Der Datenverschlüsselungsstandard (DES, oder) ist ein vorher vorherrschender Algorithmus für die Verschlüsselung von elektronischen Daten. Es war in der Förderung der modernen Geheimschrift in der akademischen Welt hoch einflussreich. Entwickelt am Anfang der 1970er Jahre an IBM und gestützt auf einem früheren Design durch Horst Feistel wurde der Algorithmus dem Nationalen Büro von Standards (NBS) im Anschluss an die Einladung der Agentur vorgelegt, einen Kandidaten für den Schutz von empfindlichen, nicht klassifizierten elektronischen Regierungsdaten vorzuschlagen. 1976, nach der Beratung mit National Security Agency (NSA), hat der NBS schließlich eine ein bisschen modifizierte Version ausgewählt, die als offizieller Federal Information Processing Standard (FIPS) für die Vereinigten Staaten 1977 veröffentlicht wurde. Die Veröffentlichung eines NSA-genehmigten Verschlüsselungsstandards ist gleichzeitig auf seine schnelle internationale Adoption und weit verbreitete akademische genaue Untersuchung hinausgelaufen. Meinungsverschiedenheiten sind aus klassifizierten Designelementen, einer relativ kurzen Schlüssellänge des Block-Ziffer-Designs des symmetrischen Schlüssels und der Beteiligung des NSA entstanden, Verdacht über eine Hintertür nährend. Während sich dieser Verdacht schließlich erwiesen hat, die intensive akademische genaue Untersuchung grundlos zu sein, hat der Algorithmus erhalten mit der Zeit zum modernen Verstehen von Block-Ziffern und ihrem cryptanalysis geführt.

Wie man

jetzt betrachtet, ist DES für viele Anwendungen unsicher. Das ist hauptsächlich wegen der 56-Bit-Schlüsselgröße, die zu klein ist; im Januar 1999, distributed.net und das Elektronische Grenzfundament hat zusammengearbeitet, um einen DES Schlüssel in 22 Stunden und 15 Minuten öffentlich zu brechen (sieh Chronologie). Es gibt auch einige analytische Ergebnisse, die theoretische Schwächen in der Ziffer demonstrieren, obwohl sie unausführbar sind, in der Praxis zu steigen. Wie man glaubt, ist der Algorithmus in der Form von Dreifachem DES praktisch sicher, obwohl es theoretische Angriffe gibt. In den letzten Jahren ist die Ziffer durch Advanced Encryption Standard (AES) ersetzt worden. Außerdem ist DES als ein Standard vom Nationalen Institut für Standards und Technologie (früher das Nationale Büro von Standards) zurückgezogen worden.

Eine Dokumentation macht eine Unterscheidung zwischen DES als ein Standard und DES als ein Algorithmus, den Algorithmus als der DEA (Datenverschlüsselungsalgorithmus) kennzeichnend.

Geschichte von DES

Die Ursprünge von DES gehen zum Anfang der 1970er Jahre zurück. 1972, nach dem Folgern einer Studie auf den Computersicherheitsbedürfnissen der US-Regierung, der US-Standardkörper hat NBS (Nationales Büro von Standards) — jetzt NIST genannt (Nationales Institut für Standards, und Technologie) — hat ein Bedürfnis nach einem Weitregierungsstandard für die encrypting nicht klassifizierte, empfindliche Information identifiziert. Entsprechend, am 15. Mai 1973, nach der Beratung mit dem NSA, hat NBS Vorschläge für eine Ziffer gebeten, die strengen Designkriterien entsprechen würde. Keine der Vorlagen hat sich jedoch erwiesen, passend zu sein. Eine zweite Bitte wurde am 27. August 1974 ausgegeben. Dieses Mal hat IBM einen Kandidaten vorgelegt, der annehmbar — eine Ziffer gehalten wurde, die während der Periode 1973-1974 gestützte auf einem früheren Algorithmus, der Ziffer von Luzifer von Horst Feistel entwickelt ist. Die Mannschaft an IBM, der am Ziffer-Design und der Analyse beteiligt ist, hat Feistel, Walter Tuchman, Don Coppersmith, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith und Bryant Tuckerman eingeschlossen.

