Contenido Checked

Data Encryption Standard

Temas relacionados: Criptografía

Sabías ...

Organizar una selección Wikipedia para las escuelas en el mundo en desarrollo sin acceso a Internet era una iniciativa de SOS Children. Todos los niños disponibles para el apadrinamiento de niños de Aldeas Infantiles SOS son atendidos en una casa de familia por la caridad. Leer más ...

Data Encryption Standard
Data Encryption Standard InfoBox diagram.png

La función Feistel (función F) de DES
General
Diseñadores IBM
Publicado por primera vez 1977 (estandarizado en enero de 1979)
Derivado de Lucifer
Sucesores Triple DES, G-DES, DES-X, LOKI89, ICE
Detalle de cifrado
Tamaños clave 56 bits
Tamaños de bloque 64 bits
Estructura Equilibrado Red Feistel
Rondas 16
Mejor pública criptoanálisis

DES es ahora considerado inseguro porque un ataque de fuerza bruta es posible (ver EFF DES galleta). A partir de 2008, el mejor ataque es analítica criptoanálisis lineal, que requiere 2 43 textos planos conocida y tiene una complejidad de tiempo de 2 39-43 (Junod, 2001).

El Data Encryption Standard (DES, pron .: / ˌ d yo ˌ yo ɛ s / O / d ɛ z /) Es una previamente predominante algoritmo para la cifrado de la información electrónica. Fue una gran influencia en el avance de la moderna criptografía en el mundo académico. Desarrollado en la década de 1970 en IBM y en base a un diseño anterior por Horst Feistel, el algoritmo se presentó a la National Bureau of Standards (NBS), tras la invitación de la agencia para proponer un candidato a la protección de datos, gobierno electrónico no clasificados sensibles. En 1976, después de consultar con el Agencia Nacional de Seguridad (NSA), el NBS finalmente seleccionó una versión ligeramente modificada, que se publicó como un funcionario Federal Information Processing Standard (FIPS) de la Estados Unidos en 1977. La publicación de un estándar de encriptación aprobado por la NSA dio lugar al mismo tiempo en su adopción internacional rápida y escrutinio académico generalizado. Las controversias surgieron de elementos de diseño clasificados, un tiempo relativamente corto longitud de la clave de la -clave simétrica bloquear diseño de cifrado, y la participación de la NSA, alimentando sospechas acerca de un puerta trasera. El escrutinio académico intenso el algoritmo recibió con el tiempo llevó a la comprensión moderna de las cifras de bloque y su criptoanálisis.

DES se considera ahora que es inseguro para muchas aplicaciones. Esto es principalmente debido al tamaño de clave de 56 bits es demasiado pequeño; en enero de 1999, distributed.net y la Electronic Frontier Foundation colaboró para romper públicamente una clave DES en 22 horas y 15 minutos (ver cronología ). También hay algunos resultados analíticos que demuestran debilidades teóricas en el sistema de cifrado, aunque no son factibles para montar en la práctica. El algoritmo se cree que es prácticamente seguro en la forma de Triple DES, aunque hay ataques teóricos. En los últimos años, la cifra ha sido superada por la Advanced Encryption Standard (AES). Además, DES ha sido retirada como un estándar por el Instituto Nacional de Estándares y Tecnología (anteriormente la Oficina Nacional de Normalización).

Parte de la documentación hace una distinción entre DES como un estándar y DES como un algoritmo, en referencia al algoritmo como el DEA (Algoritmo de Encriptación de Datos).

