Data Encryption Standard

Data Encryption Standard ist ein Verschlüsselungsalgorithmus, dh eine Methode, um Daten zu verschlüsseln, 1976 als FIPS-Standard in den USA gewählt und deren Einsatz weltweit verbreitet. Der Algorithmus war zunächst umstritten Kleinanzeigen Design-Elemente, eine relativ kurze Schlüssellänge und Vermutungen über den Fortbestand der eine Hintertür für die National Security Agency. DES wurde anschließend auf intensiven wissenschaftlichen Analyse unterzogen und führte zur modernen Konzept der Blockchiffren und ihre Kryptoanalyse.

Heute ist DES für viele Anwendungen als unsicher. Dies ist vor allem, weil die Größe von 56-Bit-Schlüssel ist kurz; DES-Schlüssel sind innerhalb von 24 Stunden gebrochen. Es gibt auch Analyseergebnisse, die theoretischen Schwächen in der Chiffre zu demonstrieren, obwohl sie in der Praxis nicht gibt. Es wird angenommen, daß der Algorithmus ist sicher in der Praxis in der Variante der Triple DES, obwohl es theoretisch Angriffen.

In den letzten Jahren hat sich der Algorithmus, der von dem neuen AES ersetzt.

Manchmal wird es auch als DES-DEA.

Die Geschichte von DES

Die Ursprünge des DES-gehen Sie zurück zu Beginn des 70. Im Jahr 1972, nach Abschluss einer Studie über die Bedürfnisse von Computer-Sicherheit der Regierung, über die Notwendigkeit einer Standard auf Regierungsebene abgeschlossen amerikanischen Standards Behörde NIST umbenannt NBS verschlüsseln sensible Informationen. Folglich wird der 15. Mai 1973, nach Rücksprache mit der NSA, NBS erbeten Vorschläge für einen Algorithmus, der strengen Designkriterien erfüllt. Dennoch keiner von ihnen schien angemessen. Ein zweiter Antrag wurde am 27. August 1974 Dieses Mal machte, legte IBM einen Kandidaten, die als akzeptabel erachtet wurde, einen Algorithmus für den Zeitraum von 1973 bis 1974 entwickelt, basierend auf einer früheren, der Lucifer-Algorithmus, Horst Feistel. Die IBM-Team für die Konzeption und Analyse-Algorithmus gewidmet bestand aus Feistel, Walter Tuchman, Don Coppersmith, Alan Conheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, und Bryant Tuckerman.

Rolle der NSA in der Konstruktion

Der 17. März 1975, die vorgeschlagene DES wurde im Federal Register veröffentlicht. Bemerkungen der Öffentlichkeit aufgefordert wurden, und im folgenden Jahr eröffnete zwei kostenlose Workshops, um den vorgeschlagenen Standard zu diskutieren. Es gab einige Kritik aus bestimmten Sektoren, darunter asymmetrische Kryptographie Pioniere Martin Hellman und Whitfield Diffie, unter Berufung auf die kurze Schlüssellänge und die geheimnisvollen S-Boxen als Beweis für unstatthafte Beeinflussung von der NSA. Der Verdacht war, dass der Algorithmus war verdeckt durch den Geheimdienst geschwächt, so dass sie und niemand sonst könnte leicht zu lesen verschlüsselte Nachrichten. Konheim Alan sagte einmal, "sie die S-Boxen geschickt nach Washington. Als sie zurückkamen völlig anders waren." Der Geheimdienstausschuss Senat der Vereinigten Staaten bewerteten die NSA-Aktionen, um festzustellen, ob es irgendwelche ungebührliches Verhalten gewesen. Im deklassierte über ihre Feststellungen Zusammengefasst 1978 veröffentlichte der Ausschuss schrieb: "Bei der Entwicklung von DES, NSA überzeugt IBM, dass eine Größe kleiner Schlüssel war genug, er indirekt an der Entwicklung von Strukturen beteiligt S-Boxen, und bescheinigt, dass, soweit sie wussten, waren frei von statistischen oder mathematischen Schwäche. ". Es ist jedoch auch festgestellt, dass "NSA nicht Druck auf den Entwurf des Algorithmus in irgendeiner Weise auszuüben. IBM erfunden und konstruiert der Algorithmus hat alle Entscheidungen in Bezug auf sie, und einig, dass die Schlüsselgröße war mehr als ausreichend für alle kommerziellen Anwendungen, für die es bestimmt war DES ". Ein weiteres Mitglied der DES-Team, Walter Tuchman, sagte auch: "Wir entwickelten die DES-Algorithmus auf allen IBM und IBM Personen Die NSA nicht einen einzigen Schritt zu diktieren.".