Die Beteiligung von NSA am Design

Am 17. März 1975 wurde der vorgeschlagene DES im Bundesregister veröffentlicht. Öffentliche Anmerkungen wurden gebeten, und im folgenden Jahr, wie man hielt, haben zwei offene Werkstätten den vorgeschlagenen Standard besprochen. Es gab etwas Kritik von verschiedenen Parteien, einschließlich von Geheimschrift-Pionieren des öffentlichen Schlüssels Martin Hellman und Whitfield Diffie, eine verkürzte Schlüssellänge und die mysteriösen "S-Kästen" als Beweise der unpassenden Einmischung vom NSA zitierend. Der Verdacht war, dass der Algorithmus vom Geheimdienst versteckt geschwächt worden war, so dass sie — aber keiner anderer — konnte encrypted Nachrichten leicht lesen. Alan Konheim (einer der Entwerfer von DES) hat kommentiert, "Wir haben die S-Kästen nach Washington weggeschickt. Sie sind zurückgekommen und waren alle verschieden." Das ausgesuchte Komitee des USA-Senats auf der Intelligenz hat die Handlungen des NSA nachgeprüft, um zu bestimmen, ob es unpassende Beteiligung gegeben hatte. In der nicht klassifizierten Zusammenfassung ihrer Ergebnisse, veröffentlicht 1978, hat das Komitee geschrieben:

Jedoch hat es auch das gefunden

Ein anderes Mitglied der DES Mannschaft, Walter Tuchman, hat festgestellt, dass "Wir den DES Algorithmus völlig innerhalb von IBM mit IBMers entwickelt haben. Der NSA hat keine einzelne Leitung diktiert!"

Im Gegensatz, ein freigegebener NSA bestellen auf cryptologic Geschichtsstaaten vor:

und

Etwas vom Verdacht über Tücken in den S-Kästen wurde 1990, mit der unabhängigen Entdeckung und offenen Veröffentlichung von Eli Biham und Adi Shamir von Differenzial cryptanalysis, einer allgemeinen Methode beruhigt, um Block-Ziffern zu brechen. Die S-Kästen von DES waren gegen den Angriff viel widerstandsfähiger, als wenn sie aufs Geratewohl gewählt worden waren, stark darauf hinweisend, dass IBM über die Technik in den 1970er Jahren gewusst hat. Das war tatsächlich der Fall; 1994 hat Don Coppersmith einige der ursprünglichen Designkriterien für die S-Kästen veröffentlicht. Gemäß Steven Levy haben Forscher von IBM Watson Differenzial cryptanalytic Angriffe 1974 entdeckt und wurden durch den NSA gebeten, das Technik-Geheimnis zu behalten. Coppersmith erklärt die Geheimhaltungsentscheidung von IBM, indem er sagt, "das war, weil [Differenzial cryptanalysis] ein sehr starkes Werkzeug sein kann, das gegen viele Schemas verwendet ist, und es Sorge gab, dass solche Information im öffentlichen Gebiet Staatssicherheit nachteilig betreffen konnte." Levy zitiert Walter Tuchman:" [t] he gefragt nach uns, um auf alle unsere vertraulichen Dokumente zu stampfen... Wir stellen wirklich eine Zahl auf jeden und haben sie in Safes abgeschlossen, weil sie als amerikanische klassifizierte Regierung betrachtet wurden. Sie haben gesagt tun es. So habe ich es getan". Bruce Schneier hat bemerkt, dass "Die akademische Gemeinschaft zwei Jahrzehnte gebraucht hat, um das auszurechnen, hat der NSA 'Kniffe' wirklich die Sicherheit von DES verbessert."

Der Algorithmus als ein Standard

Trotz der Kritiken wurde DES als ein Bundesstandard im November 1976 genehmigt, und am 15. Januar 1977 als FIPS BAR 46 veröffentlicht, für den Gebrauch auf allen nicht klassifizierten Daten autorisiert. Es wurde nachher nochmals versichert, weil der Standard 1983, 1988 (revidiert als FIPS-46-1), 1993 (FIPS-46-2), und wieder 1999 (FIPS-46-3), das letzte Vorschreiben "DES" (sieh unten) Verdreifacht. Am 26. Mai 2002 wurde DES schließlich durch Advanced Encryption Standard (AES) im Anschluss an eine öffentliche Konkurrenz ersetzt. Am 19. Mai 2005 wurde FIPS 46-3 offiziell zurückgezogen, aber NIST hat Dreifachen DES im Laufe des Jahres 2030 für die empfindliche Regierungsinformation genehmigt.

Der Algorithmus wird auch in ANSI X3.92, NIST SP 800-67 und ISO/IEC 18033-3 (als ein Bestandteil von TDEA) angegeben.