Historia del DES

Los orígenes de la DES se remontan a la década de 1970. En 1972, después de concluir un estudio sobre el gobierno de Estados Unidos de necesidades de seguridad informática, el cuerpo de estándares estadounidenses NBS (National Bureau of Standards) - ahora nombrados NIST (Instituto Nacional de Estándares y Tecnología) - identificaron la necesidad de un estándar en todo el gobierno para la encriptación, la información sensible no clasificada. En consecuencia, el 15 de mayo de 1973, a instancias de la NSA, NBS solicitó propuestas para un sistema de cifrado que cumpliera los criterios de diseño rigurosos. Ninguna de las presentaciones, sin embargo, resultó ser adecuado. Una segunda solicitud fue emitida el 27 de agosto de 1974. Esta vez, IBM presentó un candidato que se consideró aceptable - un sistema de cifrado desarrollado durante el período 1973-1974 sobre la base de un algoritmo anterior, Horst Feistel de Cifrado Lucifer. El equipo de IBM participan en el diseño y análisis de cifrado incluido Feistel, Walter Tuchman, Don Calderero, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, y Bryant Tuckerman.

La participación de actores no estatales en el diseño

El 17 de marzo de 1975, el DES propuesta fue publicada en el Registro Federal. Se pidió a los comentarios del público, y en el año siguiente se celebraron dos talleres abiertos a discutir la norma propuesta. Hubo algunas críticas por parte de varios partidos, incluso de pioneros criptografía de clave pública Martin Hellman y Whitfield Diffie, citando un acortó longitud de la clave y el misterioso " . S-boxes "como prueba de interferencias indebidas de la NSA La sospecha era que el algoritmo había sido secretamente debilitado por la agencia de inteligencia para que - pero nadie más -. Puede leer fácilmente los mensajes cifrados Alan Konheim (uno de los diseñadores de DES) comentó: "Enviamos las cajas-S a Washington. Volvieron y eran todas diferentes "La. Estados Unidos Comité de Inteligencia del Senado revisó las acciones de la NSA para determinar si había habido cualquier ingerencia indebida. En el resumen no confidencial de sus hallazgos, publicados en 1978, el Comité escribió:

En el desarrollo de la DES, la NSA convenció a IBM que un tamaño de clave reducido era suficiente; indirectamente ayudó en el desarrollo de las estructuras S-box; y certificó que el algoritmo final DES era, a lo mejor de su conocimiento, libre de cualquier debilidad estadística o matemática.

Sin embargo, también encontró que

NSA no alterar el diseño del algoritmo de ninguna manera. IBM inventó y diseñó el algoritmo, tomaba todas las decisiones pertinentes en relación con ella, y coincidió en que el acuerdo sobre el tamaño de clave era más que adecuado para todas las aplicaciones comerciales para el que se destine el DES.

Otro miembro del equipo de DES, Walter Tuchman, declaró: "Hemos desarrollado el algoritmo DES completamente dentro de IBM utilizando empleados de IBM. La NSA no dictó un solo cable!" Por el contrario, un libro sobre la historia de la NSA desclasificados cryptologic afirma:

En 1973 NBS solicitó la industria privada para un estándar de cifrado de datos (DES). Las primeras ofertas fueron decepcionantes, por lo que la NSA comenzó a trabajar en su propio algoritmo. Luego Howard Rosenblum, subdirector de investigación e ingeniería, descubrió que Walter Tuchman de IBM está trabajando en una modificación a Lucifer para uso general. NSA dio Tuchman un margen y lo llevó a trabajar en forma conjunta con la Agencia en su modificación Lucifer ".

y

NSA trabajó estrechamente con IBM para fortalecer el algoritmo contra todos menos ataques de fuerza bruta y fortalecer tablas de sustitución, llamados cajas-S. Por el contrario, NSA trató de convencer a IBM para reducir la longitud de la clave de 64 a 48 bits. En última instancia se comprometieron en una clave de 56 bits.

