Perché due algoritmi DES chiave forniscono solo 80 bit di sicurezza

1

Nel collegamento wiki, si dice che a causa di attacchi "plaintext" o "known-cifher", due DES del tasto forniscono solo 80 bit di sicurezza.

La mia domanda è come funzionano questi attacchi e in che modo NSIT ha ideato 2 < 80 > bit di sicurezza

    
posta Rohit Jindal 10.09.2013 - 19:04
fonte

2 risposte

4

Per capire cosa succede con Double-DES, considera l'attacco meet-in-the-middle (completamente estraneo a " attacchi man-in-the-middle ").

Setup: esiste un doppio DES, in cui un blocco di dati è crittografato con la chiave K 1 , quindi di nuovo con K 2 . L'autore dell'attacco potrebbe avere accesso a due blocchi di testo in chiaro / cifrato: l'autore dell'attacco conosce A , B , C = E K 2 (E K 1 (A)) e D = E K 2 (E K 1 (B)) .

Quindi l'attaccante può calcolare tutti E K (A) per tutti i valori di K (ci sono 2 56 di loro). Quindi può anche calcolare tutti D K ' (C) per tutti i valori di K' (ancora, 2 56 chiavi da provare). A quel punto, avrà circa 2 48 candidati per la coppia (K 1 , K 2 ) : queste sono tutte le coppie (K, K ') per le quali E K (A) = D K' (C) . Il "2 48 " deriva dal fatto che stiamo crittografando blocchi a 64 bit, quindi circa 1 valore di blocco ogni 256 è uno dei E K (A ) valori, quindi circa 1 valore K ' ogni 256 produrrà una corrispondenza D K' (C) .

I candidati 2 48 possono quindi essere provati con il testo semplice B e il testo cifrato D ; è previsto che solo quello giusto superi il test.

Costo: 2 57 invocazioni di DES (più una media extra di 2 48 per la verifica dei candidati, ma è trascurabile), e alcuni archivi di memoria in grado di contenere 2 valori intermedi 56 e ordinati. Poiché i valori sono ordinati, ciascuno differirà dal precedente di soli 8 bit in media, ma deve anche memorizzare il corrispondente K , quindi supponiamo che un'implementazione pratica utilizzi 10 byte per valore. Questo è quindi 10 * 2 56 byte di spazio di archiviazione, che è piuttosto grande (circa 650 migliaia di terabyte ) ma può essere immaginato con la tecnologia esistente (non sarebbe economico, sebbene ). Il passo di smistamento sarebbe il costo maggiore in un modo "accademico" (circa 2 64 confronti) ma le invocazioni di 2 57 DES sarebbero ancora, in pratica, più costose.

Non vedo nessun "80 bit" qui. In effetti, la sicurezza di Double-DES dovrebbe essere considerata simile a "57 bit" . I requisiti di archiviazione rendono più difficile l'interruzione rispetto a un semplice "codice a blocchi a 57 bit", ma nemmeno così difficile come un codice a blocchi a 80 bit.

(Un metodo simile funziona per 3DES, il che significa che 3DES ha sicurezza "circa 112 bit" nonostante i suoi 168 bit di chiave.)

    
risposta data 10.09.2013 - 19:33
fonte
0

La cosa con 80 bit di sicurezza non si applica a Double-DES ma a una opzione di 3DES.

Se usi 3DES con tre chiavi diverse, finisci con il 112 (e non con 168!) bit di sicurezza a causa dell'attacco di tipo "meet-in-the-middle" che Thomas Pornin ha menzionato nella sua risposta.

Se utilizzi 3DES con k_1 = k_3 e inserisci alcune ipotesi, ti ritroverai con 80 bit.

Wikipedia si riferisce a questo pdf dal NIST per: link

    
risposta data 01.07.2015 - 15:43
fonte

Leggi altre domande sui tag