Ein anderer theoretischer Angriff, geradliniger cryptanalysis, wurde 1994 veröffentlicht, aber es war ein Angriff der rohen Gewalt 1998, der demonstriert hat, dass DES sehr praktisch angegriffen werden konnte, und das Bedürfnis nach einem Ersatzalgorithmus hervorgehoben hat. Diese und anderen Methoden von cryptanalysis werden ausführlicher später in diesem Artikel besprochen.

Wie man

betrachtet, ist die Einführung von DES ein Katalysator für die akademische Studie der Geheimschrift besonders Methoden gewesen, Block-Ziffern zu knacken. Gemäß einer NIST Retrospektive über DES,

Wie man

sagen kann, hat:The DES "Sprung angefangen" die nichtmilitärische Studie und Entwicklung von Verschlüsselungsalgorithmen. In den 1970er Jahren gab es sehr wenige Kryptographen, abgesehen von denjenigen im Militär oder den Nachrichtendienstorganisationen und wenig akademischer Studie der Geheimschrift. Es gibt jetzt viele aktive akademische cryptologists, Mathematik-Abteilungen mit starken Programmen in der Geheimschrift, und kommerzielle Informationssicherheitsgesellschaften und Berater. Eine Generation von cryptanalysts hat sein Zahn-Analysieren geschnitten (der versucht "zu krachen") der DES Algorithmus. In den Wörtern des Kryptographen Bruce Schneier, "hat DES mehr getan, um das Feld von cryptanalysis zu galvanisieren, als irgend etwas anderes. Jetzt gab es einen Algorithmus, um zu studieren." Ein erstaunlicher Anteil der offenen Literatur in der Geheimschrift hat sich in den 1970er Jahren und 1980er Jahren mit dem DES befasst, und der DES ist der Standard, gegen den jeder symmetrische Schlüsselalgorithmus seitdem verglichen worden ist.

Chronologie

Beschreibung

File:DES-main-network.png|thumb|250px | — Die gesamte Struktur von Feistel von DES

rect 0 130 639 229 Anfängliche Versetzung

rect 220 300 421 405 Feistel fungieren

rect 220 594 421 701 Feistel fungieren

rect 220 1037 421 1144 Feistel fungieren

rect 220 1330 421 1437 Feistel fungieren

rect 0 1478 639 1577 Endversetzung

Kreis 50 351 26 XOR

Kreis 50 647 26 XOR

Kreis 50 1090 26 XOR

Kreis 50 1383 26 XOR

</imagemap>

:For-Kürze, die folgende Beschreibung lässt die genauen Transformationen und Versetzungen weg, die den Algorithmus angeben; für die Verweisung können die Details im DES ergänzenden Material gefunden werden.

DES ist die archetypische Block-Ziffer — ein Algorithmus, der eine Schnur der festen Länge von plaintext Bit nimmt und sie durch eine Reihe von komplizierten Operationen in einen anderen ciphertext bitstring von derselben Länge umgestaltet. Im Fall von DES ist die Block-Größe 64 Bit. DES verwendet auch einen Schlüssel, die Transformation kundengerecht anzufertigen, so dass Dekodierung vermutlich nur von denjenigen durchgeführt werden kann, die den besonderen an encrypt verwendeten Schlüssel wissen. Der Schlüssel besteht scheinbar aus 64 Bit; jedoch werden nur 56 von diesen wirklich durch den Algorithmus verwendet. Acht Bit werden verwendet, um allein Gleichheit zu überprüfen, und werden danach verworfen. Folglich ist die wirksame Schlüssellänge 56 Bit, und sie wird als solcher nie angesetzt. Jedes 8. Bit des ausgewählten Schlüssels wird verworfen, d. h. Positionen 8, 16, 24, 32, 40, 48, 56, 64 werden vom 64-Bit-Schlüssel entfernt, der nur den 56-Bit-Schlüssel zurücklässt.

Wie andere Block-Ziffern ist DES allein nicht ein sicheres Mittel der Verschlüsselung, aber muss stattdessen in einer Verfahrensweise verwendet werden. FIPS-81 gibt mehrere Weisen für den Gebrauch mit DES an. Weitere Kommentare zum Gebrauch von DES werden in FIPS-74 enthalten.

Gesamte Struktur

Die gesamte Struktur des Algorithmus wird in der Abbildung 1 gezeigt: Es gibt 16 identische Stufen der Verarbeitung, genannter Runden. Es gibt auch eine anfängliche und endgültige Versetzung, hat IP und FP genannt, die Gegenteile sind (IP "macht" die Handlung von FP, und umgekehrt "auf"). IP und FP haben fast keine kryptografische Bedeutung, aber wurden anscheinend eingeschlossen, um ladende Blöcke in und aus der Hardware der Mitte der 1970er Jahre zu erleichtern.

