DES

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 22. maaliskuuta 2015 tarkistetusta versiosta . tarkastukset vaativat 72 muokkausta .

DES, Data Encryption Standard
Luoja	IBM
Luotu	1977_ _
julkaistu	1977_ _
Avaimen koko	56 bittiä + 8 testiä
Lohkon koko	64-bittinen
Kierrosten lukumäärä	16
Tyyppi	Feistelin verkko
Mediatiedostot Wikimedia Commonsissa

DES ( English Data Encryption Standard ) on IBM :n kehittämä ja Yhdysvaltain hallituksen vuonna 1977 viralliseksi standardiksi hyväksymä algoritmi symmetriselle salaukselle ( FIPS 46-3). DES:n lohkokoko on 64 bittiä . Algoritmi perustuu Feistel-verkkoon , jossa on 16 sykliä ( kierrosta ) ja 56 - bittinen avain . Algoritmi käyttää yhdistelmää epälineaarisia (S-laatikot) ja lineaarisia (E, IP, IP-1 permutaatioita) muunnoksia. DES:lle suositellaan useita tiloja:

ECB ( englanninkielinen e lectronic c ode book ) - "elektroninen koodikirja" -tila (yksinkertainen korvaaminen) ;
CBC ( englanniksi c ipher b lock c haining ) - lohkoketjutustila;
CFB ( eng. c ipher f eed b ack ) - salatekstin palautetila ;
OFB ( eng. o utput f eed b ack ) - ulostulon takaisinkytkentätila;
Counter Mode (CM) - laskuritila.

DES:n suora kehitystyö on tällä hetkellä Triple DES (3DES) -algoritmi. 3DES:ssä salaus/salauksen purku suoritetaan ajamalla DES-algoritmi kolme kertaa.

Historia

Vuonna 1972 tehtiin tutkimus Yhdysvaltain hallituksen tietoturvatarpeista. Amerikkalainen "National Bureau of Standards" (NBS) (nykyään NIST - "National Institute of Standards and Technology") havaitsi, että tarvitaan hallituksen laajuinen standardi ei-kriittisten tietojen salaamiseen.

NBS neuvotteli NSA :n (US National Security Agency) kanssa ja julisti 15. toukokuuta 1973 ensimmäisen kilpailun salauksen luomiseksi. Uudelle salaukselle asetettiin tiukat vaatimukset. IBM osallistui kilpailuun kehittämällään salakirjoituksella nimeltä "Lucifer " . Yhdenkään kilpailijan (mukaan lukien "Lucifer") salakirjoitus ei varmistanut kaikkien vaatimusten täyttymistä. Vuosina 1973-1974 IBM viimeisteli "Luciferinsa": se käytti aiemmin luotua Horst Feistel -algoritmia. 27. elokuuta 1974 toinen kilpailu alkoi. Tällä kertaa salaus "Lucifer" pidettiin hyväksyttävänä.

17. maaliskuuta 1975 ehdotettu DES-algoritmi julkaistiin liittovaltion rekisterissä. Vuonna 1976 pidettiin kaksi julkista symposiumia keskustellakseen DES:stä. Symposiumeissa NSA:n algoritmiin tekemiä muutoksia arvosteltiin voimakkaasti. NSA pienensi alkuperäistä avaimen pituutta ja S-laatikoita (korvauslaatikoita), joiden suunnittelukriteereitä ei julkistettu. NSA:n epäiltiin tahallisesti heikentäneen algoritmia, jotta NSA voisi helposti tarkastella salattuja viestejä. Yhdysvaltain senaatti tarkasteli NSA:n toimia ja julkaisi vuonna 1978 lausunnon, jossa todettiin seuraavaa:

algoritmin kehittämisen aikana NSA:n edustajat vakuuttivat DES:n luojat, että lyhennetty avaimen pituus on enemmän kuin tarpeeksi kaikkiin kaupallisiin sovelluksiin;
NSA:n edustajat auttoivat epäsuorasti S-permutaatioiden kehittämisessä;
algoritmin lopullinen versio oli todentajien mielestä paras salausalgoritmi, eikä siinä ollut myöskään tilastollisia tai matemaattisia heikkouksia;
NSA:n edustajat eivät koskaan puuttuneet DES-algoritmin kehittämiseen.

Vuonna 1990 Eli Biham ja Adi Shamir suorittivat riippumatonta tutkimusta differentiaalisesta kryptausanalyysistä , joka on tärkein menetelmä lohkosymmetristen salausalgoritmien rikkomiseksi . Nämä tutkimukset poistivat osan epäilyksistä S-permutaatioiden piilossa olevasta heikkoudesta. DES-algoritmin S-laatikot osoittautuivat paljon vastustuskykyisemmiksi hyökkäyksiä vastaan kuin jos ne olisi valittu satunnaisesti. Tämä tarkoittaa, että NSA tunsi tämän analyysitekniikan jo 1970-luvulla.