Einige der Verdacht versteckten Schwachstellen in den S-Boxen wurden im Jahr 1990 verworfen, mit der unabhängigen Entdeckung und offene Veröffentlichung von Eli Biham und Adi Shamir der differentielle Kryptoanalyse, ein allgemeines Verfahren zum Brechen von Blockchiffren. Die S-Boxen von DES sind wesentlich widerstandsfähiger gegen anzugreifen, als wenn sie zufällig ausgewählt worden waren, was darauf hindeutet, dass IBM wusste um die Technik wieder in den 70. Das war tatsächlich der Fall im Jahr 1994 veröffentlichte die Designkriterien Don Coppersmith Vorlagen für S-Boxen. IBM hatte differentielle Kryptoanalyse in den 70er Jahren entdeckt und nach Sicherung DES, ordnete sie an geheimen NSA die technische halten. Copper erklärt: "Das war, weil die Differentialkryptoanalyse kann ein sehr mächtiges Werkzeug gegen viele verschiedene Systeme zu sein, und es wird befürchtet, dass solche Informationen in der Öffentlichkeit könnte sich negativ auf die nationale Sicherheit." Shamir sagte auch, "Ich würde sagen, entgegen dem, was einige glauben, gibt es keine Hinweise auf eine Einfluss auf die Gestaltung von DES für seine Grundstruktur geschwächt ist."

Die andere Kritik, dass die Schlüssellänge zu kurz war, wurden auf der Tatsache, dass der Grund, von der NSA zur Reduzierung der Schlüssellänge von 64 Bit auf 56 gegeben wurde, war, dass die anderen 8 Bits könnte als Parity-Bits dienen basiert, das war etwas vermutet er. Es ist weithin anerkannt, dass die Entscheidung der NSA wurde von der Möglichkeit, sie könnten einen Brute-Force-Angriff auf ein 56-Bit-Schlüssel mehrere Jahre vor dem Rest der Welt zu führen motiviert.

Der Algorithmus als Standard

Trotz der Kontroverse wurde DES als Bundesstandard im November 1976 genehmigt und am 15. Januar 1977 als FIPS PUB 46 veröffentlicht wurde, für die Anwendung, nicht klassifiziert Daten zugelassen. Es wurde später als Standard 1983, 1988, 1993 bestätigt wird, und 1998, wobei die letzteren Definition "TripleDES". Der 26. Mai 2002 wurde DES schließlich durch AES ersetzt, nach einer öffentlichen Wettbewerb. Bis zum heutigen Tag ist DES immer noch weit verbreitet.

Ein weiterer theoretischer Angriff, lineare Kryptoanalyse, wurde im Jahr 1994 veröffentlicht wurde, aber es war eine Brute-Force-Angriff im Jahr 1998, die zeigte, dass DES könnte in der Praxis angegriffen werden, und die Notwendigkeit für einen Ersatz-Algorithmus hervorgetan. Diese und andere Methoden der Kryptoanalyse werden ausführlicher später in diesem Artikel beschrieben.

Die Einführung von DES gilt als Auslöser der wissenschaftlichen Studie der Kryptographie, insbesondere von Methoden, um Blockchiffren knacken. Bruce Schneier, schreibt:


Ändern

Zeittafel

Ersatz-Algorithmen

Viele der ehemaligen DES Nutzer nun mit Triple DES wurde beschrieben und in einen DES-Patente analysiert; beinhaltet die Anwendung von DES dreimal nacheinander mit zwei oder drei Tasten. 3DES wurde allgemein als sicher für den nun erkannt, obwohl es ziemlich langsam. Eine billigere Alternative ist rechnerisch DES-X, der die Schlüsselgröße erhöht durch eine logische XOR auf zusätzliche Schlüsselelemente vor und nach DES. GDES war eine Variante von DES Vorschlag, den Verschlüsselungsprozess zu beschleunigen, aber es fähig ist, einer differentiellen Kryptoanalyse bewährt.

Im Jahr 2001, nach einem internationalen Wettbewerb, NIST ausgewählten einen neuen Algorithmus: AES, DES zu ersetzen. Die gewählte dem AES-Algorithmus sein, wurde von seinen Designern unter dem Namen Rijndael vorgeschlagen. Weitere Finalisten in der NIST AES Konkurrenz war RC6, Serpent, MARS und Twofish.