Vor den Hauptrunden wird der Block in zwei 32 Bit Hälften geteilt und abwechselnd bearbeitet; dieses Kreuzen ist als das Schema von Feistel bekannt. Die Feistel Struktur stellt sicher, dass Dekodierung und Verschlüsselung sehr ähnliche Prozesse sind — ist der einzige Unterschied, dass die Subschlüssel in der Rückordnung angewandt werden, wenn man entschlüsselt. Der Rest des Algorithmus ist identisch. Das vereinfacht außerordentlich Durchführung besonders in der Hardware, weil es kein Bedürfnis nach der getrennten Verschlüsselung und den Dekodierungsalgorithmen gibt.

Das  Symbol zeigt das exklusive - ODER (XOR) Operation an. Die F-Funktion rafft einen halben Block zusammen mit etwas vom Schlüssel zusammen. Die Produktion von der F-Funktion wird dann mit der anderen Hälfte des Blocks verbunden, und die Hälften werden vor der nächsten Runde getauscht. Nach der Endrunde werden die Hälften nicht getauscht; das ist eine Eigenschaft der Struktur von Feistel, die Verschlüsselung und Dekodierung ähnliche Prozesse macht.

Der Feistel (F) Funktion

Die F-Funktion, die in der Abbildung 2 gezeichnet ist, funktioniert auf einem halben Block (32 Bit) auf einmal und besteht aus vier Stufen:

File:DES-f-function.png|thumb|250px | — Die Feistel-Funktion (F-Funktion) von DES

rect 10 88 322 170 Vergrößerungsfunktion

rect 9 340 77 395 Ersatz-Kasten 1

rect 89 340 157 395 Ersatz-Kasten 2

rect 169 340 237 395 Ersatz-Kasten 3

rect 247 340 315 395 Ersatz-Kasten 4

rect 327 340 395 395 Ersatz-Kasten 5

rect 405 340 473 395 Ersatz-Kasten 6

rect 485 340 553 395 Ersatz-Kasten 7

rect 565 340 633 395 Ersatz-Kasten 8

rect 9 482 630 565 Versetzung

Kreis 319 232 21 XOR

</imagemap>

1. Vergrößerung — der 32-Bit-Halbblock wird zu 48 Bit mit der Vergrößerungsversetzung ausgebreitet, hat E im Diagramm, durch das Kopieren der Hälfte der Bit angezeigt. Die Produktion besteht aus acht 6 Bit (8 * 6 = 48 Bit) Stücke, jeder, eine Kopie von 4 entsprechenden Eingangsbit plus eine Kopie des sofort angrenzenden Bit von jedem der Eingangsstücke zu jeder Seite enthaltend.
2. Das Schlüsselmischen — das Ergebnis wird mit einem Subschlüssel mit einer XOR Operation verbunden. 16 48-Bit-Subschlüssel — ein für jede Runde — werden aus dem Hauptschlüssel mit der Schlüsselliste (beschrieben unten) abgeleitet.
3. Ersatz — nach dem Mischen im Subschlüssel wird der Block in acht 6-Bit-Stücke vor der Verarbeitung durch die S-Kästen oder Ersatz-Kästen geteilt. Jeder der acht S-Kästen ersetzt seine sechs Eingangsbit durch vier Produktionsbit gemäß einer nichtlinearen Transformation, die in der Form einer Nachschlagetabelle zur Verfügung gestellt ist. Die S-Kästen stellen den Kern der Sicherheit von DES — ohne sie zur Verfügung, die Ziffer würde geradlinig, und trivial zerbrechlich sein.
4. Versetzung — schließlich, die 32 Produktionen von den S-Kästen werden gemäß einer festen Versetzung, dem P-Kasten umgeordnet. Das wird entworfen, so dass, nach der Vergrößerung, die Produktionsbit jedes S-Kastens über 6 verschiedene S ausgebreitet werden, schließt die nächste Runde ein.

Der Wechsel des Ersatzes von den S-Kästen und die Versetzung von Bit vom P-Kasten und der E-Vergrößerung stellen so genannte "Verwirrung und Verbreitung" beziehungsweise, ein Konzept zur Verfügung, das von Claude Shannon in den 1940er Jahren als eine notwendige Bedingung für einen sicheren noch praktische Ziffer identifiziert ist.