Algunas de las sospechas sobre las debilidades ocultas en las cajas-S se disiparon en 1990, con el descubrimiento independiente y publicación abierta por Eli Biham y Adi Shamir de criptoanálisis diferencial, un método general para romper cifrados de bloque. Las cajas-S de DES eran mucho más resistentes al ataque que si hubieran sido elegidos al azar, lo que sugiere fuertemente que IBM sabía de la técnica en la década de 1970. Este fue el caso; en 1994, Don Calderero publicó algunos de los criterios de diseño originales para las cajas-S. De acuerdo a Steven Levy, los investigadores de IBM Watson descubrió ataques criptoanalíticos diferenciales en 1974 y se pidió por la NSA para mantener el secreto técnica. Calderero explica la decisión secreto de IBM diciendo: "eso fue porque [criptoanálisis diferencial] puede ser una herramienta muy potente, utilizado contra muchos esquemas, y existía la preocupación de que tal información en el dominio público puede afectar negativamente a la seguridad nacional". Levy cita a Walter Tuchman:. "[L] nos pidió que acabar todos nuestros documentos confidenciales ... En realidad nos ponemos un número en cada uno y los encerraron en cajas fuertes, porque eran considerados gobierno de Estados Unidos clasificó Dijeron hacerlo Así. lo hice ". Bruce Schneier señaló que "Tomó la comunidad académica de dos décadas para darse cuenta de que 'retoques' la NSA en realidad mejoran la seguridad de DES."

El algoritmo como un estándar

A pesar de las críticas, el DES fue aprobado como un estándar federal en noviembre de 1976 y publicado el 15 de enero de 1977, FIPS PUB 46, autorizados para su uso en todos los datos no clasificados. Se reafirmó posteriormente como el estándar en 1983, 1988 (revisado como FIPS-46-1), 1993 (FIPS-46-2), y de nuevo en 1999 (FIPS-46-3), esta última prescripción " Triple DES "(ver más abajo). El 26 de mayo de 2002, DES fue finalmente reemplazado por el Advanced Encryption Standard (AES), siguiendo un concurso público. El 19 de mayo de 2005, FIPS 46-3 fue retirado oficialmente, pero NIST ha aprobado Triple DES durante el año 2030 para la información gubernamental sensible.

El algoritmo también se especifica en la norma ANSI X3.92, NIST SP 800-67 e ISO / IEC 18033-3 (como un componente de TDEA).

Otro ataque teórico, criptoanálisis lineal, se publicó en 1994, pero fue un ataque de fuerza bruta en 1998 que demostró que DES podría ser atacado de manera muy práctica, y destacó la necesidad de un algoritmo de reemplazo. Estos y otros métodos de criptoanálisis se discute con mayor detalle más adelante en este artículo.

La introducción de DES se considera que ha sido un catalizador para el estudio académico de la criptografía, en particular de los métodos para tomar medidas fuertes cifras de bloque. De acuerdo con una retrospectiva del NIST sobre DES,

El DES se puede decir que tiene "salto comenzó" el estudio no militar y el desarrollo de algoritmos de cifrado. En la década de 1970 había muy pocos criptógrafos, a excepción de los de las organizaciones militares o de inteligencia, y poco estudio académico de la criptografía. Ahora hay muchos criptógrafos académicos activos, los departamentos de matemáticas con programas fuertes en criptografía, y empresas de seguridad de la información comercial y consultores. Una generación de criptoanalistas ha recortado su análisis dientes (que está tratando de "crack") el algoritmo DES. En palabras del criptógrafo Bruce Schneier, "DES hizo más para impulsar el campo de criptoanálisis que cualquier otra cosa. Ahora había un algoritmo para estudiar." Una parte sorprendente de la literatura abierta en la criptografía en los años 1970 y 1980 se ocupó de la DES, y el DES es el estándar contra el cual cada algoritmo de clave simétrica ya que se ha comparado.

