El estándar de encripción de datos del (DES ) es una cifra (un método para el que cifra la información de ) seleccionada como tratamiento de la información federal oficial estándar (PAA) para el Estados Unidos en 1976, y que ha disfrutado posteriormente de uso extenso internacionalmente. El algoritmo era inicialmente polémico, con los elementos clasificados del diseño de, una longitud dominante relativamente corto, y las suspicacias sobre una puerta de atrás nacional de la agencia de seguridad (NSA). El DES por lo tanto vino bajo escrutinio académico intenso, y motivó la comprensión moderna de las cifras de bloque y de su criptoanálisis .

El DES ahora se considera ser inseguro para muchos usos. Esto es principalmente debido al tamaño dominante de 56 pedacitos que es demasiado pequeño; Las llaves del DES han estado quebradas sobre menos de 24 horas. Hay también algunos resultados analíticos que demuestran debilidades teóricas en la cifra, aunque sean infeasible montar en la práctica. El algoritmo se cree para ser prácticamente seguro bajo la forma de DES triple, aunque haya ataques teóricos. Estos últimos años, la cifra ha sido reemplazada por la encripción avanzada estándar (AES).

En una cierta documentación, una distinción se hace entre el DES mientras que un estándar, y el algoritmo, que se refiere como el DEA (el algoritmo de encripción de datos del ). Cuando está hablado, " DES" o se explica ( ɛs del iː del diː ) o pronunciado como sola sílaba ( dɛs ).

Historia del DES

Los orígenes del DES vuelven a las comienzos de los años 70. En 1972, después de concluir un estudio en la seguridad de computadora del gobierno de los E. necesita, el NBS (oficina nacional de estándares) - ahora nombrado NIST (National Institute of Standards and Technology) del cuerpo de estándares de los E. - identificó una necesidad de un estándar de todo el gobierno para cifrar sin clasificar, información delicada. Por consiguiente, en el el 1973 del 15 de mayo, después de consultar con el NSA, NBS solicitó las ofertas para una cifra que cumpliría criterios rigurosos de diseño. Ningunas de las sumisiones, sin embargo, resultaron ser convenientes. Una segunda petición fue publicada en el 1974 del 27 de agosto . Esta vez, IBM sometió a candidato que era juzgado aceptable, una cifra desarrollada durante el período 1973-1974 basado en un algoritmo anterior, cifra de Lucifer de s de Feistel Horst '. El equipo en IBM implicado en diseño y análisis de la cifra incluyó Feistel, el Gualterio Tuchman, el calderero de Don, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, y el Bryant Tuckerman .

Implicación del NSA en el diseño

El el el 17 de marzo, el 1975, el DES propuesto fue publicado en el registro federal . Los comentarios públicos fueron pedidos, y en el año dos siguientes los talleres abiertos fueron sostenidos para discutir el estándar propuesto. Había un ciertas críticas de los varios partidos, incluyendo Martin Hellman de los pioneros de la criptografía de la Público-llave y Whitfield Diffie, citando una longitud dominante acortada y el " misterioso; Quot de los S-boxes ; como evidencia de interferencia incorrecta del NSA. La suspicacia era que el algoritmo había sido debilitado secretamente por la agencia de inteligencia de modo que ellos — pero &mdash de nadie más; podía leer fácilmente mensajes cifrados. Alan Konheim (uno de los diseñadores del DES) comentó, " Enviamos los S-boxes a Washington. Se volvieron y eran todos los different." El comité selecto del senado de Estados Unidos sobre la inteligencia repasó las acciones del NSA para determinar si había habido cualquier implicación incorrecta. En el resumen sin clasificar de sus resultados, publicado en 1978, el comité escribió: " del ; En el desarrollo del DES, el NSA convenció el IBM de que un tamaño dominante reducido era suficiente; asistido indirectamente al desarrollo de las estructuras del S-box; y certificado que el algoritmo final del DES estaba, al mejor de su conocimiento, liberar de cualquier weakness." estadístico o matemático; Sin embargo, también encontró ese " del ; El NSA no trató de forzar con el diseño del algoritmo de ninguna manera. IBM inventó y diseñó el algoritmo, tomó todas las decisiones pertinentes con respecto le, y concurrió que era el tamaño dominante convenido en más que adecuado para todos los usos comerciales para los cuales el DES era intended." Cotizan otro miembro del equipo del DES, Gualterio Tuchman, como diciendo, " Desarrollamos el algoritmo del DES enteramente dentro de IBM usar IBMers. ¡El NSA no dictó un solo alambre! "

