DES

DES, Data Encryption Standard
	DES, Data Encryption Standard
Создатель:	IBM
Создан:	1977 год
Опубликован:	1977 год
Размер ключа:	56 бит + 8 проверочных
Размер блока:	64 бит
Число раундов:	16
Тип:	Сеть Фейстеля

У этого термина существуют и другие значения, см. DES (значения).

DES (англ. data encryption standard) — алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году как официальный стандарт (FIPS 46-3). Размер блока для DES равен 64 бита. В основе алгоритма лежит сеть Фейстеля с 16-ю циклами (раундами) и ключом, имеющим длину 56 бит. Алгоритм использует комбинацию нелинейных (S-блоки) и линейных (перестановки E, IP, IP-1) преобразований. Для DES рекомендовано несколько режимов:

ECB (англ. electronic code book) — режим "электронной кодовой книги" (простая замена);
CBC (англ. cipher block chaining) — режим сцепления блоков;
CFB (англ. cipher feed back) — режим обратной связи по шифротексту;
OFB (англ. output feed back) — режим обратной связи по выходу.

Прямым развитием DES в настоящее время является алгоритм Triple DES (3DES). В 3DES шифрование/расшифровка выполняются путём троекратного выполнения алгоритма DES.

История

В 1972 году было проведено исследование потребности правительства США в компьютерной безопасности. Американское «национальное бюро стандартов» (НБС) (ныне известное, как NIST — «национальный институт стандартов и технологий») определило необходимость в общеправительственном стандарте шифрования некритичной информации.

НБС проконсультировалось с АНБ (агентством национальной безопасности США) и 15 мая 1973 года объявило первый конкурс на создание шифра. Были сформулированы строгие требования к новому шифру. Фирма IBM представила на конкурсе разработанный её шифр, называемый «Люцифер» (Lucifer). Шифры ни одного из конкурсантов (включая «Люцифер») не обеспечивали выполнение всех требований. В течение 1973-1974 годов IBM доработала свой «Люцифер»: использовала в его основе алгоритм Хорста Фейстеля, созданный ранее. 27 августа 1974 года начался второй конкурс. На сей раз шифр «Люцифер» сочли приемлемым.

17 марта 1975 года предложенный алгоритм DES был издан в «Федеральном реестре». В 1976 году для обсуждения DES было проведено два открытых симпозиума. На симпозиумах жёсткой критике подверглись изменения, внесённые в алгоритм организацией АНБ. АНБ уменьшило первоначальную длину ключа и S-блоки (блоки подстановки), критерии проектирования которых не раскрывались. АНБ подозревалось в сознательном ослаблении алгоритма с той целью, чтобы АНБ могло легко просматривать зашифрованные сообщения. Сенат США проверил действия АНБ и в 1978 году опубликовал заявление, в котором сообщалось следующее:

в процессе разработки алгоритма представители АНБ убедили создателей DES в том, что уменьшенной длины ключа более чем достаточно для всех коммерческих приложений;
представители АНБ косвенно помогали в разработке S-перестановок;
окончательная версия алгоритма была, по мнению проверяющих, лучшим алгоритмом шифрования, к тому же лишённым статистической или математической слабости;
представители АНБ никогда не вмешивались в разработку алгоритма DES.

В 1990 году Эли Бихам (Eli Biham) и Ади Шамир (Adi Shamir) провели независимые исследования по дифференциальному криптоанализу — основному методу взлома блочных алгоритмов симметричного шифрования. Эти исследования сняли часть подозрений в скрытой слабости S-перестановок. S-блоки алгоритма DES оказались намного более устойчивыми к атакам, чем если бы их выбрали случайно. Это означает, что такая техника анализа была известна АНБ ещё в 1970-х годах.

Алгоритм DES удалось «взломать» за 39 дней с помощью огромной сети, состоящей из десятков тысяч компьютеров.

Общественная организация «EFF», занимающаяся проблемами информационной безопасности и личной тайны в сети Internet, инициировала исследование «DES Challenge II» с целью выявления проблем DES. В рамках исследования сотрудники фирмы «RSA Laboratory» построили суперкомпьютер стоимостью 250 тыс. долл. В 1998 году суперкомпьютер выполнил расшифровку данных, закодированных методом DES с использованием 56-битного ключа, менее чем за три дня. Суперкомпьютер получил название «EFF DES Cracker». Специально по этому случаю учёные организовали пресс-конференцию и с беспокойством говорили о том, что злоумышленники вряд ли упустят случай воспользоваться подобной уязвимостью.