Cronología

Fecha Año Evento
15 de mayo 1973 NBS publica una primera solicitud de un algoritmo de cifrado estándar
27 de agosto 1974 NBS publica una segunda solicitud de algoritmos de cifrado
17 de marzo 1975 DES se publica en el Registro Federal para comentario
Agosto 1976 Primer taller sobre DES
Septiembre 1976 Segundo taller, discutiendo fundamento matemático de DES
Noviembre 1976 DES está aprobado como un estándar
15 de enero 1977 DES se publica como un estándar FIPS PUB FIPS 46
1983 DES es reafirmado por primera vez
1986 VideoCipher II, un sistema de codificación satélite basado en DES, comienza su uso por HBO
22 de enero 1988 DES es reafirmado por segunda vez como FIPS 46-1, reemplazando FIPS PUB 46
Julio 1991 Biham y Shamir redescubrir criptoanálisis diferencial, y aplicarlo a un sistema de cifrado de 15 asaltos DES-como.
1992 Biham y Shamir reportan el primer ataque teórico con menos complejidad que la fuerza bruta: criptoanálisis diferencial. Sin embargo, requiere un poco realista 2 47 textos planos escogidos.
30 de diciembre 1993 DES es reafirmado por tercera vez como FIPS 46-2
1994 La primera criptoanálisis experimental de DES se realiza utilizando el criptoanálisis lineal (Matsui, 1994).
Junio 1997 La DESCHALL Proyecto rompe un mensaje cifrado con DES por primera vez en público.
Julio 1998 La EFF de DES Cracker (Deep crack) rompe una clave DES en 56 horas.
Enero 1999 Juntos, Deep Crack y distributed.net romper una clave DES en 22 horas y 15 minutos.
25 de octubre 1999 DES es reafirmado por cuarta vez como FIPS 46-3, que especifica el uso preferente de Triple DES, con DES simple permite sólo en sistemas heredados.
26 de noviembre 2001 La Advanced Encryption Standard se publica en FIPS 197
26 de mayo 2002 La AES se haga efectiva
26 de julio 2004 Se propone la retirada de FIPS 46-3 (y un par de normas relacionadas) en el Registro Federal
19 de mayo 2005 NIST retira FIPS 46-3 (véase Registro Federal vol 70, número 96)
Abril 2006 La FPGA máquina paralela basada Copacobana de las universidades de Bochum y Kiel, Alemania, rompe DES en 9 días en $ 10,000 el costo del hardware. Dentro de un año las mejoras de software redujeron el tiempo promedio de 6,4 días.
Noviembre 2008 El sucesor de Copacabana, la máquina RIVYERA redujo el tiempo promedio a menos de un solo día.

Descripción

Feistel functionFeistel functionFeistel functionFeistel function
Figura 1 - La estructura general Feistel de DES
Por razones de brevedad, la siguiente descripción omite las transformaciones exactas y permutaciones que especifican el algoritmo; para la referencia, los detalles se pueden encontrar en Material complementario DES.

DES es el arquetipo bloques de cifrado - un algoritmo que toma una cadena de longitud fija de bits de texto plano y lo transforma a través de una serie de operaciones complicadas en otro texto cifrado cadena de bits de la misma longitud. En el caso de DES, la tamaño de bloque es de 64 bits. DES usa también un clave para personalizar la transformación, por lo que el descifrado sólo puede supuestamente ser realizado por aquellos que conocen la clave particular utilizada para cifrar. La clave consiste ostensiblemente de 64 bits; sin embargo, sólo 56 de ellos sean realmente utilizadas por el algoritmo. Ocho bits se utilizan únicamente para el control de paridad, y están a partir de entonces se desecha. Por lo tanto la efectiva longitud de la clave es de 56 bits, y que siempre se cita como tal.

La clave está nominalmente almacenada o transmitida como 8 bytes, cada uno con paridad impar. De acuerdo con ANSI X3.92-1981, sección 3.5:

Un bit en cada byte de 8 bits de la clave puede ser utilizado para la detección de errores en la generación, distribución y almacenamiento de claves. Bits 8, 16, ..., 64 son para uso en asegurar que cada byte es de paridad impar.

Al igual que otros sistemas de cifrado de bloques, DES por sí mismo no es un medio seguro de cifrado, sino debe ser utilizado en un modo de operación. FIPS-81 especifica varios modos para su uso con DES. Otros comentarios sobre el uso de DES están contenidas en FIPS-74.