Im allgemeinen werden nicht-Algorithmus, das perfekt auf alle Anwendungen. Ein Algorithmus für den Einsatz in Mehrzweckmaschinen nicht immer gut in Embedded-Systemen oder Chipkarten, und umgekehrt.

Bezeichnung

DES-Algorithmus ist der Prototyp Blockchiffrieralgorithmus die einen Klartext mit einer festen Länge von Bits nimmt und wandelt sie durch eine Reihe von grundlegenden Operationen in einem anderen Chiffretext von gleicher Länge. Im Falle von DES Blockgröße beträgt 64 Bits. DES verwendet auch einen kryptographischen Schlüssel, um die Transformation zu ändern, so daß die Entschlüsselung kann nur von denjenigen, die insbesondere für die Verschlüsselung verwendeten Schlüssel kennen erfolgen. Der Schlüssel ist, 64 Bits, obwohl in der Tat nur 56 von ihnen werden von dem Algorithmus verwendet. Die übrigen acht Bits werden ausschließlich zur Paritätsprüfung verwendet und dann verworfen. Daher ist die wirksame Schlüssellänge von 56 Bit DES, und so wie sie sagen.

Wie andere Blockchiffren, müssen DES in der Betriebsart Blockchiffre verwendet werden, wenn in einem größeren 64-Bit-Nachricht angewendet werden. FIPS-81 gibt mehrere Modi für die Verwendung mit DES, darunter eines für die Authentifizierung. Sie können mehrere Dokumente über die Verwendung von DES in FIPS-74 zu finden.

Grundstruktur

Die Grundstruktur des in 1 dargestellten Algorithmus: es 16 identische Verfahrensschritte genannt Runden. Es ist auch ein Anfangs- und Endzustand Permutation genannt PI und PF, die invers zueinander sind Funktionen sind. PI und PF sind nicht kryptographisch signifikant, aber angeblich für einfache Be- und Entladen von Hardware-Blöcke auf die Mitte der 70er Jahre vor dem Runden, wird der Block in zwei 32-Bit-Hälften unterteilt und abwechselnd verarbeitet. Diese Vernetzung wird als Feistel Schema.

Die Feistel-Struktur stellt sicher, dass die Ver- und Entschlüsselungsvorgänge sind sehr ähnlich der einzige Unterschied ist, dass die Unterschlüssel werden in umgekehrter Reihenfolge angewendet, wenn entziffert. Der Rest des Algorithmus ist identisch. Dies vereinfacht Durchführung, insbesondere für Hardware, keine Notwendigkeit, verschiedene Algorithmen zur Verschlüsselung und Entschlüsselung sind.

Das rote Symbol "⊕" steht für die exklusive ODER-Verknüpfung. Die Funktion F-Block-Mix mit der Hälfte der Taste. Der Ausgang des F-Funktion wird dann mit der anderen Hälfte des Blocks kombiniert werden, und die Blöcke werden vor der nächsten Runde vertauscht. Nach der letzten Runde werden die Hälften nicht vertauscht; dies ist ein Merkmal der Feistel Struktur enthalten, die die Ver- und Entschlüsselungsvorgänge ähnlich.

Feistel-Funktion

Die F-Funktion, die in 2 dargestellt ist, arbeitet auf Halbblock zu einer Zeit, und besteht aus vier Schritten:

  • Halbexpansionsblock erweitert 32 Bits bis 48 Bits, die durch die Expansion Permutation bezeichnet E in dem Diagramm durch Duplizieren einige der Bits.
  • Die resultierende Mischung wird mit einem Teilschlüssel unter Verwendung einer XOR-Operation kombiniert. Sechzehn Unterschlüssel eines für jede Runde werden von der ersten Schlüssel indem nachfolgend beschriebenen Unterschlüssel abgeleitet.
  • Ersetzen nach dem Mischen mit dem Unterschlüssel, der Block ist in acht 6-Bit-Stücke vor der Verarbeitung durch die S-Boxen, oder Substitution Boxen aufgeteilt. Jeder der acht S-Boxen ersetzt sechs Eingangsbits mit vier Ausgangsbits gemäß einer nichtlinearen Transformation durch eine Nachschlagetabelle spezifiziert. Die S-Boxen liefern den Kern der Sicherheit von DES, ohne sie wäre die Chiffre linear und leicht zu brechen.
  • Permutation schließlich die 32 Ausgänge der S-Boxen nach einem festen Permutation neu angeordnet; die P-Box

Abwechselnde Austausch der S-Boxen, und Permutation der Bits des P-Box- und D-Erweiterung sind sogenannte "Unordnung und Verbreitung" jeweils eine von Claude Shannon in der 40 als eine notwendige Bedingung für die Verschlüsselung identifiziert Konzept sicher und praktisch.