DES-algoritmi "hakkeroitiin" 39 päivässä käyttämällä valtavaa kymmenien tuhansien tietokoneiden verkkoa [1] .

Julkinen organisaatio " EFF ", joka käsittelee Internetin tietoturva- ja yksityisyydensuojaongelmia , käynnisti tutkimuksen "DES Challenge II" DES-ongelmien tunnistamiseksi. Osana tutkimusta RSA Laboratoryn työntekijät rakensivat 250 000 dollarin supertietokoneen , joka vuonna 1998 pursi DES-koodatun tiedon salauksen 56-bittisellä avaimella alle kolmessa päivässä. Supertietokone sai nimekseen "EFF DES Cracker". Erityisesti tätä tilaisuutta varten tutkijat järjestivät lehdistötilaisuuden ja puhuivat huolestuneena siitä, että hyökkääjät eivät todennäköisesti menetä mahdollisuutta hyödyntää tällaista haavoittuvuutta.

Jotkut hallituksen virkamiehet ja asiantuntijat ovat väittäneet, että DES-koodin murtaminen vaatii usean miljoonan dollarin supertietokoneen. "Hallituksen on aika tunnustaa DES:n turvattomuus ja tukea vahvemman salausstandardin luomista", sanoi EFF:n puheenjohtaja Barry Steinhardt. Yhdysvaltain hallituksen asettamat vientirajoitukset koskevat salaustekniikoita, joiden avaimet ovat yli 40 bittiä. Kuitenkin, kuten RSA Laboratory -kokeen tulokset osoittivat, on mahdollista murtaa vieläkin tehokkaampi koodi. Ongelmaa pahensi se tosiasia, että tällaisen supertietokoneen rakentamiskustannukset laskivat jatkuvasti. "Neljän tai viiden vuoden kuluttua nämä tietokoneet ovat jokaisessa koulussa", sanoi John Gilmour, DES Challengen projektijohtaja ja yksi EFF:n perustajista.

DES on lohkosalaus. DES:n toiminnan ymmärtämiseksi on tarpeen tarkastella lohkosalauksen , Feistel-verkon , toimintaperiaatetta .

Estä salaus

Lohkosalauksen syöttötiedot ovat:

lohkon koko n bittiä;
avain, jonka koko on k bittiä.

Lähtö (salausmuunnosten jälkeen) on n-bitin kokoinen salattu lohko, ja pienet erot tulotiedoissa johtavat pääsääntöisesti merkittävään muutokseen tuloksessa.

Lohkosalaukset toteutetaan soveltamalla toistuvasti tiettyjä perusmuunnoksia lähdetekstin lohkoihin .

Perusmuunnokset:

monimutkainen muunnos lohkon yhdessä paikallisessa osassa;
yksinkertainen muunnos lohkon osien välillä.

Koska muunnokset suoritetaan lohko kerrallaan, on tarpeen jakaa lähdedata vaaditun kokoisiin lohkoihin. Tässä tapauksessa lähdetietojen muodolla ei ole väliä (olipa se sitten tekstidokumentteja, kuvia tai muita tiedostoja). Tiedot on tulkittava binäärimuodossa (nollien ja ykkösten sarjana) ja vasta sen jälkeen jaettava lohkoihin. Kaikki edellä mainitut voidaan toteuttaa sekä ohjelmistossa että laitteistossa.

Feistelin verkkomuunnokset

Tämä on muunnos vektoreilla ( lohkoilla ), jotka edustavat siirtorekisterin vasenta ja oikeaa puoliskoa. DES-algoritmi käyttää Feistel-verkon myötämuunnosta salauksessa (katso kuva 1) ja Feistel-verkon käänteistä muuntamista salauksen purkamisessa (katso kuva 2).

DES-salausmalli

DES-algoritmin salauskaavio on esitetty kuvassa 3.

Lähdeteksti on 64-bittinen lohko.

Salausprosessi koostuu alkuperäisestä permutaatiosta, 16 salausjaksosta ja lopullisesta permutaatiosta.

Alkuperäinen permutaatio

Alkuperäinen teksti (64 bitin lohko) muunnetaan käyttämällä alkuperäistä permutaatiota, joka määritetään taulukossa 1: $T$ $\mathrm{IP}$

Taulukko 1. IP - alkupermutaatio

58	viisikymmentä	42	34	26	kahdeksantoista	kymmenen	2	60	52	44	36	28	kaksikymmentä	12	neljä
62	54	46	38	kolmekymmentä	22	neljätoista	6	64	56	48	40	32	24	16	kahdeksan
57	49	41	33	25	17	9	yksi	59	51	43	35	27	19	yksitoista	3
61	53	45	37	29	21	13	5	63	55	47	39	31	23	viisitoista	7

Tuloksena olevan lohkon ensimmäiset 3 bittiä alkupermutaation jälkeen ovat taulukon mukaan syöttölohkon bittejä 58, 50, 42 ja sen viimeiset 3 bittiä ovat syöttölohkon bittejä 23, 15, 7. $\mathrm{IP}(T)$ $\mathrm{IP}$ $T$

Salausjaksot

Alkupermutaation jälkeen saatu 64-bittinen lohko IP(T) osallistuu Feistel-muunnoksen 16 jaksoon.