Estructura general

La estructura general del algoritmo se muestra en la Figura 1: hay 16 etapas idénticas de procesamiento, denominada rondas. También hay una inicial y final de permutación , denominada IP y FP, que son inversas (IP "deshace" la acción de la FP, y viceversa). IP y FP casi no tienen importancia criptográfica, pero al parecer se incluyeron con el fin de facilitar bloques de carga dentro y fuera de hardware mediados de 1970.

Antes de que los principales rondas, el bloque se divide en dos mitades de 32 bits y se procesa alternativamente; este entrecruzamiento se conoce como el Esquema Feistel. La estructura Feistel asegura que el descifrado y cifrado son procesos muy similares - la única diferencia es que las subclaves se aplican en el orden inverso cuando descifrar. El resto del algoritmo es idéntico. Esto simplifica enormemente la implementación, en particular en hardware, ya que no hay necesidad de algoritmos de cifrado y descifrado separadas.

El símbolo ⊕ indica la exclusiva-OR operación (XOR). La función F codifica medio de un bloque junto con algunas de las claves. La salida de la función F se combina luego con la otra mitad del bloque, y las mitades se intercambian antes de la siguiente ronda. Después de la ronda final, las mitades se intercambian; esta es una característica de la estructura de Feistel que hace de cifrado y descifrado procesos similares.

La función de Feistel (F)

La función F, representada en la Figura 2, opera en la mitad de un bloque (32 bits) en un momento y se compone de cuatro etapas:

Figura 2 -La función Feistel (F-función) de DES
  1. Expansión - el medio de bloque de 32 bits se expande a 48 bits utilizando la permutación de expansión, E denota en el diagrama, mediante la duplicación de la mitad de los bits. La salida consta de ocho piezas de 6 bits (8 * 6 = 48 bits), conteniendo cada uno una copia de 4 bits de entrada correspondientes, más una copia de la broca inmediatamente adyacente de cada una de las piezas de entrada a cada lado.
  2. Mezcla de claves - el resultado se combina con una subclave utilizando una operación XOR. 16 subclaves 48 bits - uno para cada ronda - se derivan de la clave principal usando el programa de claves (descrito a continuación).
  3. Sustitución - después de la mezcla en la subclave, el bloque se divide en ocho piezas de 6 bits antes de su procesamiento por el S-cajas o cajas de sustitución. Cada una de las ocho cajas S reemplaza sus seis bits de entrada con cuatro bits de salida de acuerdo con una transformación no lineal, proporcionado en forma de una tabla de búsqueda. Las cajas-S proporcionan la base de la seguridad de DES - sin ellos, la cifra sería lineal, y trivialmente rompible.
  4. Permutación - por último, las 32 salidas de las cajas-S se reordenan según un fijo de permutación , la caja P. Esto está diseñado para que los bits de salida de que, después de permutación, cada S-box se distribuyen en 6 cajas S diferentes en la siguiente ronda.

La alternancia de sustitución de las cajas-S, y la permutación de bits de la caja P y E-expansión proporciona los llamados " confusión y difusión ", respectivamente, un concepto identificado por Claude Shannon en la década de 1940 como una condición necesaria para un sistema de cifrado seguro y práctico.

Horario Clave

Figura 3 - La clave-calendario de DES

La Figura 3 ilustra el programa de claves para el cifrado - el algoritmo que genera las subclaves. Inicialmente, 56 bits de la clave se seleccionan del inicial 64 por permutado Choice 1 (PC-1) - los ocho bits restantes se descartan ya sea o se utilizan como bits de verificación de paridad. Los 56 bits se dividen en dos mitades de 28 bits; cada medio se trata posteriormente por separado. En rondas sucesivas, las dos mitades se hacen girar dejaron por uno o dos bits (especificados para cada ronda), y luego 48 bits de subclave son seleccionados por permutado Choice 2 (PC-2) - 24 bits de la mitad izquierda, y 24 de la derecha . Las rotaciones (denotados por "<<<" en el diagrama) significan que un conjunto diferente de bits se utiliza en cada subclave; cada bit se utiliza en aproximadamente 14 de los 16 subclaves.