Schlüsselerzeugung

Figur 3 zeigt die Schlüsselerzeugung für Verschlüsselungsalgorithmus, der für die Bereitstellung Schlüssel verantwortlich ist. Zuerst werden 56 Bits der Schlüsselöffnung 64 durch die permutierten 1 Auswahl der übrigen acht Bits können verworfen oder als Paritätsprüfbits verwendet werden, ausgewählt. Die 56 Bits werden dann in zwei Hälften von 28 Bits unterteilt; dann jede Hälfte unabhängig voneinander behandelt. In aufeinanderfolgenden Runden werden beide Hälften nach links ein oder zwei Bit verschoben, und dann 48 Schlüssel Bits durch permutierte Auswahl 2 24 Bits der linken Hälfte und 24 auf der rechten Seite ausgewählt. Verschiebungen bedeuten, eine andere Gruppe von Bits jeden Unterschlüssel verwendet wird; jedes Bit in ungefähr 14 der 16 Unterschlüssel verwendet wird.

Erzeugen von Schlüsseln für die Entschlüsselung ist ähnlich zu den Schlüssel in umgekehrter Reihenfolge zu erzeugen.

Sicherheit und Kryptoanalyse

Obwohl veröffentlicht weitere Informationen über Kryptoanalyse von DES als jedes andere Blockchiffre, bleibt die praktische Angriff heute roher Gewalt. Mehrere kleinere cryptanalytic Eigenschaften bekannt sind, und drei theoretische Arten von Angriffen, doch die weniger theoretische Komplexität als ein Brute-Force-Angriff, erfordern eine unrealistische Menge an bekannten oder gewählten Klartexten zu tun, und werden nicht in möglich getroffen Konto in der Praxis.

Brute Force Attacke

Für jede Art von Verschlüsselung, ist die einfachste Methode des Angriffs der Brute-Force-Prüfung eines nach dem anderen alle möglichen Schlüssel. Die Schlüssellänge bestimmt die Anzahl der möglichen Schlüssel und damit die Möglichkeit des Angriffs. Im Fall von DES, bereits in der frühen Ausgaben Schlüssellänge wurden sogar, bevor er als Standard übernommen erhoben, war seine geringe Schlüsselgröße, anstatt theoretische Kryptoanalyse, die die Notwendigkeit, sie zu ersetzen verursacht. Es ist bekannt, dass die NSA gefördert oder sogar überzeugt IBM, um den Schlüssel von 128 Bits, um 64 zu reduzieren, und von dort auf 56 Bits; oft dies als Beweis dafür, dass die NSA besaß genug Rechenleistung, um Schlüssel in dieser Größe auch in der Mitte der 70er Jahre zu brechen interpretiert.

Akademisch, mehrere Vorschläge für eine Maschine zur DES brechen voraus waren. Im Jahr 1977 Diffie und Hellman einen Vorschlag für eine Maschine mit geschätzten Kosten von $ 20 Millionen, die einen DES-Schlüssel an einem Tag finden konnte. Bis 1993 Wiener schlug eine Suchmaschinen-Schlüssel mit einem Kostenaufwand von einer Million Dollar würde ein Schlüssel innerhalb 7 Stunden zu finden. Die Sicherheitslücke von DES wurde in der Praxis im Jahr 1998 gezeigt, wenn die Electronic Frontier Foundation, einer Gruppe, um die Bürgerrechte im Cyberspace gewidmet, wie eine Maschine gebaut, um DES brechen, mit einer ungefähren Kosten von $ 250.000. Seine Motivation war es zu zeigen, dass es könnte DES in Theorie und Praxis zu brechen. "Es gibt viele Menschen, die nicht eine Wahrheit glauben wird, bis sie mit ihren eigenen Augen sehen können, zeigen sie eine physische Maschine, die DES in ein paar Tagen zu brechen kann, ist die Nur so kann ein paar Leute davon zu überzeugen, dass sie wirklich nicht auf DES Vertrauen in ihre Sicherheit. " Die Maschine brach einen Schlüssel mit roher Gewalt bei einer Suche, die etwas mehr als zwei Tage dauerte; etwa zur gleichen Zeit, ein Rechtsanwalt United States Department of Justice behauptete, dass DES war unzerbrechlich.

Angriffe schneller als Brute-Force-

Es gibt drei bekannte Angriffe, die die volle sechzehn Runden der DES mit weniger Aufwand als ein Brute-Force zu brechen können: differentielle Kryptoanalyse, lineare Kryptoanalyse und Davies 'Angriff. Auf jeden Fall sind diese Angriffe theoretischen und Sie können nicht in die Praxis umzusetzen; Solche Angriffe werden manchmal als certificacionales Schwächen.

  • Die differentielle Kryptoanalyse wurde in den späten 80er Eli Biham und Adi Shamir entdeckt, obwohl es zuvor auf sowohl dem IBM und NSA bekannt und geheim gehalten. Um die vollen 16 Runden zu brechen, differentielle Kryptoanalyse erfordert 2 Ebenen ausgewählten Texten. DES wurde entwickelt beständig gegen das CD sein.
  • Lineare Kryptoanalyse wurde von Mitsuru Matsui entdeckt und benötigt 2 bekannte Klartexte; Das Verfahren wurde durchgeführt, und war der erste experimentelle Kryptoanalyse von DES freigegeben werden. Es gibt keinen Beweis, dass DES wurde zugeschnitten resistent gegen diese Art von Angriff ist. Eine Verallgemeinerung der CL mehrfache lineare Kryptoanalyse wurde 1994 vorgeschlagen und wurde von Biryukov und andere verbessert; Analyse zeigt, dass mehrfache lineare Näherungen verwendet werden, um die Datenanforderungen von dem Angriff durch mindestens einen Faktor von 4. Eine ähnliche Reduktion in der Komplexität der Daten kann mit einer Variante der Flach lineare Kryptanalyse ausgewählten Texten erhalten werden reduzieren. Junod mehrere Experimente durchgeführt, um die tatsächliche Komplexität der linearen Kryptoanalyse zu ermitteln, und festgestellt, es war etwas schneller als vorhergesagt, erfordern Zeitäquivalent Kontrollen DES 2-2.
  • Davies verbesserte Angriff: während linearen und Differentialanalysetechniken sind allgemein gehalten und kann auf viele verschiedene Systeme angewendet werden, ist Davies 'Angriff eine spezialisierte Technik für DES. Zuerst von Davies in den 80er Jahren vorgeschlagen und von Biham und Biryukov verbessert. Die stärkste Form des Angriffs erfordert 2 bekannte Klartexte, hat eine Rechenkomplexität von 2, und hat eine 51% Chance auf Erfolg.

Es greift auch die Versionen des Algorithmus mit weniger Runden, dh Versionen von DES mit weniger als sechzehn Runden ausgelegt. Diese Analysen geben Aufschluss darüber, wie viele Runden für die Sicherheit notwendig sind, und wie viel "Sicherheitsabstand" bietet die Vollversion. Der Differenzlineare Kryptoanalyse wurde von Langford und Hellman im Jahr 1994 vorgeschlagen, und kombiniert differentielle und lineare Kryptoanalyse in einem einzigen Angriff. Eine erweiterte Version des Angriffs kann ein DES-9 Runden mit 2 bekannten Klartexten zu brechen und verfügt über ein 2 Zeitkomplexität.

Kryptoanalytischen Eigenschaften

DES hat die zusätzliche Eigenschaft, da

wo ist das Komplement-Bit. Es ist der Verschlüsselungsschlüssel und sind der Klartext und der Geheimtext auf. Die zusätzliche Eigenschaft bedeutet, dass die Pflicht, für einen Brute-Force-Angriff könnte um den Faktor 2 unter der Annahme einer Klartextangriff entschieden reduziert werden.

DES ebenfalls vier schwache Schlüssel. Die Verschlüsselung und Entschlüsselung mit einer schwachen Schlüssel haben den gleichen Effekt:

Es ist ganz einfach zu vermeiden, der Schlüssel schwach und halb schwach auf Umsetzung, sie explizit zu testen, oder einfach nur willkürlich, sie zu sammeln; die Chancen der Kommissionierung eine schwache oder Schlüssel semidébil sind vernachlässigbar.

Es hat sich auch gezeigt, dass DES hat keine Gruppenstruktur, oder genauer gesagt, die Gruppe keine Gruppe, es ist nicht einmal "Schließen", um eine Gruppe zu sein. Dies war eine offene Frage für einige Zeit, und wenn es der Fall war es möglich gewesen wäre, um DES brechen und mehrere Verschlüsselungsarten wie Triple DES würde nicht die Sicherheit zu erhöhen.

  0   0
Vorherige Artikel Karlštejn
Nächster Artikel Guido Verbeck

In Verbindung Stehende Artikel

Kommentare - 0

Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha