1.6.4. Стойкость алгоритма des
С самого начала использования алгоритма DES криптоаналитики всего мира прилагали множество усилий по его взлому. Фактически DES дал невиданный доселе толчок развитию криптоанализа. Вышли сотни трудов, посвященных различным методам криптоанализа именно в приложении к алгоритму DES. Можно утверждать, что именно благодаря DES появились целые направления криптоанализа, такие как:
-
линейный криптоанализ;
-
дифференциальный криптоанализ;
-
криптоанализ на связанных ключах.
Основными результатами усилий по взлому DES можно считать следующие:
-
Японский специалист Мицуру Мацуи (Mitsuru Matsui), изобретатель линейного криптоанализа, в 1993 г. доказал возможность вычисления ключа шифрования DES методом линейного криптоанализа при наличии у атакующего
пар известных открытых текстов и
соответствующих им шифротекстов. -
Криптологи из Израиля – изобретатели дифференциального криптоанализа Эли Бихам и Эди Шамир (считается, что дифференциальный криптоанализ был известен АНБ США еще в 1970-х гг., однако, именно Бихам и Шамир сформулировали данный вид атак ) – в 1991 г. представили атаку, в которой ключ шифрования вычисляется методом дифференциального криптоанализа при наличии у атакующего возможности генерации
пар выбранных открытых текстов. -
В 1994 г. Эли Бихам и Алекс Бирюков усилили известный с 1987 г. метод вычисления ключа DES – метод Дэвиса (Davies), основанный на специфических свойствах таблиц замен DES. Усиленный метод позволяет вычислить 6 битов ключа DES (остальные 50 битов – полным перебором возможных вариантов) при наличии
пар известных открытых текстов и
шифротекстов или вычислить 24 бита ключа
при наличии
пар.
В дальнейшем эти
атаки были несколько усилены (например
атака линейным криптоанализом при
наличии
пар известных открытых текстов вместо
),
появились также новые виды атак на DES
(например, атака, позволяющая вычислить
ключ высокоточным облучением аппаратного
шифратора и последующим анализом ошибок
шифрования). Однако стоит сказать, что
все эти атаки требуют наличия огромного
количества пар «открытый текст /
шифротекст», получение которых на
практике является настолько трудоемкой
операцией, что наиболее эффективной
атакой на DES
считается полный перебор возможных
вариантов ключа шифрования. Причем с
развитием компьютерной техники полный
перебор ключа становился все более
реальным. В 1993 г. Майкл Винер (Michael
Wiener)
разработал принципы построения
специализированного компьютера
стоимостью порядка 1 млн. долларов,
способного перебрать ключи DES
за 3,5 часа. Причем такой компьютер имел
возможность масштабирования – при не
фантастических для крупной организации
или спецслужбы затратах порядка 10 млн.
долларов полный перебор ключа DES
должен был занять не более 21 минуты.
Абсолютно ясно, что сейчас такой компьютер
стоил бы намного дешевле.
Этот результат продемонстрировал, что с учетом уровня вычислительных технологий конца 1990-х годов 56-битный ключ слишком короток для обеспечения стойкости шифра с секретным ключом.
1.7. Режимы работы блочных шифров
1.7.1. Режимы работы алгоритма DES
Блочный шифр, подобный DES можно по-разному использовать для шифрования данных. Вскоре после DES в США был принят еще один федеральный стандарт [8], рекомендующий четыре способа эксплуатации алгоритма DES для шифрования данных. С тех пор эти режимы стали общепринятыми и применяются с любыми блочными шифрами. Перечислим их.
-
ECB (Electronic Code Book) – электронная кодовая книга.
-
CBC (Cipher Block Chaining) – сцепление блоков шифра.
-
CFB (Cipher Feed Back) – обратная связь по шифротексту.
-
OFB (Output Feed Back) – обратная связь по выходу.
Рассмотренные далее режимы не привязаны к конкретному алгоритму – фактически любые алгоритмы блочного симметричного шифрования могут быть использованы (и используются) в данных режимах работы.