- 16 sykliä Feistel -muunnosta :

Jaa IP(T) kahteen osaan , joissa on vastaavasti 32 yläbittiä ja 32 matalaa bittiä lohkosta IP(T)= $L_0, R_0$ $L_0, R_0$ $T_{0}$ $L_0R_0$

Olkoon tulos (i-1) iteraatio, jolloin i:nnen iteraation tulos määräytyy: $T_{i-1} = L_{i-1}R_{i-1}$ $T_i = L_iR_i$

L_i = R_{i-1}

R_i = L_{i-1}\oplus f(R_{i-1},k_i)

Vasen puolisko on yhtä suuri kuin edellisen vektorin oikea puolisko . Ja oikea puolikas on bittikohtainen lisäys modulo 2. $L_i$ $L_{i-1}R_{i-1}$ $R_i$ $L_{i-1}$ $f(R_{i-1},k_i)$

Feistel-muunnoksen 16 jaksossa funktio f toimii salauksena . Tarkastellaan funktiota f yksityiskohtaisesti.

Perussalaustoiminto (Feistel-toiminto)

Funktion argumentit ovat 32-bittinen vektori ja 48-bittinen avain , joka on seurausta 56-bittisen alkuperäisen salausavaimen muuntamisesta . Käytä peräkkäin funktion laskemiseksi $f$ $R_{i-1}$ $k_i$ $k$ $f$

laajennustoiminto , _ $\mathrm{E}$
lisäys modulo 2 avaimella $k_i$
muunnos , joka koostuu 8 muunnoslohkosta , $\mathrm{S}$ $\mathrm{S}$ $\mathrm{S}_1,\mathrm{S}_2,\mathrm{S}_3\ldots\ \mathrm{S}_8$
permutaatio . $\mathrm{P}$

Funktio laajentaa 32-bittisen vektorin 48-bittiseksi vektoriksi monistamalla joitain bittejä tiedostosta ; vektorin bittijärjestys on annettu taulukossa 2. $\mathrm{E}$ $R_{i-1}$ $\mathrm{E}(R_{i-1})$ $R_{i-1}$ $\mathrm{E}(R_{i-1})$

Taulukko 2. Laajennustoiminto E

32	yksi	2	3	neljä	5
neljä	5	6	7	kahdeksan	9
kahdeksan	9	kymmenen	yksitoista	12	13
12	13	neljätoista	viisitoista	16	17
16	17	kahdeksantoista	19	kaksikymmentä	21
kaksikymmentä	21	22	23	24	25
24	25	26	27	28	29
28	29	kolmekymmentä	31	32	yksi

Vektorin kolme ensimmäistä bittiä ovat vektorin bittejä 32, 1, 2 . Taulukko 2 osoittaa, että bitit 1, 4, 5, 8, 9, 12, 13, 16, 17, 20, 21, 24, 25, 28, 29, 32 on monistettu. Vektorin viimeiset 3 bittiä ovat vektorin bittejä 31, 32, 1 . Permutaation jälkeen saatu lohko lisätään avaimilla modulo 2 ja esitetään sitten kahdeksan peräkkäisen lohkon muodossa . $\mathrm{E}(R_{i-1})$ $R_{i-1}$ $E(R_{i-1})$ $R_{i-1}$ $\mathrm{E}(R_{i-1})$ $k_i$ $B_1,B_2,...B_8$

\mathrm{E}(R_{i-1})\oplus k_i= B_1B_2...B_8

Jokainen on 6-bittinen lohko. Lisäksi jokainen lohko muunnetaan 4-bittiseksi lohkoksi muunnoksia käyttämällä . Muunnokset on määritelty taulukossa 3. $B_j$ $B_j$ $B'_j$ $S_j$ $S_j$

Taulukko 3. Muunnokset , i=1…8

Si}

	0	yksi	2	3	neljä	5	6	7	kahdeksan	9	kymmenen	yksitoista	12	13	neljätoista	viisitoista

0	neljätoista	neljä	13	yksi	2	viisitoista	yksitoista	kahdeksan	3	kymmenen	6	12	5	9	0	7
yksi	0	viisitoista	7	neljä	neljätoista	2	13	yksi	kymmenen	6	12	yksitoista	9	5	3	kahdeksan	$S_{1}$
2	neljä	yksi	neljätoista	kahdeksan	13	6	2	yksitoista	viisitoista	12	9	7	3	kymmenen	5	0
3	viisitoista	12	kahdeksan	2	neljä	9	yksi	7	5	yksitoista	3	neljätoista	kymmenen	0	6	13