Algunas de las suspicacias sobre debilidades ocultadas en los S-boxes fueron aliviadas en 1990, con el descubrimiento independiente y abren la publicación por el Eli Biham y el Adi Shamir del criptoanálisis diferenciado, un método general para romper cifras de bloque. Los S-boxes del DES eran mucho más resistentes al ataque que si habían sido elegidos al azar, sugiriendo fuerte que IBM sabía sobre la técnica detrás en los años 70. Éste era de hecho el &mdash del caso; en 1994, el calderero de Don publicó los criterios de diseño originales para los S-boxes. Según la recaudación de Steven, los investigadores de IBM Watson descubrieron ataques cryptanalytic diferenciados en 1974 y fueron pedidos por el NSA mantener la técnica secreta. El calderero explica la decisión del secreto de IBM diciendo, " eso era porque el criptoanálisis puede ser una herramienta muy de gran alcance, utilizó contra muchos esquemas, y había preocupación que tal información en el public domain podría afectar al contrario a security." nacional; La recaudación cotiza a Gualterio Tuchman: " hey pidió que estampáramos todos nuestros documentos confidenciales… Pusimos un número en cada uno y los trabamos realmente para arriba en cajas fuertes, porque eran considerados gobierno de los E. Hice tan el it". Shamir mismo comentó, " Diría que, contrariamente a lo que alguna cree gente, no hay evidencia de tratar de forzar con el DES de modo que el diseño básico fuera weakened."

El otro &mdash de las críticas; que la longitud dominante era &mdash demasiado corto; fue apoyado por el hecho de que la razón dada por el NSA para reducir la longitud dominante a partir de 64 pedacitos a 56 era que los otros 8 pedacitos podrían servir como pedacitos de la paridad, que parecían algo engañosos. Fue creído extensamente que la decisión del NSA fue motivada por la posibilidad que podrían al ataque de la fuerza bruta a la llave de 56 pedacitos varios años antes de que el resto del mundo.

El algoritmo como estándar

A pesar de las críticas, el DES fue aprobado como estándar federal en noviembre de 1976, y publicado en el 1977 del 15 de enero como FIPS PUB 46, autorizado para el uso en todos los datos sin clasificar. Fue reafirmado posteriormente como el estándar en 1983, 1988 (revisado como FIPS-46-1 ), 1993 (el FIPS-46-2 ), y otra vez en 1998 (el FIPS-46-3 ), el 3ultimo " que prescribía; " del DES triple ; (véase abajo). En el el 2002 del 26 de mayo, DES finalmente fue reemplazado por AES, el estándar avanzado de la encripción, siguiendo una competición pública (véase el AES de proceso). Incluso sigue habiendo el en fecha 2004, sin embargo, DES en uso extenso. El 19 de mayo de 2005, los PAA 46-3 fueron retirados oficialmente, pero el NIST ha aprobado DES triple con el año 2030 para la información de gobierno sensible.

Otro ataque teórico, criptoanálisis linear, fue publicado en 1994, pero era un ataque de la fuerza bruta en 1998 que demostró que el DES se podría atacar muy prácticamente, y destacó la necesidad de un algoritmo del reemplazo. Éstos y otros métodos del criptoanálisis se discuten más detalladamente más adelante en el artículo.

La introducción de DES se considera haber sido un catalizador para el estudio académico de la criptografía, particularmente de métodos a las cifras de bloque crack. Según una retrospectiva del NIST sobre el DES, el El DES se puede decir para tener " saltar el started" el estudio y el desarrollo no militares de los algoritmos de encripción. En los años 70 había muy pocos criptógrafos, a excepción de ésos en organizaciones de los militares o de la inteligencia, y poco estudio académico de la criptografía. Ahora hay muchos cryptologists académicos activos, departamentos de matemáticas con programas fuertes en criptografía, y compañías y consultores comerciales de seguridad de información. Una generación de criptoanalistas ha cortado su analizar de los dientes (que está intentando al " crack") el algoritmo del DES. En las palabras Bruce Schneier, " del criptógrafo; El DES hizo más para galvanizar el campo del criptoanálisis que todo lo demás. Ahora había un algoritmo a study." Una parte asombrosa de la literatura abierta en criptografía en los años 70 y los años 80 trató del DES, y el DES es el estándar contra el cual cada algoritmo dominante simétrico puesto que se ha comparado.