Schlüsselliste

File:DES-key-schedule.png|thumb|250px | — Die Schlüsselliste von DES

rect 96 28 298 58 Permutierte Wahl 1

rect 127 122 268 155 Permutierte Wahl 2

rect 127 216 268 249 Permutierte Wahl 2

rect 127 357 268 390 Permutierte Wahl 2

rect 127 451 268 484 Permutierte Wahl 2

rect 96 91 127 116 Linke Verschiebung durch 1

rect 268 91 299 116 Linke Verschiebung durch 1

rect 96 185 127 210 Linke Verschiebung durch 1

rect 268 185 299 210 Linke Verschiebung durch 1

rect 96 326 127 351 Linke Verschiebung durch 2

rect 268 326 299 351 Linke Verschiebung durch 2

rect 96 419 127 444 Linke Verschiebung durch 1

rect 268 419 299 444 Linke Verschiebung durch 1

</imagemap>

Abbildung 3 illustriert die Schlüsselliste für die Verschlüsselung — der Algorithmus, der die Subschlüssel erzeugt. Am Anfang werden 56 Bit des Schlüssels von den anfänglichen 64 durch die Permutierte Wahl 1 (PC 1) ausgewählt — die restlichen acht Bit werden entweder verworfen oder als Paritätskontrolle-Bit verwendet. Die 56 Bit werden dann in zwei 28 Bit Hälften geteilt; jede Hälfte wird danach getrennt behandelt. In aufeinander folgenden Runden werden beide Hälften verlassen durch ein oder zwei Bit (angegeben für jede Runde) rotieren gelassen, und dann werden 48 Subschlüsselbit durch die Permutierte Wahl 2 (PC 2) — 24 Bit von der linken Hälfte, und 24 vom Recht ausgewählt. Die Folgen (angezeigt durch"

In der Akademie wurden verschiedene Vorschläge für eine DES-krachende Maschine vorgebracht. 1977 haben Diffie und Hellman eine Maschine vorgeschlagen, die ungefähr US$ 20 Millionen kostet, die einen DES Schlüssel an einem einzelnen Tag finden konnten. Vor 1993 hatte Wiener eine Schlüsselsuche-Maschine vorgeschlagen, die US$ 1 Million kostet, die einen Schlüssel innerhalb von 7 Stunden finden würde. Jedoch wurde keiner dieser frühen Vorschläge jemals — oder mindestens durchgeführt, keine Durchführungen wurden öffentlich anerkannt. Die Verwundbarkeit von DES wurde gegen Ende der 1990er Jahre praktisch demonstriert. 1997 hat RSA Sicherheit eine Reihe von Streiten gesponsert, einen Preis von 10,000 $ zur ersten Mannschaft anbietend, die eine Nachricht encrypted mit DES für den Streit gebrochen hat. Dieser Streit wurde durch das DESCHALL-Projekt gewonnen, das von Rocke Verser, Matt Curtin und Justin Dolske mit müßigen Zyklen von Tausenden von Computern über das Internet geführt ist. Die Durchführbarkeit, DES zu knacken, wurde schnell 1998 demonstriert, als ein kundenspezifischer DES-Kräcker von Electronic Frontier Foundation (EFF), einer Kyberraumgruppe der bürgerlichen Rechte auf Kosten von etwa 250,000 US$ gebaut wurde (sieh EFF DES Kräcker). Ihre Motivation sollte zeigen, dass DES in der Praxis sowie in der Theorie zerbrechlich war: "Es gibt viele Menschen, die keine Wahrheit glauben werden, bis sie es mit ihren eigenen Augen sehen können. Wenn sie ihnen zeigt, ist eine physische Maschine, die DES in ein paar Tagen knacken kann, die einzige Weise, einige Menschen zu überzeugen, dass sie wirklich ihrer Sicherheit zu DES nicht vertrauen können." Die Maschine von den Tieren gezwungen ein Schlüssel in der Suche von wenig mehr als 2 Tagen.