0	viisitoista	yksi	kahdeksan	neljätoista	6	yksitoista	3	neljä	9	7	2	13	12	0	5	kymmenen
yksi	3	13	neljä	7	viisitoista	2	kahdeksan	neljätoista	12	0	yksi	kymmenen	6	9	yksitoista	5	$S_{2}$
2	0	neljätoista	7	yksitoista	kymmenen	neljä	13	yksi	5	kahdeksan	12	6	9	3	2	viisitoista
3	13	kahdeksan	kymmenen	yksi	3	viisitoista	neljä	2	yksitoista	6	7	12	0	5	neljätoista	9

0	kymmenen	0	9	neljätoista	6	3	viisitoista	5	yksi	13	12	7	yksitoista	neljä	2	kahdeksan
yksi	13	7	0	9	3	neljä	6	kymmenen	2	kahdeksan	5	neljätoista	12	yksitoista	viisitoista	yksi	$S_{3}$
2	13	6	neljä	9	kahdeksan	viisitoista	3	0	yksitoista	yksi	2	12	5	kymmenen	neljätoista	7
3	yksi	kymmenen	13	0	6	9	kahdeksan	7	neljä	viisitoista	neljätoista	3	yksitoista	5	2	12

0	7	13	neljätoista	3	0	6	9	kymmenen	yksi	2	kahdeksan	5	yksitoista	12	neljä	viisitoista
yksi	13	kahdeksan	yksitoista	5	6	viisitoista	0	3	neljä	7	2	12	yksi	kymmenen	neljätoista	9	$S_4$
2	kymmenen	6	9	0	12	yksitoista	7	13	viisitoista	yksi	3	neljätoista	5	2	kahdeksan	neljä
3	3	viisitoista	0	6	kymmenen	yksi	13	kahdeksan	9	neljä	5	yksitoista	12	7	2	neljätoista

0	2	12	neljä	yksi	7	kymmenen	yksitoista	6	kahdeksan	5	3	viisitoista	13	0	neljätoista	9
yksi	neljätoista	yksitoista	2	12	neljä	7	13	yksi	5	0	viisitoista	kymmenen	3	9	kahdeksan	6	$S_5$
2	neljä	2	yksi	yksitoista	kymmenen	13	7	kahdeksan	viisitoista	9	12	5	6	3	0	neljätoista
3	yksitoista	kahdeksan	12	7	yksi	neljätoista	2	13	6	viisitoista	0	9	kymmenen	neljä	5	3

0	12	yksi	kymmenen	viisitoista	9	2	6	kahdeksan	0	13	3	neljä	neljätoista	7	5	yksitoista
yksi	kymmenen	viisitoista	neljä	2	7	12	9	5	6	yksi	13	neljätoista	0	yksitoista	3	kahdeksan	$S_6$
2	9	neljätoista	viisitoista	5	2	kahdeksan	12	3	7	0	neljä	kymmenen	yksi	13	yksitoista	6
3	neljä	3	2	12	9	5	viisitoista	kymmenen	yksitoista	neljätoista	yksi	7	6	0	kahdeksan	13

0	neljä	yksitoista	2	neljätoista	viisitoista	0	kahdeksan	13	3	12	9	7	5	kymmenen	6	yksi
yksi	13	0	yksitoista	7	neljä	9	yksi	kymmenen	neljätoista	3	5	12	2	viisitoista	kahdeksan	6	$S_7$
2	yksi	neljä	yksitoista	13	12	3	7	neljätoista	kymmenen	viisitoista	6	kahdeksan	0	5	9	2
3	6	yksitoista	13	kahdeksan	yksi	neljä	kymmenen	7	9	5	0	viisitoista	neljätoista	2	3	12

0	13	2	kahdeksan	neljä	6	viisitoista	yksitoista	yksi	kymmenen	9	3	neljätoista	5	0	12	7
yksi	yksi	viisitoista	13	kahdeksan	kymmenen	3	7	neljä	12	5	6	yksitoista	0	neljätoista	9	2	$S_8$
2	7	yksitoista	neljä	yksi	9	12	neljätoista	2	0	6	kymmenen	13	viisitoista	3	5	kahdeksan
3	2	yksi	neljätoista	7	neljä	kymmenen	kahdeksan	13	viisitoista	12	9	0	3	5	6	yksitoista

Oletetaan, että ja haluamme löytää . Ensimmäinen ja viimeinen numero ovat binääriesitys luvusta a, 0<=a<=3, keskimmäiset 4 numeroa edustavat lukua b, 0<=b<=15. Taulukon S3 rivit on numeroitu 0 - 3, taulukon S3 sarakkeet 0 - 15. Lukupari (a, b) määrittää luvun rivin a ja sarakkeen b leikkauspisteessä. Tämän luvun binääriesitys antaa . Meidän tapauksessamme , , ja parin (3,7) määrittelemä luku on 7. Sen binääriesitys on =0111. Funktioarvo (32 bittiä ) saadaan permutoimalla P, jota sovelletaan 32-bittiseen lohkoon . Permutaatio P on annettu taulukosta 4. $B_3 = 101111$ $B'_3$ $B_{3}$ $B'_3$ $a=11_2=3$ $b=0111_2=7$ $B'_3$ $f(R_{i-1},k_i)$ $B'_1B'_2...B'_8$