El horario clave para el descifrado es similar - las subclaves están en orden inverso en comparación con el cifrado. Aparte de ese cambio, el proceso es el mismo que para el cifrado. Los mismos 28 bits se transmiten a todos los cuadros de rotación.

Seguridad y criptoanálisis

Aunque más información se ha publicado en el criptoanálisis de DES que cualquier otro cifrado de bloques, el ataque más práctica hasta la fecha sigue siendo un método de fuerza bruta. Varias propiedades criptoanalíticos menores son conocidos, y tres ataques teóricos son posibles que, aun teniendo una complejidad teórica menos de un ataque de fuerza bruta, requieren un número irreal de conocido o textos planos escogidos para llevar a cabo, y no son una preocupación en la práctica.

Ataque de fuerza bruta

Para cualquier cifra, el método más básico de ataque es la fuerza bruta - tratando todas las claves posibles a su vez. La longitud de la clave determina el número de claves posibles, y por lo tanto la viabilidad de este enfoque. Para DES, se formularon preguntas acerca de la idoneidad de su tamaño de la clave desde el principio, incluso antes de que fuera adoptado como un estándar, y fue el tamaño pequeño clave, en lugar de criptoanálisis teórico, que dictó una necesidad de un algoritmo de reemplazo. Como resultado de las discusiones que involucran consultores externos, incluyendo la NSA, el tamaño de la clave se redujo de 128 bits a 56 bits para que quepa en un solo chip.

La Estados Unidos de la EFF $ 250,000 DES máquina agrietamiento contenía 1.856 fichas personalizadas y podría fuerza bruta una clave DES en cuestión de días - la foto muestra una placa de circuito DES Cracker equipado con varios chips profunda grieta.

En el ámbito académico, se adelantaron varias propuestas para una máquina DES-agrietamiento. En 1977, Diffie y Hellman propusieron una máquina con un costo estimado de US $ 20 millones, lo que podría encontrar una clave DES en un solo día. Para 1993, Wiener había propuesto una máquina clave de búsqueda que cuesta US $ 1 millón que encontrar una llave dentro de 7 horas. Sin embargo, ninguna de estas primeras propuestas fueron implementadas o nunca, al menos, no hay implementaciones fueron reconocidos públicamente. La vulnerabilidad de DES fue prácticamente demostró a finales de 1990. En 1997, RSA Security patrocinó una serie de concursos, ofreciendo un premio de $ 10,000 para el primer equipo que rompió un mensaje cifrado con DES para el concurso. Esa competencia fue ganada por el DESCHALL proyecto, liderado por Rocke Verser, Matt Curtin, y Justin Dolske, usando los ciclos de inactividad de miles de ordenadores a través de Internet. La viabilidad de agrietamiento DES rápidamente se demostró en 1998, cuando una costumbre DES-galleta fue construido por el Electronic Frontier Foundation (EFF), un grupo de derechos civiles ciberespacio, al costo de aproximadamente US $ 250.000 (ver EFF DES galleta). Su motivación era mostrar que DES era rompible en la práctica como en la teoría: "Hay mucha gente que no quiere creer una verdad hasta que puedan ver con sus propios ojos mostrándoles una máquina física que pueden descifrar DES en unos pocos. días es la única manera de convencer a algunas personas que realmente no pueden confiar su seguridad a DES ". La máquina bruta forzó una clave en un poco más de 2 días de búsqueda.