Das folgende hat bestätigt, dass DES Kräcker die COPACOBANA Maschine gebaut 2006 von Mannschaften der Universitäten von Bochum und Kiel, beiden in Deutschland war. Verschieden von der EFF Maschine besteht COPACOBANA aus gewerblich verfügbaren, wiederkonfigurierbaren einheitlichen Stromkreisen. 120 dieser feldprogrammierbaren Tor-Reihe (FPGAs) des Typs XILINX Spartan3-1000 läuft in der Parallele. Sie werden in 20 DIMM Modulen, jeder gruppiert, 6 FPGAs enthaltend. Der Gebrauch der wiederkonfigurierbaren Hardware macht die Maschine anwendbar auf anderen Code, der Aufgaben ebenso bricht. Einer der interessanteren Aspekte von COPACOBANA ist sein Kostenfaktor. Eine Maschine kann für etwa 10,000 $ gebaut werden. Die Kostenabnahme durch grob einen Faktor 25 über die EFF Maschine ist ein eindrucksvolles Beispiel für die dauernde Verbesserung der Digitalhardware. Die Anpassung für die Inflation mehr als 8 Jahre gibt eine noch höhere Verbesserung ungefähr 30x nach. Seit 2007, SciEngines GmbH, hat eine Nebenprodukt-Gesellschaft der zwei Projektpartner von COPACOBANA erhöht und Nachfolger von COPACOBANA entwickelt. 2008 hat ihr COPACOBANA RIVYERA die Zeit reduziert, um DES zu weniger als einem Tag mit 128 spartanischem 3 5000 zu brechen. Zurzeit hält SciEngines RIVYERA die Aufzeichnung in der rohen Gewalt, die DES bricht, 128 Spartaner 3 5000 FPGAs verwertet. Ihr 256 spartanisches 6 LX150 Modell ist sogar dieses Mal gesunken.

Angriffe schneller als rohe Gewalt

Es gibt drei bekannte Angriffe das kann die vollen 16 Runden von DES mit weniger Kompliziertheit brechen als eine Suche der rohen Gewalt: Differenzial cryptanalysis (DC), geradliniger cryptanalysis (LC) und der Angriff von Davies. Jedoch sind die Angriffe theoretisch und sind unausführbar, um in der Praxis zu steigen; diese Typen des Angriffs werden manchmal certificational Schwächen genannt.

• Differenzial cryptanalysis wurde gegen Ende der 1980er Jahre von Eli Biham und Adi Shamir wieder entdeckt; es war früher sowohl IBM als auch dem NSA bekannt und heimlich behalten. Um die vollen 16 Runden zu brechen, verlangt Differenzial cryptanalysis 2 gewählte plaintexts. DES wurde entworfen, um gegen den Gleichstrom widerstandsfähig zu sein.
• Geradliniger cryptanalysis wurde von Mitsuru Matsui entdeckt, und braucht 2 bekannte plaintexts (Matsui, 1993); die Methode wurde (Matsui, 1994) durchgeführt, und war der erste experimentelle cryptanalysis von zu berichtendem DES. Es gibt keine Beweise, dass DES geschneidert wurde, um gegen diesen Typ des Angriffs widerstandsfähig zu sein. Eine Generalisation von LC — vielfacher geradliniger cryptanalysis — wurde 1994 (Kaliski und Robshaw) angedeutet, und wurde weiter von Biryukov und anderen raffiniert. (2004); ihre Analyse weist darauf hin, dass vielfache geradlinige Annäherungen verwendet werden konnten, um die Datenvoraussetzungen des Angriffs um mindestens einen Faktor 4 (d. h. 2 statt 2) zu reduzieren. Die ähnliche Verminderung der Datenkompliziertheit kann in einer gewählten-plaintext Variante von geradlinigem cryptanalysis (Knudsen und Mathiassen, 2000) erhalten werden. Junod (2001) hat mehrere Experimente durchgeführt, um die wirkliche Zeitkompliziertheit von geradlinigem cryptanalysis zu bestimmen und hat berichtet, dass es etwas schneller war als vorausgesagte, verlangende zu 2-2 DES Einschätzungen gleichwertige Zeit.
• Der Angriff von verbessertem Davies: Während geradlinige und unterschiedliche cryptanalysis allgemeine Techniken sind und auf mehrere Schemas angewandt werden können, ist der Angriff von Davies eine Spezialtechnik für DES, der zuerst von Donald Davies in den achtziger Jahren angedeutet ist, und von Biham und Biryukov (1997) verbessert ist. Die stärkste Form des Angriffs verlangt 2 bekannte plaintexts, hat eine rechenbetonte Kompliziertheit 2, und hat eine 51-%-Erfolg-Rate.

Es hat auch Angriffe gegeben, die gegen Versionen der reduzierten Runde der Ziffer, d. h. Versionen von DES mit weniger als 16 Runden vorgeschlagen sind. Solche Analyse gibt eine Scharfsinnigkeit darin, wie viele Runden für die Sicherheit erforderlich sind, und wie viel eines "Sicherheitsrandes" die volle Version behält. Differenzialgeradliniger cryptanalysis wurde von Langford und Hellman 1994 vorgeschlagen, und verbindet unterschiedlichen und geradlinigen cryptanalysis in einen einzelnen Angriff. Eine erhöhte Version des Angriffs kann 9-Runden-DES mit 2 bekannten plaintexts brechen und hat ein 2mal Kompliziertheit (Biham und andere, 2002).

Geringe cryptanalytic Eigenschaften

DES stellt das Fertigstellungseigentum, nämlich das aus

:

wo die bitwise Ergänzung dessen ist, zeigt Verschlüsselung mit dem Schlüssel an, und zeigen Sie plaintext und Ciphertext-Blöcke beziehungsweise an. Das Fertigstellungseigentum bedeutet, dass die Arbeit für einen Angriff der rohen Gewalt durch einen Faktor 2 (oder ein einzelnes Bit) unter einer gewählten-plaintext Annahme reduziert werden konnte. Definitionsgemäß gilt dieses Eigentum auch auch für die TDES Ziffer.

DES hat auch vier so genannte schwache Schlüssel. Verschlüsselung (E) und Dekodierung (D) unter einem schwachen Schlüssel hat dieselbe Wirkung (sieh Involution):

: oder gleichwertig,

Es gibt auch sechs Paare von halbschwachen Schlüsseln. Die Verschlüsselung mit einem des Paares von halbschwachen Schlüsseln funktioniert identisch zur Dekodierung mit dem anderen:

: oder gleichwertig,

Es ist leicht genug, die schwachen und halbschwachen Schlüssel in einer Durchführung, entweder durch die Prüfung für sie ausführlich, oder einfach durch die Auswahl von Schlüsseln zufällig zu vermeiden; die Verschiedenheit, einen schwachen oder halbschwachen Schlüssel aufzupicken, ist zufällig unwesentlich. Die Schlüssel sind wirklich etwas nicht schwächer als irgendwelche anderen Schlüssel irgendwie, weil sie keinem Angriff keinen Vorteil geben.

Wie man

auch bewiesen hat, ist DES eine Gruppe, oder genauer nicht gewesen, der Satz (für alle möglichen Schlüssel) unter der funktionellen Zusammensetzung ist nicht eine Gruppe, noch "nah" daran, eine Gruppe (Campbell und Wiener, 1992) zu sein. Das war eine geöffnete Frage für einige Zeit, und wenn sie der Fall gewesen wäre, wäre es möglich gewesen, DES zu brechen, und vielfache Verschlüsselungsweisen wie Dreifacher DES würden die Sicherheit nicht vergrößern.

Es ist bekannt, dass die maximale kryptografische Sicherheit von DES auf ungefähr 64 Bit beschränkt wird, selbst wenn, unabhängig rund um Subschlüssel wählend, anstatt sie von einem Schlüssel abzuleiten, der eine Sicherheit von 768 Bit sonst erlauben würde.

Ersatzalgorithmen

Sorgen über die Sicherheit und die relativ langsame Operation von DES in der Software haben Forscher angeregt, eine Vielfalt von alternativen Block-Ziffer-Designs vorzuschlagen, die angefangen haben, gegen Ende der 1980er Jahre und Anfang der 1990er Jahre zu erscheinen: Beispiele schließen RC5, Blowfish, IDEE, NewDES, SICHERER, CAST5 und FEAL ein. Die meisten dieser Designs haben die 64-Bit-Block-Größe von DES behalten, und konnten als ein "Störsignal"-Ersatz handeln, obwohl sie normalerweise einen 64-bit- oder 128-Bit-Schlüssel verwendet haben. In der UDSSR der GOST wurde 28147-89 Algorithmus, mit einer 64-Bit-Block-Größe und einem 256-Bit-Schlüssel eingeführt, der auch in Russland später verwendet wurde.

DES selbst kann angepasst und in einem sichereren Schema wiederverwendet werden. Viele ehemalige DES Benutzer verwenden jetzt Dreifachen DES (TDES), der beschrieben und von einem der Patentinhaber von DES analysiert wurde (sieh FIPS Bar 46-3); es schließt Verwendung von DES dreimal mit zwei (2TDES) oder drei (3TDES) verschiedene Schlüssel ein. TDES wird als entsprechend sicher betrachtet, obwohl es ziemlich langsam ist. Eine weniger rechenbetont teure Alternative ist DES-X, der die Schlüsselgröße durch das XORing Extraschlüsselmaterial vorher und nach DES vergrößert. GDES war eine DES als eine Weise vorgeschlagene Variante, Verschlüsselung zu beschleunigen, aber, wie man zeigte, war es gegen das Differenzial cryptanalysis empfindlich.

2001, nach einer internationalen Konkurrenz, hat NIST eine neue Ziffer, Advanced Encryption Standard (AES) als ein Ersatz ausgewählt. Der Algorithmus, der als der AES ausgewählt wurde, wurde von seinen Entwerfern unter dem Namen Rijndael vorgelegt. Andere Finalisten im NIST AES Konkurrenz haben RC6, Schlange, MARS und Twofish eingeschlossen.

Siehe auch

• Verdreifachen Sie DES
• Skipjack (Ziffer)
• Symmetrischer Schlüsselalgorithmus

Zeichen

• (Vorabdruck)
• Biham, Eli und Shamir, Adi, Unterschiedlicher Cryptanalysis des Datenverschlüsselungsstandards, Springer Verlags, 1993. Internationale Standardbuchnummer 0-387-97930-1, internationale Standardbuchnummer 3-540-97930-1.
• Biham, Eli und Alex Biryukov: Eine Verbesserung des Angriffs von Davies auf DES. J. Cryptology 10 (3): 195-206 (1997)
• Biham, Eli, Orr Dunkelman, Nathan Keller: Das Erhöhen Differenzialgeradlinigen Cryptanalysis. ASIACRYPT 2002: Pp254-266
• Biham, Eli: Ein Fast New DES Implementation in der Software
• Das Knacken DES: Geheimnisse der Verschlüsselungsforschung, hören Sie Politik und Span-Design, elektronisches Grenzfundament ab
• (Vorabdruck).
• Campbell, Keith W., Michael J. Wiener: DES ist nicht eine Gruppe. GEHEIM-1992: Pp512-520
• Kupferschmied, Don. (1994). Der Datenverschlüsselungsstandard (DES) und seine Kraft gegen Angriffe. IBM Journal der Forschung und Entwicklung, 38 (3), 243-250.
• Diffie, Whitfield und Martin Hellman, "Erschöpfender Cryptanalysis des NBS Datenverschlüsselungsstandards" IEEE Computer 10 (6), Juni 1977, pp74-84
• Ehrsam und andere. Produktblock-Ziffer-System für die Datensicherheit, Abgelegt am 24. Februar 1975
• Gilmore, John, "DES Knackend: Geheimnisse der Verschlüsselungsforschung, Hören Sie Politik- und Span-Design", 1998, O'Reilly, internationale Standardbuchnummer 1-56592-520-3 Ab.
• Junod, Pascal. "Auf der Kompliziertheit des Angriffs von Matsui." Ausgewählte Gebiete in der Geheimschrift, 2001, pp199-211.
• Kaliski, Burton S., Matt Robshaw: Geradliniger Cryptanalysis das Verwenden Vielfacher Annäherungen. GEHEIM-1994: Pp26-39
• Knudsen, Lars, John Erik Mathiassen: Ein Gewählter-Plaintext Geradliniger Angriff auf DES. Schnelle Softwareverschlüsselung - FSE 2000: Pp262-272
• Langford, Susan K., Martin E. Hellman: Differenzialgeradliniger Cryptanalysis. GEHEIM-1994: 17-25
• Erhebung, Steven, 2001, internationale Standardbuchnummer 0-14-024432-8.

• (Vorabdruck)
• Nationales Büro von Standards, Datenverschlüsselungsstandard, FIPS-Pub.46. Nationales Büro von Standards, amerikanisches Handelsministerium, Washington D.C. Januar 1977.
• Christof Paar, Jan Pelzl, "Data Encryption Standard (DES) und Alternativen" liest gratis online über das Kapitel 3 des "Verstehens der Geheimschrift, Eines Lehrbuches für Studenten und Praktiker". Springer, 2009.

Links

• FIPS 46-3: Das offizielle Dokument, das den DES Standard (PDF) beschreibt; eine ältere Version im HTML
• COPACOBANA, ein DES Kräcker von 10,000 $, der auf FPGAs durch die Universitäten von Bochum und Kiel gestützt ist
• DES schrittweise Präsentation und zuverlässige Nachricht, die Anwendung verschlüsselt
• Ein Fast New DES Implementation in der Software - Biham
• Auf vielfachen geradlinigen Annäherungen
• RFC4772: Sicherheit Implikationen, Data Encryption Standard (DES) zu verwenden
• Ein einfacher DES / Verdreifacht DES Durchführungsdokumentation