Taulukko 4. Permutaatio P

16	7	kaksikymmentä	21	29	12	28	17
yksi	viisitoista	23	26	5	kahdeksantoista	31	kymmenen
2	kahdeksan	24	neljätoista	32	27	3	9
19	13	kolmekymmentä	6	22	yksitoista	neljä	25

$f(R_{i-1},k_i) = P(B'_1B'_2...B'_8)$
Taulukon 4 mukaan tuloksena olevan vektorin neljä ensimmäistä bittiä funktion f toiminnan jälkeen ovat vektorin bittejä 16, 7, 20, 21 $B'_1B'_2...B'_8$

Avaimen luominen $k_i$

Avaimet saadaan alkuavaimesta (56 bittiä = 7 tavua tai 7 merkkiä ASCII :ssa ) seuraavasti. Bitit lisätään avaimen paikkoihin 8, 16, 24, 32, 40, 48, 56, 64 siten, että jokainen tavu sisältää parittoman määrän ykkösiä. Tätä käytetään havaitsemaan virheet avainten vaihdossa ja tallentamisessa. Sitten laajennetulle avaimelle tehdään permutaatio (paitsi lisätyt bitit 8, 16, 24, 32, 40, 48, 56, 64). Tällainen permutaatio on määritelty taulukossa 5. $k_i$ $k$ $k$

Taulukko 5

57	49	41	33	25	17	9	yksi	58	viisikymmentä	42	34	26	kahdeksantoista	$C_{0}$
kymmenen	2	59	51	43	35	27	19	yksitoista	3	60	52	44	36
63	55	47	39	31	23	viisitoista	7	62	54	46	38	kolmekymmentä	22	$D_0$
neljätoista	6	61	53	45	37	29	21	13	5	28	kaksikymmentä	12	neljä

Tämä permutaatio määräytyy kahdella lohkolla ja 28 bitillä . Ensimmäiset 3 bittiä ovat laajennetun avaimen bittejä 57, 49, 41. Ja ensimmäiset kolme bittiä ovat laajennetun avaimen bittejä 63, 55, 47. i=1,2,3… saadaan yhdestä tai kahdesta vasemmanpuoleisesta syklisestä siirrosta taulukon 6 mukaisesti. $C_{0}$ $D_0$ $C_{0}$ $D_0$ $C_i, D_i$ $C_{i-1}, D_{i-1}$

Taulukko 6

i	yksi	2	3	neljä	5	6	7	kahdeksan	9	kymmenen	yksitoista	12	13	neljätoista	viisitoista	16
Vaihtonumero	yksi	yksi	2	2	2	2	2	2	yksi	2	2	2	2	2	2	yksi

Avain , i=1,…16 koostuu 48 bitistä, jotka on valittu vektoribiteistä (56 bittiä ) taulukon 7 mukaisesti. Ensimmäinen ja toinen bitti ovat vektorin bittejä 14, 17 $k_i$ $C_iD_i$ $k_i$ $C_iD_i$

Taulukko 7

neljätoista	17	yksitoista	24	yksi	5	3	28	viisitoista	6	21	kymmenen	23	19	12	neljä
26	kahdeksan	16	7	27	kaksikymmentä	13	2	41	52	31	37	47	55	kolmekymmentä	40
51	45	33	48	44	49	39	56	34	53	46	42	viisikymmentä	36	29	32

Lopullinen permutaatio

Lopullinen permutaatio vaikuttaa (jossa ) ja on alkuperäisen permutaation käänteinen. Lopullinen permutaatio määräytyy taulukon 8 mukaan. $\mathrm{IP}^{-1}$ ${\displaystyle T_{16}^{-1))$ $T_{16}^{-1}=R_{16}+L_{16}$

Taulukko 8. Käänteinen permutaatio

\mathrm{IP}^{-1}

40	kahdeksan	48	16	56	24	64	32	39	7	47	viisitoista	55	23	63	31
38	6	46	neljätoista	54	22	62	kolmekymmentä	37	5	45	13	53	21	61	29
36	neljä	44	12	52	kaksikymmentä	60	28	35	3	43	yksitoista	51	19	59	27
34	2	42	kymmenen	viisikymmentä	kahdeksantoista	58	26	33	yksi	41	9	49	17	57	25

Salauksen purkujärjestelmä

Kun tietoja puretaan, kaikki toiminnot suoritetaan käänteisessä järjestyksessä. 16 salauksen purkukierroksella, toisin kuin Feistel-verkon suoraa muunnosa käyttävässä salauksessa, tässä käytetään Feistel-verkon käänteistä muuntamista.

$R_{i-1} = L_i$
$L_{i-1} = R_i \oplus f(L_i,k_i)$

Salauksen purkukaavio on esitetty kuvassa 6.
Avain , i=16,…,1, funktio f, IP-permutaatio ja ovat samat kuin salausprosessissa. Avaimen luontialgoritmi riippuu vain käyttäjän avaimesta, joten ne ovat identtisiä, kun salaus puretaan. $k_i$ $IP^{-1}$

DES:n käyttötavat

DES:tä voidaan käyttää neljässä tilassa.

Electronic Codebook Mode ( ECB ) : DES:n yleinen käyttö lohkosalauksena . Salattu teksti on jaettu lohkoihin, joista kukin lohko salataan erikseen ilman vuorovaikutusta muiden lohkojen kanssa (katso kuva 7).
Salauslohkoketjutustila ( CBC - Cipher Block Chaining ) (katso kuva 8). Jokainen seuraava lohko i>=1, ennen kuin salaus lisätään modulo 2 edellisen salatekstilohkon kanssa . Vektori on alkuperäinen vektori, se muuttuu päivittäin ja pidetään salassa. $Mi}$ $C_{{i-1}}$ $C_{0}$
Salauspalautetila ( katso kuva 9) . CFB - tilassa tuotetaan lohkogamma . Alkuperäinen vektori on synkronointiviesti, ja se on suunniteltu varmistamaan, että eri tietojoukot salataan eri tavalla käyttämällä samaa salaista avainta. Synkronointiviesti lähetetään vastaanottajalle selkeänä tekstinä salatun tiedoston mukana. DES-algoritmia, toisin kuin edellisissä tiloissa, käytetään vain salauksena (molemmissa tapauksissa). $Z_0, Z_1,...$ $Z_i=DES_k(C_{i-1})$ $C_i = M_i \oplus Z_i$ $C_{0}$
Ulostulon palautetila ( OFB - Output Feedback ) (katso kuva 10). OFB-moodissa generoidaan lohko "gamma" , i>=1. Tila käyttää myös DES:ää vain salauksena (molemmissa tapauksissa). $Z_0, Z_1,...$ $Z_i=DES_k(Z_{i-1}) C_i = M_i \oplus Z_i$

Moodin edut ja haitat:

ECB- ja OFB- tiloissa yhden 64-bittisen salatekstilohkon lähetyksen aikana tapahtuva vääristymä johtaa vääristymiseen vain vastaavan avoimen lohkon salauksen purkamisen jälkeen , joten näitä tiloja käytetään lähetykseen viestintäkanavien kautta, joissa on suuri määrä vääristymiä. $C_i$ $Mi$

DES-algoritmin kryptografinen vahvuus

DES-muunnosten epälineaarisuus vain S-laatikoiden avulla ja heikkojen S-laatikoiden käyttö mahdollistaa salatun kirjeenvaihdon hallinnan. S-laatikoiden valinta edellyttää useiden ehtojen täyttymistä:

Jokaisen lohkon jokaisen rivin on oltava joukon {0, 1, 2, ..., 15} permutaatio.
S-laatikot eivät saa olla niiden argumenttien lineaarinen tai affiinifunktio.
Yhden bitin muutoksen S-laatikon sisäänmenossa täytyy muuttaa vähintään kaksi bittiä lähdössä.
Jokaisen S-laatikon ja minkä tahansa argumentin x kohdalla S ( x ) ja :n arvon tulee erota vähintään kahdella bitillä. $S(x\oplus 001100_2)$

Koska mahdollisia avaimia on vähän (vain ), on mahdollista luetella ne tyhjentävästi nopeilla tietokoneilla reaaliajassa. Vuonna 1998 Electronic Frontier Foundation onnistui murtamaan DES:n 3 päivässä käyttämällä erityistä DES-Cracker-tietokonetta. $2^{56}$

Heikot avaimet

Heikot avaimet ovat avaimia k siten, että , missä x on 64-bittinen lohko. $DES_k(DES_k(x)) = x$

Tunnetaan 4 heikkoa avainta, ne on lueteltu taulukossa 9. Jokaiselle heikolle avaimelle on kiinteät kohdat , eli sellaiset 64-bittiset lohkot x , joille . $2^{32}$ $DES_k(x) = x$

Taulukko 9. DES-heikko avaimet

Heikot näppäimet (heksadesimaali)	$C_{0}$	$D_0$
0101-0101-0101-0101	$[0]^{28}$	$[0]^{28}$
FEFE-FEFE-FEFE-FEFE	$[1]^{28}$	$[1]^{28}$
1F1F-1F1F-0E0E-0E0E	$[0]^{28}$	$[1]^{28}$
E0E0-E0E0-F1F1-F1F1	$[1]^{28}$	$[0]^{28}$

$[0]^{28}$ tarkoittaa vektoria, joka koostuu 28 nollabitistä.

Osittain heikot näppäimet

DES-algoritmissa on heikkoja ja osittain heikkoja avaimia. Osittain heikot avaimet ovat sellaisia avainpareja $(k_1, k_2)$ $DES_{k1}(DES_{k2}(x)) = x.$

Osittain heikkoja avainpareja on kuusi, ne on lueteltu taulukossa 10. Jokaiselle 12 osittain heikolle avaimelle on "kiinnityspisteet", eli lohkot x, jotka $2^{32}$ $DES_k(x) = \tilde{x}.$

Taulukko 10. Osittain heikot näppäimet

$C_{0}$	$D_0$	Pari osittain heikkoja avaimia	$C_{0}$	$D_0$
$[01]^{14}$	$[01]^{14}$	01FE-01FE-01FE-01FE,----FE01-FE01-FE01-FE01	$[10]^{14}$	$[10]^{14}$
$[01]^{14}$	$[01]^{14}$	1FE0-1FE0-1FE0-1FE0,----E0F1-E0F1-E0F1-E0F1	$[10]^{14}$	$[10]^{14}$
$[01]^{14}$	$[0]^{28}$	01E0-01E0-01F1-01F1,----E001-E001-F101-F101	$[10]^{14}$	$[0]^{28}$
$[01]^{14}$	$[1]^{28}$	1FFE-1FFE-0EFE-0EFE,----FE1F-FE1F-FE0E-FE0E	$[0]^{28}$	$[1]^{28}$
$[0]^{28}$	$[01]^{14}$	011F-011F-010E-010E,----1F01-1F01-0E01-0E01	$[0]^{28}$	$[10]^{14}$
$[1]^{28}$	$[01]^{14}$	E0FE-E0FE-F1FE-F1FE,----FEE0-FEE0-FEF1-FEF1	$[1]^{28}$	$[10]^{14}$

Tunnetut hyökkäykset DES:ää vastaan

Taulukko 11. Tunnetut hyökkäykset DES:ää vastaan.

Hyökkäysmenetelmät	Tunnettuja löytöjä tekstejä	Valittu auki tekstejä	Muistin koko	Toimien lukumäärä
Täysi haku	qweqweqweqerqe	-	Pieni	$2^{55}$
Lineaarinen kryptaanalyysi	$2^{43}(85\%)$	-	Tekstiä varten	$2^{43}$
Lineaarinen kryptaanalyysi	$2^{38}(10\%)$	-	Tekstiä varten	$2^{50}$
Erilainen. Kryptoanalyysi	-	$2^{47}$	Tekstiä varten	$2^{47}$
Erilainen. Kryptoanalyysi	$2^{55}$	-	Tekstiä varten	$2^{55}$

Raaka voima -menetelmä vaatii yhden tunnetun salatekstin ja dešifroidun tekstin parin, pienen määrän muistia ja sen toteuttaminen vaatii noin vaihetta. $2^{55}$
Differentiaalinen kryptausanalyysi - Biham ja Shamir vaativat ensimmäisen tällaisen hyökkäyksen DES:ää vastaan . Tämä hyökkäys vaatii hyökkääjän valitsemien selkeiden tekstien salauksen ja kestää noin 10 vaihetta. Teoreettisesti murroskohtana tämä hyökkäys on epäkäytännöllinen liiallisten tiedonlouhintavaatimusten ja valittua selkeää tekstiä vastaan suunnatun hyökkäyksen järjestämisen monimutkaisuuden vuoksi. Tämän hyökkäyksen kirjoittajat, Biham ja Shamir, ilmoittivat itse, että he pitävät DES:ää turvallisena tällaiselle hyökkäykselle. $2^{47}$ $2^{47}$
Matsuin kehittämä lineaarinen kryptausanalyysi . Tämän menetelmän avulla voit palauttaa DES-avaimen jäsentämällä tunnettuja selkeitä tekstejä, ja sen suorittaminen vaatii suunnilleen vaiheita. Ensimmäinen Matsuin löydöön perustuva kokeellinen DES-skriptianalyysi suoritettiin onnistuneesti 50 päivässä 12 HP 9735 -työasemalla. $2^{43}$ $2^{43}$

Lineaarista ja differentiaalista kryptausanalyysiä varten tarvitaan riittävän suuri muistimäärä valittujen (tunnettujen) selkeiden tekstien tallentamiseen ennen hyökkäyksen alkamista.

DES:n vahvuuden lisääminen

DES: n kryptografisen vahvuuden lisäämiseksi näkyviin tulee useita vaihtoehtoja: double DES ( 2DES ), kolminkertainen DES ( 3DES ), DESX , G-DES .

2DES- ja 3DES - menetelmät perustuvat DES:ään, mutta lisäävät avainten pituutta (2DES - 112 bittiä, 3DES - 168 bittiä) ja lisäävät siten kryptografista vahvuutta .
3DES-mallilla on muoto , jossa ovat kunkin DES-salauksen avaimet. Tämä muunnelma tunnetaan nimellä EEE, koska kolme DES-toimintoa ovat salausta. 3DES-algoritmeja on 3 tyyppiä: $DES(k_3,DES(k_2,DES(k_1,M)))$ $k_1,k_2,k_3$

DES-EEE3 : Salattu kolme kertaa kolmella eri avaimella.
DES-EDE3 : 3DES-salaus-salauksenpurku-salaustoiminnot kolmella eri avaimella.
DES-EEE2 ja DES-EDE2 : Kuten edellä, paitsi että ensimmäinen ja kolmas operaatio käyttävät samaa avainta.