El siguiente galleta DES confirmado fue la máquina Copacobana construido en 2006 por los equipos de la Universidades de Bochum y Kiel, tanto en Alemania . A diferencia de la máquina FEP, Copacobana consta de circuitos integrados comercialmente disponibles, reconfigurables. 120 de estos -matrices de puertas programables (FPGA) de tipo Xilinx Spartan-3 1000 corren en paralelo. Están agrupadas en 20 módulos DIMM, cada uno con 6 FPGAs. El uso de hardware reconfigurable hace que la máquina aplicable a otras tareas de código romper también. Uno de los aspectos más interesantes de Copacobana es su factor de coste. Una máquina puede ser construido por aproximadamente $ 10.000. La disminución de costos por aproximadamente un factor de 25 sobre la máquina FEP es un ejemplo de la mejora continua de hardware digital. Ajuste por inflación más de 8 años produce una mejora aún mayor de aproximadamente 30x. Desde el año 2007, SciEngines GmbH, una empresa spin-off de los dos socios del proyecto de Copacabana ha mejorado y desarrollado sucesores de Copacabana. En 2008 su Copacobana RIVYERA redujo el tiempo para romper DES a menos de un día, con 128 Spartan-3 de 5000. Actualmente SciEngines RIVYERA tiene el récord en la fuerza bruta romper DES, después de haber utilizado 128 Spartan-3 5000 FPGAs. Su 256 Spartan-6 modelo LX150 incluso ha bajado este momento.

Los ataques más rápido que la fuerza bruta

Hay tres ataques conocidos que pueden romper los plenos 16 rondas de DES con menos complejidad que la búsqueda de fuerza bruta: criptoanálisis diferencial (DC), el criptoanálisis lineal (LC), y Ataque de Davies. Sin embargo, los ataques son teóricos y son inviables para montar en la práctica; este tipo de ataque se denominan a veces debilidades certificational.

  • Criptoanálisis diferencial fue redescubierta a finales de 1980 por Eli Biham y Adi Shamir; era conocido antes para IBM y la NSA y mantenido en secreto. Para romper la totalidad de 16 rondas, criptoanálisis diferencial requiere 2 49 textos planos escogidos. DES fue diseñado para ser resistente a la DC.
  • Criptoanálisis lineal fue descubierto por Mitsuru Matsui, y necesita 2 43 textos planos conocidos (Matsui, 1993); el método fue implementado (Matsui, 1994), y fue el primer criptoanálisis experimental de DES que se informó. No hay evidencia de que el DES fue diseñada para ser resistente a este tipo de ataque. Una generalización de LC - criptoanálisis lineal múltiple - se sugirió en 1994 (Kaliski y Robshaw), y fue perfeccionado por Biryukov y otros. (2004); su análisis sugiere que múltiples aproximaciones lineales podrían ser utilizados para reducir los requisitos de datos del ataque por al menos un factor de 4 (es decir, 2 41 en lugar de 2 43). Una reducción similar en la complejidad de los datos se puede obtener en un texto claro-elegido variante del criptoanálisis lineal (Knudsen y Mathiassen, 2000). Junod (2001) realizó varios experimentos para determinar la complejidad de tiempo real del criptoanálisis lineal, e informó que se trataba de algo más rápido de lo previsto, lo que requiere tiempo equivalente a 2 evaluaciones 39 -2 41 DES.
  • Mejora Davies ataque: mientras diferencial criptoanálisis lineal y son técnicas generales y se pueden aplicar a una serie de planes, Davies ataque es una técnica especializada para DES, primero sugerido por Donald Davies en los años ochenta, y mejorado por Biham y Biryukov (1997). La forma más poderosa del ataque requiere 2 50 textos planos conocidos, tiene una complejidad computacional de 2 50, y tiene una tasa de éxito del 51%.

También ha habido ataques contra propuestas versiones reducida ronda de la cifra, es decir, versiones de DES con menos de 16 rondas. Dicho análisis da una idea de cuántas rondas son necesarios para la seguridad, y la cantidad de un "margen de seguridad" la versión completa conserva. Criptoanálisis diferencial lineal fue propuesto por Langford y Hellman en 1994 y combina criptoanálisis diferencial y lineal en un solo ataque. Una versión mejorada del ataque puede romper 9 rondas DES con 2 15.8 textos planos conocidos y tiene un tiempo de complejidad 2 29.2 (Biham y otros, 2002).

Propiedades criptoanalíticos menores

DES exhibe la propiedad de complementación, a saber, que

E_K (P) = C \ leftrightarrow E _ {\ overline {K}} (\ overline {P}) = \ overline {C}

donde \ Overline {x} es el bitwise complemento de x.E_K denota el cifrado con clave K.P y C denotar bloques de texto plano y texto cifrado respectivamente. La propiedad complementación significa que el trabajo para un ataque de fuerza bruta se podría reducir por un factor de 2 (o un solo bit) bajo una asunción de texto plano escogido. Por definición, esta propiedad también se aplica también a TDES cifrado.

DES también tiene cuatro llamados claves débiles. Encryption (E) y el descifrado (D) bajo una clave débil tienen el mismo efecto (ver involución):

E_K (E_K (P)) = P o equivalentemente, E_K = D_K.

También hay seis pares de claves semi-débiles. Cifrado con uno del par de claves semiweak, K_1 , Funciona de forma idéntica a descifrado con la otra, K_2 :

E_ {K_1} (E_ {k_2} (P)) = P o equivalentemente, E_ {k_2} = D_ {K_1}.

Es bastante fácil de evitar las claves débiles y semiweak en una aplicación, ya sea mediante pruebas de forma explícita, o simplemente por la elección de claves al azar; las probabilidades de elegir una clave débil o semiweak por casualidad son insignificantes. Las llaves no son realmente ninguna más débil que cualquier otra clave de todos modos, ya que no dan un ataque ninguna ventaja.

DES también se ha demostrado no ser un grupo , o más precisamente, el conjunto \ {E_K \} (Para todas las claves posibles K ) Bajo composición funcional no es un grupo, ni "cerca" de ser un grupo. Esta fue una pregunta abierta durante algún tiempo, y si hubiera sido así, habría sido posible romper DES, y múltiples modos de encriptación como Triple DES no aumentaría la seguridad.

Se sabe que la máxima seguridad criptográfica de DES se limita a alrededor de 64 bits, incluso cuando se elige de forma independiente todas las subclaves redondas en lugar de derivar desde una llave, que de otro modo permitir una seguridad de 768 bits.

Algoritmos de repuesto

Las preocupaciones sobre la seguridad y la relativamente lenta operación de DES en software provocado que los investigadores proponen una variedad de alternativas bloquear diseños de cifrado, que comenzaron a aparecer a finales de 1980 y principios de 1990: los ejemplos incluyen RC5, Blowfish, IDEA, NewDES, SAFER, CAST5 y FEAL. La mayoría de estos diseños mantienen el tamaño de bloque de 64 bits de DES, y podría actuar como un reemplazo "drop-in", a pesar de que normalmente utilizan una clave de 64 bits o 128 bits. En la URSS la GOST 28147-89 algoritmo se introdujo, con un tamaño de bloque de 64 bits y una clave de 256 bits, que también se utiliza en Rusia después.

DES en sí puede ser adaptado y reutilizado en un esquema más seguro. Muchos de los antiguos usuarios DES utilizan ahora Triple DES (TDES) que fue descrito y analizado por uno de los titulares de patentes de DES (ver FIPS Pub 46-3); que implica la aplicación de DES tres veces con dos (2TDES) o tres (3TDES) diferentes llaves. TDES se considera adecuadamente asegurar, aunque es bastante lento. Una alternativa menos costosa computacionalmente es DES-X, lo que aumenta el tamaño de clave aplicándole una operación XOR material de claves adicional antes y después de DES. GDES era una variante DES propuesto como una manera de acelerar el cifrado, pero ha demostrado ser susceptibles a criptoanálisis diferencial.

En 2001, después de un concurso internacional, NIST selecciona una nueva cifra, el Advanced Encryption Standard (AES), como reemplazo. El algoritmo que fue seleccionado como el AES fue presentada por sus diseñadores con el nombre Rijndael. Otros finalistas en el NIST Competencia AES incluido RC6, Serpiente, MARS, y Twofish.

Recuperado de " http://en.wikipedia.org/w/index.php?title=Data_Encryption_Standard&oldid=542993100 "