Режимы работы Double DES и Triple DES

Аналогично «одинарному» алгоритму DES, Double DES и Triple DES могут быть использованы в различных режимах работы (см. разд. 1.4): ЕСВ, СВС, CFB и OFB. Однако, например, Triple DES выполняет три раздельных шифрования каждого блока, поэтому различные связи между шифруемыми блоками данных (например, действие Ci =Ek(Mt ®С(_{) в режиме СВС) могут быть установлены после выполнения каждого элементарного шифрования обычным алгоритмом DES (это называется внутренним режимом), а не после завершения выполнения всех трех шифрований (для отличия от внутренних режимов классические режимы работы в применении к Double и Triple DES часто называют внешними) [28, 54]. Сказанное легко пояснить на примере рис. 3.61, на котором слева изображен внешний режим СВС, а справа — внутренний СВС|СВС|СВС [28]. Разница очевидна.

Вариантов комбинирования режимов работы для получения различных внутренних режимов Double и Triple DES существует великое множество, например, в [54] Эли Бихам проанализировал криптостойкость 42 «двойных» и 258 «тройных» внутренних режимов работы. Однако в этой и ряде других работ [53, 58, 175] доказано, что наибольшей криптостойкостью обладают внешние режимы работы, поэтому внутренние режимы использовать не рекомендуется.

Рис. 3.61. Внешние и внутренние режимы работы

 

Рис. 3.62. Режим работы Triple DES ECB|ECB|OFB

В качестве примера можно привести атаку на внутренний режим 3-key Triple DES ECB|ECB|OFB (рис. 3.62). Получить 168-битный ключ атакующий может следующим образом [54]:

1. Поскольку режим OFB скрывает информацию, необходимую для проведения атаки «встреча посередине» на первые два зашифровывания в режиме ЕСВ, необходимо атаковать режим OFB. Для этого выбирается некий случайный блок Л, после чего выполняется зашифровывание текста из 264 последовательных блоков А. Поскольку период псевдослучайной последовательности, генерируемой алгоритмом DES в режиме OFB, не может превышать 264, шифрование 264 одинаковых блоков даст значение периода этой последовательности, поскольку оно в данном случае эквивалентно периоду шифртекста.

2.    Обозначим псевдослучайную последовательность, получаемую режимом OFB, как v[0],v[l],…v[264 -1], а результат двойного зашифровывания режимом ЕСВ как А’ = Екк (А)). В этом случае шифртекст представляет собой последовательность блоков, имеющих следующие значения:

Рис. 3.64. Алгоритм Мэта Блейза

Алгоритм использует 112-битный ключ шифрования, половина которого используется для вычисления маскирующей последовательности.

Автор этого алгоритма посчитал, что, помимо решения проблемы короткого ключа DES, его алгоритм имеет ряд преимуществ, благодаря которым алгоритм идеально подходит для прозрачного шифрования файлов в операционных системах семейства UNIX. В своей работе [93] Мэт Блейз дает множество рекомендаций по построению криптографически защищенной файловой системы CFS (Cryptographic File System) на основе его алгоритма. Однако в [120] была опубликована атака на этот алгоритм, требующая наличия всего двух блоков открытого текста и соответствующих им шифртекстов, причем при их зашифровывании использовалось одно и то же значение IV. При наличии этих данных достаточно выполнения 3*256 операций для вычисления ключа шифрования.

В [120] упоминается алгоритм с аналогичным наложением масок на Double DES — алгоритм Джонса (Jones):

Алгоритм Джонса в 1,5 раза медленнее, чем алгоритм Блейза, но так же легко вскрываем — 168-битный ключ этого алгоритма может быть получен выпол-

со

нением 2 шифрований при наличии тех же исходных данных, которые требуются для вскрытия алгоритма Блейза [120].

Различные внутренние режимы работы и режимы с маскированием могут быть применены не только в вариантах многократного DES, но и в любых других алгоритмах.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100