Cronología

Algoritmos del reemplazo

Las preocupaciones por seguridad y la operación relativamente lenta del DES en el software motivaron a investigadores para proponer una variedad de diseños alternativos de la cifra de bloque, que comenzaron a aparecer a el final de los '80 y a principio de los 90: los ejemplos incluyen el RC5, el Blowfish, la IDEA, el NewDES, el un MÁS SEGURO, el CAST5 y el FEAL. La mayor parte de estos diseños guardaron el tamaño de bloque 64-bit del DES, y podían actuar como " gota-in" reemplazo, aunque utilizaran típicamente una llave 64-bit o de 128 pedacitos. En el URSS el algoritmo del GOST 28147-89 fue introducido, con un tamaño de bloque 64-bit y un pedacito 256 dominantes, que también fue utilizado en el Rusia más adelante.

El DES sí mismo se puede adaptar y reutilizar en un esquema más seguro. Muchos usuarios anteriores del DES ahora utilizan el DES triple (TDES) que fue descrito y analizado por uno de los poseedores de una patente del DES (véase el Pub 46-3 de los PAA ); implica el aplicar del DES tres veces con dos (2TDES) o tres (3TDES) diversas llaves. TDES se mira como adecuado seguro, aunque sea absolutamente lento. Una alternativa costosa es menos de cómputo el DES-X, que aumenta el tamaño dominante en el material dominante adicional de XORing antes y después del DES. El GDES era una variante del DES propuesta como manera de acelerar la encripción, pero fue demostrado para ser susceptible al criptoanálisis diferenciado.

En 2001, después de una competición internacional, el NIST seleccionó una nueva cifra, la encripción avanzada estándar (AES), como reemplazo. El algoritmo que fue seleccionado mientras que el AES fue sometido por sus diseñadores bajo el nombre el Rijndael . Otros finalistas en la competición AES del NIST incluyeron el RC6, serpiente, MARTE, Twofish .

Descripción

el del para la brevedad, la descripción siguiente omite las transformaciones y las permutaciones exactas que especifican el algoritmo; para la referencia, los detalles se pueden encontrar en el material suplementario del DES. El DES es la cifra de bloque arquetipo - un algoritmo que tome una cadena de longitud fija de pedacitos del Plaintext y la transforme con una serie de operaciones complicadas en otro bitstring del texto cifrado de la misma longitud. En el caso del DES, el tamaño de bloque es 64 pedacitos. El DES también utiliza una llave para modificar la transformación para requisitos particulares, para poder realizarse solamente el desciframiento por los que sepan la llave particular usada para cifrar. La llave aparentemente consiste en 64 pedacitos; sin embargo, solamente 56 de éstos son utilizados realmente por el algoritmo. Ocho pedacitos se utilizan solamente para comprobar la paridad, y se desechan después de eso. Por lo tanto la longitud dominante eficaz es 56 pedacitos, y se cotiza generalmente como tal.

Como otras cifras de bloque, el DES por sí mismo no es los medios seguros de la encripción sino se debe en lugar de otro utilizar en un modo de operación . FIPS-81 especifica varios modos para el uso con el DES. Otros comentarios sobre el uso del DES se contienen en FIPS-74.

Estructura total

La estructura total del algoritmo se demuestra en el cuadro 1: hay 16 etapas idénticas de proceso, llamadas los redondos del . Hay también una permutación inicial y final, llamada IP del y el punto de congelación del, que son lo contrario (" del IP; undoes" la acción del punto de congelación, y viceversa). El IP y el punto de congelación no tienen casi ninguna significación criptográfica, sino eran al parecer incluidos para facilitar el cargar de bloques dentro y fuera del hardware de los mediados de los años setenta, así como para hacer que el DES funciona más lento en software.

Antes de los redondos principales, el bloque se divide en dos mitades de 32 bits y se procesa alternativamente; esto que entrecruza se conoce como el esquema de Feistel. La estructura de Feistel se asegura de que el desciframiento y la encripción sean procesos muy similares - la única diferencia es que los subkeys están aplicados en la orden reversa al descifrar. El resto del algoritmo es idéntico. Esto simplifica grandemente la puesta en práctica, particularmente en hardware, pues no hay necesidad de algoritmos separados de la encripción y del desciframiento.

El &oplus rojo; el símbolo denota el exclusivo-O la operación de (XOR). La F-función del revuelve mitad de un bloque junto con algo de la llave. La salida de la F-función entonces se combina con la otra mitad del bloque, y las mitades se intercambian antes de la siguiente ronda. Después del redondo final, las mitades no se intercambian; ésta es una característica de la estructura de Feistel que hace la encripción y el desciframiento los procesos similares.

La función de Feistel (f)

La F-función, representada en el cuadro 2, funciona encendido mitad de un bloque (32 pedacitos) a la vez y consiste en cuatro etapas: extensión del

- el de 32 bits mitad-bloquean son ampliadas a 48 pedacitos usar la permutación, denotado E de la extensión del en el diagrama, duplicando algunos de los pedacitos.

de mezcla dominante - el resultado se combina con un subkey del usar una operación de XOR. Dieciséis 48 subkeys del pedacito - uno para cada uno redondo - se derivan de la llave principal usar el horario de la llave (descrito más abajo).

Substitución del - después de mezclar en el subkey, el bloque es dividido en ocho 6 pedazos del pedacito antes de procesar por los S-boxes ', o de las cajas de la substitución de . Cada uno de los ocho S-boxes substituye sus seis pedacitos entrados por cuatro pedacitos hechos salir según una transformación no linear, con tal que bajo la forma de tabla de operaciones de búsqueda . Los S-boxes proporcionan la base de la seguridad del DES - sin ellos, la cifra sería linear, y trivial breakable.

de la permutación de - finalmente, las 32 salidas de los S-boxes se cambian según una permutación fija, el de la P-caja de .

La alternación de la substitución de los S-boxes, y la permutación de pedacitos de la P-caja y de la E-extensión proporciona el " supuesto; Confusión y " de la difusión ; respectivamente, un concepto identificado por el Claude Shannon en los años 40 como condición necesaria para una cifra segura con todo práctica.

Horario dominante

El cuadro 3 ilustra el horario de la llave del para la encripción - el algoritmo que genera los subkeys. Inicialmente, que siguen habiendo 56 pedacitos de la llave son seleccionados de los 64 iniciales por la opción permutada 1 ( PC-1 ) - los ocho pedacitos se desechan o se utilizan como los pedacitos de cheque de la paridad . Los 56 pedacitos entonces se dividen en dos 28 mitades del pedacito; cada mitad se trata después de eso por separado. En redondos sucesivos, ambas mitades son giradas a la izquierda por uno o dos pedacitos (especificados para cada uno redondo), y entonces 48 pedacitos del subkey son seleccionados por la opción permutada 24 2 ( PC-2 ) - 24 pedacitos de la mitad izquierda, y de la derecha. Las rotaciones (denotadas por el " <<<" en el medio del diagrama) que un diverso sistema de pedacitos está utilizado en cada subkey; cada pedacito se utiliza en aproximadamente 14 fuera de los 16 subkeys.

El horario dominante para el desciframiento es similar - debe generar las llaves en la orden reversa. Por lo tanto las rotaciones están a la derecha, algo que la izquierda.

Seguridad y criptoanálisis

Aunque más información se haya publicado en el criptoanálisis del DES que cualquier otra cifra de bloque, el ataque más práctico hasta la fecha sigue siendo un acercamiento de la fuerza bruta. Se saben las varias características cryptanalytic de menor importancia, y tres ataques teóricos son posibles que, mientras que teniendo una complejidad teórica menos que un ataque de la fuerza bruta, requieren una cantidad poco realista de sabido o del plaintext elegido realizar, y no son una preocupación en la práctica.

A pesar de todas las críticas y debilidades del DES, no hay ejemplo sabido de cualquier persona las pérdidas monetarias realmente sufridoras debido a limitaciones de la seguridad del DES.

Ataque de la fuerza bruta

Para cualquier cifra, el método de ataque más básico es la fuerza bruta - intentando cada llave posible alternadamente. La longitud de la llave determina el número de llaves posibles, y por lo tanto de la viabilidad de este acercamiento. Para el DES, las preguntas fueron planteadas sobre la suficiencia de su tamaño dominante a principios de, incluso antes de que fue adoptada como estándar, y era el pequeño tamaño dominante, algo que el criptoanálisis teórico, que dictó una necesidad de un algoritmo del reemplazo. Se sabe que el NSA alentador, si no persuadido, IBM que reduzca el tamaño dominante a partir del 128 a 64 pedacitos, y de allí a 56 pedacitos; esto se toma a menudo como indicación que el NSA pensó que podría a las llaves de rotura de esta longitud incluso en los mediados de los años setenta.

En academia, las varias ofertas para una máquina DES-que se agrietaba fueron avanzadas. En 1977, Diffie y Hellman propusieron un cálculo del coste de la máquina un US$20 estimado millón que podría encontrar una llave del DES en un solo día. Antes de 1993, la salchicha de Francfort había propuesto que llave-buscar el cálculo del coste US$1 millón de la máquina que encontraría una llave en el plazo de 7 horas. Sin embargo, no se ejecutó ningunas de estas ofertas tempranas nunca, por lo menos ningunas puestas en práctica fueron reconocidas público. La vulnerabilidad del DES fue demostrada prácticamente en el finales de los 90. En 1997, la seguridad del RSA patrocinó una serie de competencias, ofreciendo un premio $10.000 al primer equipo que rompió un mensaje cifrado con el DES para la competencia. Que la competencia fue ganada por el proyecto de DESCHALL, llevado por Rocke Verser, Matt Curtin, y Justin Dolske, usar ciclos ociosos de millares de computadoras a través del Internet. La viabilidad de agrietar el DES fue demostrada rápidamente en 1998 cuando una DES-galleta de encargo fue construida por el Electronic Frontier Foundation (EFF), un grupo de las derechas civiles del Cyberspace, en el coste de aproximadamente US$250,000 (véase la galleta del DES del EFF). Su motivación era demostrar que el DES era frágil en la práctica así como en teoría: " El allí es mucha gente que no creerá una verdad hasta que ella pueda verla con sus propios ojos. Demostrarles una máquina física que pueda agrietar el DES en algunos días es la única manera de convencer alguna gente que ella no puede confiar en realmente su seguridad al DES. " de ; La máquina bruto-forzada una llave en la búsqueda de un poco más de 2 días; en el tiempo casi igual por lo menos un abogado del departamento de justicia de los E. anunciaba que el DES era irrompible.

El único la otra galleta confirmada del DES era la máquina de COPACOBANA (abreviatura del triturador paralelo coste-optimizado del código) construyó más recientemente por los equipos de las universidades de Bochum y Kiel, ambos en el Alemania . Desemejante de la máquina del EFF, COPACOBANA consisten en los circuitos integrados disponibles en el comercio, reconfigurables. 120 de estos FPGAs del tipo XILINX Spartan3-1000 funcionado con paralelamente. Se agrupan en 20 módulos de DIMM, cada 6 que contienen FPGAs. El uso del hardware reconfigurable hace la máquina aplicable al otro código que rompe tareas también. La figura demuestra un COPACOBANA del mismo tamaño. Uno de los aspectos más interesantes de COPACOBANA es su factor de coste. Una máquina se puede construir para aproximadamente $10. La disminución del coste por áspero un factor de 25 sobre la máquina del EFF es un ejemplo impresionante para la mejora continua del hardware digital. La ley de Moore predice interesante una mejora de cerca de 32, puesto que cerca de 8 años han pasado entre el diseño de las dos máquinas, que permite cerca de cinco doublings de la energía de la computadora (o de 5 reducciones por el 50% del coste para hacer el mismo cómputo).

Ataques más rápidamente que fuerza bruta

Hay tres ataques sabidos que pueden romper los dieciséis redondos completos del DES con menos complejidad que una búsqueda de la fuerza bruta: Criptoanálisis diferenciado (C.), criptoanálisis linear (LC), y ataque de Davies. Sin embargo, los ataques son teóricos y son infeasible montar en la práctica; estos tipos de ataque a veces se llaman las debilidades de Certificational
el criptoanálisis diferenciado del

fue vuelto a descubrir a el final de los '80 por el Eli Biham y el Adi Shamir, era sabido anterior a ambo IBM y el NSA y el secreto guardado. Para romper los 16 redondos completos, el criptoanálisis diferenciado requiere los plaintexts elegidos 2⁴⁷ que el DES de fue diseñado para ser resistente a la C.
El criptoanálisis linear del fue descubierto por el Mitsuru Matsui, y necesita 2⁴³ los plaintexts sabidos (Matsui, 1993); el método fue ejecutado (Matsui, 1994), y era el primer criptoanálisis experimental del DES que se divulgará. No hay evidencia que el DES fue adaptado para ser resistente a este tipo de ataque. Una generalización de LC - criptoanálisis linear múltiple del - fue sugerida en 1994 (Kaliski y Robshaw), y refinada más a fondo por Biryukov y otros (2004); su análisis sugiere que las aproximaciones lineares múltiples se podrían utilizar para reducir los requisitos de los datos del ataque por por lo menos un factor de 4 (es decir 2⁴¹ en vez de 2⁴³). Una reducción similar en complejidad de datos se puede obtener en una variante del elegir-plaintext del criptoanálisis linear (Knudsen y Mathiassen, 2000). Junod (2001) realizó varios experimentos para determinar la complejidad del tiempo real del criptoanálisis linear, y divulgó que era algo más rápido que predicho, requiriendo el tiempo equivalente a las evaluaciones del DES 2³⁹-2⁴¹.
Ataque de Davies mejorado : mientras que el criptoanálisis linear y diferenciado es técnicas generales y se puede aplicar a un número de esquemas, el ataque de Davies es una técnica especializada para el DES, primero sugerida por el Donald Davies en los años ochenta, y mejorada por Biham y el Biryukov (1997). La forma más de gran alcance del ataque requiere los plaintexts sabidos 2⁵⁰ que tiene una complejidad de cómputo de 2⁵⁰, y tiene un índice de éxito del 51%.

También ha habido ataques propuestos contra las versiones reducir-redondas de la cifra, es decir versiones del DES con menos de dieciséis redondos. Tal análisis da una penetración en cuántos redondos son necesarios para la seguridad, y cuánto de un " margin" de la seguridad; la versión completa conserva. el criptoanálisis Diferencial-linear fue propuesto por Langford y Hellman en 1994, y combina criptoanálisis diferenciado y linear en un solo ataque. Una versión realzada del ataque puede romper DES redondo 9 con plaintexts sabidos 2^15.8 y tiene una complejidad del tiempo 2^29.2 (Biham y otros, 2002).

Características cryptanalytic de menor importancia

El DES exhibe la característica de complementación, a saber ese = \ overline {C} del $E\_K\; del\; (P)=C\; \backslash \; Leftrightarrow\; E\_\; \backslash \; overline\; \{K\}\; (\backslash \; overline\; \{P\})\; donde\; está\; el$ \backslash \; el\; overline\; \{x\}$bitwise\; el\; complemento\; de$ x.$$ E\_K$denota\; la\; encripción\; con\; la\; llave$ K.$$ P$y$ C$denotan\; bloques\; del\; plaintext\; y\; del\; texto\; cifrado\; respectivamente.\; La\; característica\; de\; complementación\; significa\; que\; el\; trabajo\; para\; un\; ataque\; de\; la\; fuerza\; bruta\; se\; podría\; reducir\; por\; un\; factor\; de\; 2\; (o\; un\; de\; un\; solo\; bit)\; bajo\; asunción\; del\; elegir-plaintext\; .$

El DES también tiene cuatro llaves débiles supuesto del '. La encripción ( de E) y el desciframiento ( de D) bajo llave débil tienen el mismo efecto (véase la involución ): $E\_K\; del\; (E\_K\; (P))\; =\; P$ o equivalente, $E\_K\; =\; D\_K$ Hay también seis pares de semi-débil de las llaves de . La encripción con uno de los pares de las llaves del semiweak, $K\_1$, funciona idénticamente al desciframiento con el otro, $K\_2$: $E\_\; del\; \{K\_1\}\; (E\_\; \{K\_2\}\; (p))\; =\; P$ o equivalente, $E\_\; \{K\_2\}\; =\; D\_\; \{K\_1\}$ Es bastante fácil evitar las llaves débiles y del semiweak en una puesta en práctica, probando para ellas explícitamente, o simplemente eligiendo llaves aleatoriamente; las probabilidades de escoger una llave débil o del semiweak por casualidad son insignificantes. Las llaves no son realmente más débiles que ninguna otra llaves de todos modos, pues no dan a ataque ninguna ventaja.

El DES también se ha demostrado no ser un grupo, o más exacto, el $del\; sistema\; \backslash \; \{E\_K\; \backslash \}\; el$ (para todas las llaves posibles $K$) bajo composición funcional no es un grupo, ni " close" a ser un grupo (Campbell y Wiener, 1992). Esto era un no se sabe por algún tiempo, y si hubiera sido el caso, habría sido posible romper el DES, y los modos múltiples de la encripción tales como DES triple no aumentarían la seguridad.

Se sabe que la seguridad criptográfica máxima del DES está limitada a cerca de 64 pedacitos, incluso cuando independiente elige todos los subkeys redondos en vez de derivarlos de una llave, que permitiría de otra manera una seguridad de 768 pedacitos.

Ver también

Material suplementario del DES
Algoritmo dominante simétrico
Encripción avanzada estándar
Bonitos

.

Zenithic

Peter Desbarats

Random links:

Austin Powers | Partido alterno | Primorsky Krai | Odakyū 30000 series EXE | Maqsud-Ali Tabrizi