Suosituin tyyppi 3DES:ää käytettäessä on DES-EDE3, jonka algoritmi näyttää tältä: Salaus : .

C = E_{k_3}(E^{-1}_{k_2}(E_{k_1}(P)))

Salauksen purku :

P = E^{-1}_{k_1}(E_{k_2}(E^{-1}_{k_3}(C)))

3DES-algoritmia suoritettaessa avaimet voidaan valita seuraavasti:

$k_1,k_2,k_3$ riippumaton.
$k_1, k_2$ riippumaton ja $k_1 = k_3$
$k_1=k_2=k_3$ .

DESX -menetelmän loi Ronald Rivest , ja Killian ja Rogaway esittelivät sen virallisesti . Tämä menetelmä on vahvistettu versio DES:stä, jota tukee RSA Security Toolkit. DESX eroaa DES:stä siinä, että jokainen syötetyn DESX:n selkeän tekstin bitti summataan loogisesti modulo 2:lla lisäavaimen 64 bitillä ja salataan sitten DES-algoritmilla. Jokainen tuloksen bitti on myös loogisesti lisätty modulo 2 avaimen muihin 64 bittiin. Pääsyy DESX:n käyttöön on laskennallisesti yksinkertainen tapa lisätä huomattavasti DES: n vastustuskykyä raa'an voiman hyökkäyksiä vastaan .
G-DES- menetelmän on kehittänyt Schaumuller-Bichl parantaakseen DES:n suorituskykyä lisäämällä salauslohkon kokoa. G-DES:n väitettiin olevan yhtä turvallinen kuin DES:n. Biham ja Shamir osoittivat kuitenkin, että suositeltujen parametrien mukainen G-DES murtuu helposti, ja parametrien muutoksilla salauksesta tulee vieläkin vähemmän turvallinen kuin DES:stä.
Toinen DES-muunnelma käyttää itsenäisiä aliavaimia. Toisin kuin DES, jossa käyttäjän 56-bittisen yksityisen avaimen perusteella DES hankkii kuusitoista 48-bittistä aliavainta käytettäväksi kullakin 16 kierroksella, tämä versio käyttää 768-bittistä avainta (jaettu 16 48-bittiseen aliavaimeen ) DES-algoritmin avainkaavion luoman 16 riippuvan 48-bittisen avaimen sijaan. Vaikka on selvää, että riippumattomien aliavaimien käyttö vaikeuttaa suuresti avaimen täydellistä hakua, differentiaalisen tai lineaarisen krypta-analyysin hyökkäyksien vastustuskyky ei ole paljon suurempi kuin tavallisen DES:n vahvuus. Bihamin mukaan DES:n differentiaalinen kryptausanalyysi itsenäisillä aliavaimilla vaatii valittuja selkeitä tekstejä, kun taas lineaarinen kryptausanalyysi vaatii tunnettuja selkeitä tekstejä. $2^{61}$ $2^{60}$

Sovellus

DES oli Yhdysvaltain kansallinen standardi vuosina 1977-1980 , mutta tällä hetkellä DES:ää käytetään (56-bittisellä avaimella) vain vanhoissa järjestelmissä, useimmiten sen kryptografisesti vahvempaa muotoa käyttäen ( 3DES , DESX ). 3DES on yksinkertainen ja tehokas DES:n korvike, ja sitä pidetään nykyään vakiona. Lähitulevaisuudessa DES ja Triple DES korvataan AES (Advanced Encryption Standard) -algoritmilla. DES-algoritmia käytetään laajasti taloustietojen suojaamiseen: esimerkiksi THALES (Racal) HSM RG7000 -moduuli tukee täysin TripleDES- toimintoja VISA- , EuroPay- ja muiden luottokorttien myöntämiseen ja käsittelyyn . THALES (Racal) DataDryptor 2000 -kanavasekoittimet käyttävät TripleDES -tekniikkaa datavirtojen läpinäkyvään salaukseen. DES-algoritmia käytetään myös monissa muissa THALES-eSECURITY-laitteissa ja -ratkaisuissa.

Muistiinpanot

↑ Distributed.net: RSA DES II-1 -projekti . Haettu 1. tammikuuta 2018. Arkistoitu alkuperäisestä 31. joulukuuta 2017. (määrätön)

Kirjallisuus

A.P. Alferov, A. Yu. Zubov, A. S. Kuzmin, A. V. Cheremushkin Salauksen perusteet.
A. Menezes, Pvan Oorschot, S. Vanstone. Sovellettavan kryptografian käsikirja .
Semenov Yu. A. DES-algoritmi .
Kysely DES:lle

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
muu	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher