus d'informations a ??t?? publi?? sur le cryptanalyse du DES que tout autre chiffrement par bloc, l'attaque la plus pratique ?? ce jour est encore une approche de force brute. Diverses propri??t??s cryptanalyse mineurs sont connus, et trois attaques th??oriques sont possibles qui, tout en ayant une complexit?? th??orique inf??rieur ?? une attaque en force brute, n??cessitent un nombre irr??aliste de connu ou plaintexts choisis pour mener ?? bien, et ne sont pas un sujet de pr??occupation dans la pratique.

Attaque en force brute

Pour tout chiffre, la m??thode la plus basique d'attaque est la force brute - d'essayer toutes les cl??s possibles ?? son tour. Le longueur de la cl?? d??termine le nombre de cl??s possibles, et par cons??quent la faisabilit?? de cette approche. Pour DES, des questions ont ??t?? soulev??es quant ?? la pertinence de sa taille de cl?? d??s le d??but, avant m??me qu'elle a ??t?? adopt??e comme une norme, et ce ??tait la cl?? de petite taille, plut??t que th??orique cryptanalyse, qui a dict?? la n??cessit?? d'un algorithme de remplacement. ?? la suite de discussions men??es ?? l'externe, y compris la NSA, la taille de cl?? a ??t?? r??duit de 128 bits ?? 56 bits pour tenir sur une seule puce.

Le 250.000 US $ de l'EFF DES linge fissuration contenait 1856 puces personnalis??es et pourrait la force brutale une cl?? DES en quelques jours - la photo montre une carte de circuit imprim?? DES Cracker ??quip?? de plusieurs puces de profonde fissure.

Dans le milieu universitaire, diverses propositions pour une machine DES-fissuration ont ??t?? avanc??es. En 1977, Diffie et Hellman ont propos?? une machine un co??t estim?? ?? 20 millions de dollars qui pourrait trouver une cl?? DES en un seul jour. En 1993, Wiener avait propos?? une machine ?? cl?? la recherche d'un co??t de $ 1,000,000 qui trouverait une cl?? au sein de sept heures. Cependant, aucun de ces premi??res propositions ont ??t?? mis en ??uvre ou jamais, au moins, aucun impl??mentations ont ??t?? reconnus publiquement. La vuln??rabilit?? du DES a ??t?? pratiquement d??montr?? dans les ann??es 1990. En 1997, RSA Security a parrain?? une s??rie de concours, offrant un prix de 10.000 $ ?? la premi??re ??quipe qui a battu un message crypt?? avec DES pour le concours. Ce concours a ??t?? remport?? par le Projet DESCHALL, dirig?? par Rocke Verser, Matt Curtin, et Justin Dolske, utilisant des cycles de repos de milliers d'ordinateurs ?? travers l'Internet. La faisabilit?? de fissuration DES rapidement a ??t?? d??montr??e en 1998 quand une coutume DES-pirate a ??t?? construit par le Electronic Frontier Foundation (EFF), un groupe civile cyberespace de l'homme, au co??t d'environ US $ 250 000 (voir EFF DES cracker). Leur motivation ??tait de montrer que le DES ??tait cassable dans la pratique ainsi que dans la th??orie: ??Il ya beaucoup de gens qui ne croient pas une v??rit?? jusqu'?? ce qu'ils puissent voir de leurs propres yeux leur montrant une machine physique qui peut se fissurer DES en quelques-uns. jour est la seule fa??on de convaincre certaines personnes qu'ils peuvent vraiment pas faire confiance ?? leur s??curit?? au DES. " La machine brute forc?? une cl?? dans une petite recherche de plus de 2 jours.

La prochaine casseur de DES confirm?? a ??t?? la machine de Copacobana construit en 2006 par les ??quipes de la Universit??s de Bochum et Kiel, tant en Allemagne . Contrairement ?? la machine FEP, Copacobana compose de disponibles dans le commerce, les circuits int??gr??s reconfigurables. 120 de ceux-ci field-programmable gate arrays (FPGA) de type FPGA Spartan-3 1000 fonctionner en parall??le. Elles sont regroup??es en 20 modules DIMM, contenant chacune 6 FPGA. L'utilisation de mat??riel reconfigurable rend la machine applicable ?? d'autres t??ches de code brisant ainsi. Un des aspects les plus int??ressants de Copacobana est le facteur de co??t. Une machine peut ??tre construite pour environ $ 10,000. La diminution des co??ts d'environ un facteur de 25 sur la machine FEP est un exemple de l'am??lioration continue de mat??riel num??rique. R??glage de l'inflation plus de 8 ans donne une am??lioration encore plus ??lev?? d'environ 30x. Depuis 2007, SciEngines GmbH, une entreprise spin-off des deux partenaires de Copacobana du projet a am??lior?? et d??velopp?? successeurs de Copacabana. En 2008, leur Copacobana RIVYERA r??duit le temps de casser DES ?? moins d'un jour, en utilisant 128 Spartan-3 de 5000. Actuellement SciEngines RIVYERA d??tient le record de brute-force de rupture DES, ayant utilis?? 128 Spartan-3 5000 FPGA. Leur 256 Spartan-6 mod??le LX150 a m??me r??duit cette fois.

Attaques plus rapidement que la force brute

Il ya trois attaques connues qui peuvent briser les 16 tours complets de DES avec moins de complexit?? que la recherche par force brute: cryptanalyse diff??rentiel (DC), la cryptanalyse lin??aire (LC), et L'attaque de Davies. Cependant, les attaques sont th??oriques et ne sont pas r??alisables ?? monter dans la pratique; ces types d'attaques sont parfois appel??s faiblesses certificational.

Cryptanalyse diff??rentiel a ??t?? red??couvert ?? la fin des ann??es 1980 par Eli et Biham Adi Shamir; il a ??t?? connu plus t??t pour IBM et la NSA et gard??e secr??te. Pour briser les pleins 16 tours, la cryptanalyse diff??rentielle n??cessite deux ⁴⁹ plaintexts choisis. DES a ??t?? con??u pour ??tre r??sistant ?? courant continu.
Cryptanalyse lin??aire a ??t?? d??couvert par Mitsuru Matsui, et doit 2 ⁴³ plaintexts connus (Matsui, 1993); la m??thode a ??t?? mise en ??uvre (Matsui, 1994), et fut le premier cryptanalyse exp??rimentale de DES pour ??tre signal??. Il ne existe aucune preuve que le DES a ??t?? adapt?? pour ??tre r??sistant ?? ce type d'attaque. Une g??n??ralisation de LC - cryptanalyse lin??aire multiple - a ??t?? sugg??r?? en 1994 (Kaliski et Robshaw), et a ??t?? affin??e par Biryukov et d'autres. (2004); leur analyse sugg??re que de multiples approximations lin??aires pourraient ??tre utilis??s pour r??duire les exigences en mati??re de donn??es de l'attaque par au moins un facteur de 4 (ce est-2 ^{41 43} au lieu de 2). Une r??duction similaire de la complexit?? des donn??es peut ??tre obtenue dans un texte clair choisi variante de cryptanalyse lin??aire (Knudsen et Mathiassen, 2000). Junod (2001) a effectu?? plusieurs exp??riences pour d??terminer la complexit?? en temps r??el de la cryptanalyse lin??aire, et a indiqu?? que ce ??tait un peu plus rapide que pr??vu, exigeant du temps ??quivalent ?? deux ??valuations ³⁹ -2 ⁴¹ DES.
Am??lioration Davies de l'attaque: alors que la cryptanalyse lin??aire et diff??rentielle sont techniques g??n??rales et peuvent ??tre appliqu??es ?? un certain nombre de programmes, Davies de l'attaque est une technique sp??cialis??e pour DES, d'abord sugg??r?? par Donald Davies dans les ann??es quatre-vingt, et am??lior?? par Biham et Biryukov (1997). La forme la plus puissante de l'attaque n??cessite 2 ⁵⁰ plaintexts connus, a une complexit?? de calcul de 2 ^{?? 50,} et a un taux de r??ussite de 51%.

Il ya ??galement eu des attaques contre les versions propos??es r??duite rondes du chiffre, ce est-versions de DES avec moins de 16 tours. Cette analyse donne un aper??u de combien de tours sont n??cessaires pour la s??curit??, et combien d'une "marge de s??curit??" conserve la version compl??te. cryptanalyse diff??rentielle lin??aire a ??t?? propos?? par Langford et Hellman en 1994, et combine cryptanalyse diff??rentielle et lin??aire dans une seule attaque. Une version am??lior??e de l'attaque peut briser 9 ronde DES avec deux ^15,8 plaintexts connus et a une complexit?? en temps 2 ^29.2 (Biham et d'autres, 2002).

Propri??t??s cryptanalyse mineures

DES pr??sente la propri??t?? de compl??mentation, ?? savoir que

$E K (P) = C \ leftrightarrow E _ {\ overline {K}} (\ overline {P}) = \ overline {C}$

o?? $\ Overline {x}$ est le au niveau du bit de compl??ment $x.$ $E K$ d??signe le chiffrement ?? cl?? $K.$ $P$ et $C$ d??signer en clair et chiffr?? blocs respectivement. La propri??t?? de compl??mentation signifie que le travail pour une attaque en force brute pourrait ??tre r??duit par un facteur de 2 (ou un seul bit) en vertu d'un hypoth??se texte choisi. Par d??finition, cette propri??t?? se applique aussi aux r??seaux TDES chiffrement.

DES a aussi quatre dite cl??s faibles. Encryption (E) et le d??cryptage (D) sous une touche faibles ont le m??me effet (voir involution):

$E K (E K (P)) = P$ ou de fa??on ??quivalente, $E K = D_K.$

Il ya aussi six paires de touches semi-faibles. Cryptage avec une de la paire de cl??s semi-faible, $K_1$ , Fonctionne de mani??re identique ?? d??cryptage avec l'autre, $K_2$ :

$E_ {} K_1 (E_ {} K_2 (P)) = P$ ou de fa??on ??quivalente, $E_ {} = K_2 D_ {} K_1.$

Il est assez facile d'??viter les cl??s faibles et semi-faible dans une mise en ??uvre, soit en testant pour eux explicitement, ou tout simplement en choisissant les touches au hasard; les chances de choisir une cl?? faible ou semi-faible par hasard sont n??gligeables. Les touches ne sont pas vraiment de plus faible que d'autres touches de toute fa??on, car ils ne donnent pas une attaque quelconque avantage.

DES a ??galement ??t?? prouv?? ne pas ??tre un groupe , ou plus pr??cis??ment, l'ensemble $\ {E K \}$ (Pour toutes les cl??s possibles $K$ ) Sous composition fonctionnelle ne est pas un groupe, ni "fermer" pour ??tre un groupe. Ce ??tait une question ouverte pendant un certain temps, et si elle avait ??t?? le cas, il aurait ??t?? possible de casser DES, et plusieurs modes tels que de chiffrement Triple DES ne serait pas augmenter la s??curit??.

Il est connu que le maximum de s??curit?? cryptographique DES est limit??e ?? environ 64 bits, m??me au moment de choisir de fa??on ind??pendante tous les sous-cl??s ronds au lieu de les d??river ?? partir d'une cl??, qui, sinon, permettre une s??curit?? de 768 bits.

algorithmes de remplacement

Les pr??occupations concernant la s??curit?? et la relativement lent fonctionnement de DES en logiciels motiv?? les chercheurs ?? proposer une vari??t?? de solution de rechange bloquer conceptions de chiffrement, qui ont commenc?? ?? appara??tre dans les ann??es 1980 et au d??but des ann??es 1990: exemples RC5, Blowfish, IDEA, NewDES, SAFER, CAST5 et FEAL. La plupart de ces dessins ou mod??les tenu de la taille de bloc de 64 bits du DES, et pourrait agir comme un remplacement "drop-in??, m??me se ils g??n??ralement utilis??s une cl?? de 64 bits ou 128 bits. Dans l' URSS de la GOST 28147-89 algorithme a ??t?? introduite, avec une taille de bloc de 64 bits et une cl?? de 256 bits, qui a ??t?? ??galement utilis?? dans la Russie plus tard.

DES lui-m??me peut ??tre adapt?? et r??utilis?? dans un syst??me plus s??r. Beaucoup d'anciens utilisateurs DES utilisent maintenant Triple DES (TDES) qui a ??t?? d??crite et analys??e par l'un des titulaires de brevets de DES (voir La norme FIPS PUB 46-3); il consiste ?? appliquer DES trois fois avec deux (2TDES) ou trois (3TDES) cl??s diff??rentes. TDES est consid??r?? comme bien s??curiser, m??me se il est assez lent. Une alternative est cher moins de calcul DES-X, ce qui augmente la taille de la cl?? par XOR mat??riau cl?? suppl??mentaire avant et apr??s DES. GDES ??tait une variante DES propos??e comme un moyen d'acc??l??rer le cryptage, mais il a ??t?? montr?? pour ??tre sensibles ?? la diff??rence de la cryptanalyse.

En 2001, apr??s un concours international, le NIST a choisi un nouveau chiffre, Advanced Encryption Standard (AES), comme un remplacement. L'algorithme qui a ??t?? choisi comme l'AES a ??t?? pr??sent??e par ses concepteurs sous le nom Rijndael. Les autres finalistes dans le NIST La concurrence AES inclus RC6, Serpent, MARS, et Twofish.

R??cup??r?? ?? partir de " http://en.wikipedia.org/w/index.php?title=Data_Encryption_Standard&oldid=542993100 "