Некоторые правительственные чиновники и специалисты утверждали, что для взлома кода DES требуется суперкомпьютер стоимостью в несколько миллионов долларов. «Правительству пора признать ненадёжность DES и поддержать создание более мощного стандарта шифрования», — сказал президент EFF Барри Штайнхардт. Экспортные ограничения, накладываемые правительством США, касаются технологий шифрования по ключам длиной более 40 бит. Однако, как показали результаты эксперимента RSA Laboratory, существует возможность взлома и более мощного кода. Проблема усугублялась тем, что стоимость постройки подобного суперкомпьютера неуклонно снижалась. «Через четыре-пять лет такие компьютеры будут стоять в любой школе», — заявил Джон Гилмор, руководитель проекта «DES Challenge» и один из основателей EFF.

DES является блочным шифром. Чтобы понять, как работает DES, необходимо рассмотреть принцип работы блочного шифра, сеть Фейстеля.

Блочный шифр

Основная статья: Блочный шифр

Входными данными для блочного шифра служат:

блок размером n бит;
ключ размером k бит.

На выходе (после применения шифрующих преобразований) получается зашифрованный блок размером n бит, причём незначительные различия входных данных как правило приводят к существенному изменению результата.

Блочные шифры реализуются путём многократного применения к блокам исходного текста некоторых базовых преобразований.

Базовые преобразования:

сложное преобразование на одной локальной части блока;
простое преобразование между частями блока.

Так как преобразования производятся поблочно, требуется разделение исходных данных на блоки необходимого размера. При этом формат исходных данных не имеет значения (будь то текстовые документы, изображения или другие файлы). Данные должны интерпретироваться в двоичном виде (как последовательность нулей и единиц) и только после этого должны разбиваться на блоки. Все вышеперечисленное может осуществляться как программными, так и аппаратными средствами.

Преобразования Сетью Фейстеля

Это преобразование над векторами (блоками), представляющими собой левую и правую половины регистра сдвига. В алгоритме DES используются прямое преобразование сетью Фейстеля в шифровании (см. Рис.1) и обратное преобразование сетью Фейстеля в расшифровании (см. Рис.2).

Схема шифрования алгоритма DES

Схема шифрования алгоритма DES указана на Рис.3

Исходный текст — блок 64 бит.

Процесс шифрования состоит из начальной перестановки, 16 циклов шифрования и конечной перестановки.

Начальная перестановка

Исходный текст <math>T</math> (блок 64 бит) преобразуется c помощью начальной перестановки <math>\mathrm{IP}</math> которая определяется таблицей 1:

Таблица 1. Начальная перестановка IP
58	50	42	34	26	18	10	2	60	52	44	36	28	20	12	4
62	54	46	38	30	22	14	6	64	56	48	40	32	24	16	8
57	49	41	33	25	17	9	1	59	51	43	35	27	19	11	3
61	53	45	37	29	21	13	5	63	55	47	39	31	23	15	7

По таблице первые 3 бита результирующего блока <math>\mathrm{IP}(T)</math> после начальной перестановки <math>\mathrm{IP}</math> являются битами 58, 50, 42 входного блока <math>T</math>, а его 3 последние бита являются битами 23, 15, 7 входного блока.

Циклы шифрования

Полученный после начальной перестановки 64-битовый блок IP(T) участвует в 16-циклах преобразования Фейстеля.

— 16 циклов преобразования Фейстеля:

Разбить IP(T) на две части <math>L_0, R_0</math>, где <math>L_0, R_0</math> — соответственно 32 старших битов и 32 младших битов блока <math>T_0</math> IP(T)= <math>L_0R_0</math>

Пусть <math>T_{i-1} = L_{i-1}R_{i-1}</math> результат (i-1) итерации, тогда результат i-ой итерации <math>T_i = L_iR_i</math> определяется:

<math>R_i = L_{i-1}\oplus f(R_{i-1},k_i)</math>

Левая половина <math>L_i</math> равна правой половине предыдущего вектора <math>L_{i-1}R_{i-1}</math>. А правая половина <math>R_i</math> — это битовое сложение <math>L_{i-1}</math> и <math>f(R_{i-1},k_i)</math> по модулю 2.

В 16-циклах преобразования Фейстеля функция f играет роль шифрования. Рассмотрим подробно функцию f.

Основная функция шифрования (функция Фейстеля)

Аргументами функции <math>f</math> являются 32-битовый вектор <math>R_{i-1}</math> и 48-битовый ключ <math>k_i</math>, который является результатом преобразования 56-битового исходного ключа шифра <math>k</math>.

Для вычисления функции <math>f</math> последовательно используются

функция расширения <math>\mathrm{E}</math>,
сложение по модулю 2 с ключом <math>k_i</math>
преобразование <math>\mathrm{S}</math>, состоящее из 8 преобразований <math>\mathrm{S}</math>-блоков <math>\mathrm{S}_1,\mathrm{S}_2,\mathrm{S}_3\ldots\ \mathrm{S}_8</math>,
перестановка <math>\mathrm{P}</math>.

Функция <math>\mathrm{E}</math> расширяет 32-битовый вектор <math>R_{i-1}</math> до 48-битового вектора <math>\mathrm{E}(R_{i-1})</math> путём дублирования некоторых битов из <math>R_{i-1}</math>; порядок битов вектора <math>\mathrm{E}(R_{i-1})</math> указан в таблице 2.

Таблица 2. Функция расширения E
32	1	2	3	4	5
4	5	6	7	8	9
8	9	10	11	12	13
12	13	14	15	16	17
16	17	18	19	20	21
20	21	22	23	24	25
24	25	26	27	28	29
28	29	30	31	32	1

Первые три бита вектора <math>\mathrm{E}(R_{i-1})</math> являются битами 32, 1, 2 вектора <math>R_{i-1}</math>. По таблице 2 видно, что биты 1, 4, 5, 8, 9, 12, 13, 16, 17, 20, 21, 24, 25, 28, 29, 32 дублируются. Последние 3 бита вектора <math>E(R_{i-1})</math> — это биты 31, 32, 1 вектора <math>R_{i-1}</math>. Полученный после перестановки блок <math>\mathrm{E}(R_{i-1})</math> складывается по модулю 2 с ключами <math>k_i</math> и затем представляется в виде восьми последовательных блоков <math>B_1,B_2,...B_8</math>.

<math>\mathrm{E}(R_{i-1})\oplus k_i= B_1B_2...B_8</math>

Каждый <math>B_j</math> является 6-битовым блоком. Далее каждый из блоков <math>B_j</math> трансформируется в 4-битовый блок <math>B'_j</math> с помощью преобразований <math>S_j</math>. Преобразования <math>S_j</math> определяются таблицей 3.

Таблица 3. Преобразования <math>S_i</math>, i=1…8
	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15

0	14	4	13	1	2	15	11	8	3	10	6	12	5	9	0	7
1	0	15	7	4	14	2	13	1	10	6	12	11	9	5	3	8	<math>S_1</math>
2	4	1	14	8	13	6	2	11	15	12	9	7	3	10	5	0
3	15	12	8	2	4	9	1	7	5	11	3	14	10	0	6	13

0	15	1	8	14	6	11	3	4	9	7	2	13	12	0	5	10
1	3	13	4	7	15	2	8	14	12	0	1	10	6	9	11	5	<math>S_2</math>
2	0	14	7	11	10	4	13	1	5	8	12	6	9	3	2	15
3	13	8	10	1	3	15	4	2	11	6	7	12	0	5	14	9

0	10	0	9	14	6	3	15	5	1	13	12	7	11	4	2	8
1	13	7	0	9	3	4	6	10	2	8	5	14	12	11	15	1	<math>S_3</math>
2	13	6	4	9	8	15	3	0	11	1	2	12	5	10	14	7
3	1	10	13	0	6	9	8	7	4	15	14	3	11	5	2	12

0	7	13	14	3	0	6	9	10	1	2	8	5	11	12	4	15
1	13	8	11	5	6	15	0	3	4	7	2	12	1	10	14	9	<math>S_4</math>
2	10	6	9	0	12	11	7	13	15	1	3	14	5	2	8	4
3	3	15	0	6	10	1	13	8	9	4	5	11	12	7	2	14

0	2	12	4	1	7	10	11	6	8	5	3	15	13	0	14	9
1	14	11	2	12	4	7	13	1	5	0	15	10	3	9	8	6	<math>S_5</math>
2	4	2	1	11	10	13	7	8	15	9	12	5	6	3	0	14
3	11	8	12	7	1	14	2	13	6	15	0	9	10	4	5	3

0	12	1	10	15	9	2	6	8	0	13	3	4	14	7	5	11
1	10	15	4	2	7	12	9	5	6	1	13	14	0	11	3	8	<math>S_6</math>
2	9	14	15	5	2	8	12	3	7	0	4	10	1	13	11	6
3	4	3	2	12	9	5	15	10	11	14	1	7	6	0	8	13

0	4	11	2	14	15	0	8	13	3	12	9	7	5	10	6	1
1	13	0	11	7	4	9	1	10	14	3	5	12	2	15	8	6	<math>S_7</math>
2	1	4	11	13	12	3	7	14	10	15	6	8	0	5	9	2
3	6	11	13	8	1	4	10	7	9	5	0	15	14	2	3	12

0	13	2	8	4	6	15	11	1	10	9	3	14	5	0	12	7
1	1	15	13	8	10	3	7	4	12	5	6	11	0	14	9	2	<math>S_8</math>
2	7	11	4	1	9	12	14	2	0	6	10	13	15	3	5	8
3	2	1	14	7	4	10	8	13	15	12	9	0	3	5	6	11

Предположим, что <math>B_3 = 101111</math>, и мы хотим найти <math>B'_3</math>. Первый и последний разряды <math>B_3</math> являются двоичной записью числа а, 0<=a<=3, средние 4 разряда представляют число b, 0<=b<=15. Строки таблицы S3 нумеруются от 0 до 3, столбцы таблицы S3 нумеруются от 0 до 15. Пара чисел (а, b) определяет число, находящееся в пересечении строки а и столбца b. Двоичное представление этого числа дает <math>B'_3</math> . В нашем случае <math>a = 11_2 = 3</math>, <math>b = 0111_2 = 7</math>, а число, определяемое парой (3,7), равно 7. Его двоичное представление <math>B'_3</math>=0111.

Значение функции <math>f(R_{i-1},k_i)</math> (32 бит) получается перестановкой Р, применяемой к 32-битовому блоку <math>B'_1B'_2...B'_8</math>. Перестановка Р задана таблицей 4.

Таблица 4. Перестановка P
16	7	20	21	29	12	28	17
1	15	23	26	5	18	31	10
2	8	24	14	32	27	3	9
19	13	30	6	22	11	4	25

<math>f(R_{i-1},k_i) = P(B'_1B'_2...B'_8)</math>
Согласно таблице 4, первые четыре бита результирующего вектора после действия функции f — это биты 16, 7, 20, 21 вектора <math>B'_1B'_2...B'_8</math>

Генерирование ключей <math>k_i</math>

Ключи <math>k_i</math> получаются из начального ключа <math>k</math> (56 бит = 7 байтов или 7 символов в ASCII) следующим образом. Добавляются биты в позиции 8, 16, 24, 32, 40, 48, 56, 64 ключа <math>k</math> таким образом чтобы каждый байт содержал нечетное число единиц. Это используется для обнаружения ошибок при обмене и хранении ключей. Затем делают перестановку для расширенного ключа (кроме добавляемых битов 8, 16, 24, 32, 40, 48, 56, 64). Такая перестановка определена в таблице 5.

Таблица 5.
57	49	41	33	25	17	9	1	58	50	42	34	26	18	<math>C_0</math>
10	2	59	51	43	35	27	19	11	3	60	52	44	36
63	55	47	39	31	23	15	7	62	54	46	38	30	22	<math>D_0</math>
14	6	61	53	45	37	29	21	13	5	28	20	12	4

Эта перестановка определяется двумя блоками <math>C_0</math> и <math>D_0</math> по 28 бит каждый. Первые 3 бита <math>C_0</math> есть биты 57, 49, 41 расширенного ключа. А первые три бита <math>D_0</math> есть биты 63, 55, 47 расширенного ключа. <math>C_i, D_i</math> i=1,2,3…получаются из <math>C_{i-1}, D_{i-1}</math> одним или двумя левыми циклическими сдвигами согласно таблице 6.

Таблица 6.
i	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
Число сдвига	1	1	2	2	2	2	2	2	1	2	2	2	2	2	2	1

Ключ <math>k_i</math>, i=1,…16 состоит из 48 бит, выбранных из битов вектора <math>C_iD_i</math> (56 бит) согласно таблице 7. Первый и второй биты <math>k_i</math> есть биты 14, 17 вектора <math>C_iD_i</math>

Таблица 7.
14	17	11	24	1	5	3	28	15	6	21	10	23	19	12	4
26	8	16	7	27	20	13	2	41	52	31	37	47	55	30	40
51	45	33	48	44	49	39	56	34	53	46	42	50	36	29	32

Конечная перестановка

Конечная перестановка <math>\mathrm{IP}^{-1}</math> действует на <math>T_{16}</math> и является обратной к первоначальной перестановке. Конечная перестановка определяется таблицей 8.

Таблица 8. Обратная перестановка <math>\mathrm{IP}^{-1}</math>
40	8	48	16	56	24	64	32	39	7	47	15	55	23	63	31
38	6	46	14	54	22	62	30	37	5	45	13	53	21	61	29
36	4	44	12	52	20	60	28	35	3	43	11	51	19	59	27
34	2	42	10	50	18	58	26	33	1	41	9	49	17	57	25

Схема расшифрования

При расшифровании данных все действия выполняются в обратном порядке. В 16 циклах расшифрования, в отличие от шифрования c помощью прямого преобразования сетью Фейстеля, здесь используется обратное преобразование сетью Фейстеля.

<math>R_{i-1} = L_i</math>
<math>L_{i-1} = R_i \oplus f(L_i,k_i)</math>

Схема расшифрования указана на Рис.6.
Ключ <math>k_i</math>, i=16,…,1, функция f, перестановка IP и <math>IP^{-1}</math> такие же как и в процессе шифрования.

Если в реализации ранее сгенерированные ключи не сохранялись, нужные нам ключи (<math>C_i, D_i</math> i=1,2,3…) получаются из <math>C_{i-1}, D_{i-1}</math> правыми циклическими сдвигами согласно таблице 9.

Таблица 9.
i	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
Число сдвига	0	1	2	2	2	2	2	2	1	2	2	2	2	2	2	1

Режимы использования DES

Основная статья: Режим шифрования

DES может использоваться в четырёх режимах.

Режим электронной кодовой книги (ECB — Electronic Code Book): обычное использование DES как блочного шифра. Шифруемый текст разбивается на блоки, при этом, каждый блок шифруется отдельно, не взаимодействуя с другими блоками (см. Рис.7).
Режим сцепления блоков (СВС — Cipher Block Chaining) (см. Рис.8). Каждый очередной блок <math>C_i</math> i>=1, перед зашифровыванием складывается по модулю 2 со следующим блоком открытого текста <math>M_{i+1}</math>. Вектор <math>C_0</math> — начальный вектор, он меняется ежедневно и хранится в секрете.
Режим обратной связи по шифротексту (англ. Cipher Feed Back) (см. Рис.9). В режиме CFB вырабатывается блочная «гамма» <math>Z_0, Z_1,... </math><math>Z_i=DES_k(C_{i-1})</math> <math>C_i = M_i \oplus Z_i</math>. Начальный вектор <math>C_0</math> является синхропосылкой и предназначен для того, чтобы разные наборы данных шифровались по-разному с использованием одного и того же секретного ключа. Синхропосылка посылается получателю в открытом виде вместе с зашифрованным файлом.
Режим обратной связи по выходу (OFB — Output Feed Back) (см. Рис.10). В режиме OFB вырабатывается блочная «гамма» <math>Z_0, Z_1,...</math> <math>Z_i=DES_k(Z_{i-1})

C_i = M_i \oplus Z_i </math>, i>=1

Достоинства и недостатки режимов:

В режимах ECB и OFB искажение при передаче одного 64-битового блока шифротекста <math> C_i</math> приводит к искажению после расшифрования только соответствующего открытого блока <math> M_i</math>, поэтому такие режимы используется для передачи по каналам связи с большим числом искажений.

Криптостойкость алгоритма DES

Нелинейность преобразований в DES средствами только S-блоков, и использование слабых S-блоков позволяет осуществлять контроль за шифрованной перепиской. Выбор S-блоков требует соблюдения нескольких условий:

Каждая строка каждого блока должна быть перестановкой множества {0, 1, 2, …, 15}
S-блоки не должны являться линейной или афинной функцией своих аргументов.
Изменение одного бита на входе S-блока должно приводить к изменению по крайней мере двух битов на выходе.
Для каждого S-блока и любого аргумента х значение S(x) и <math>S(x \oplus 001100_2) </math> должны различаться по крайней мере двумя битами.

Из-за небольшого числа возможных ключей (всего <math>2^{56}</math>), появляется возможность их полного перебора на быстродействующей вычислительной технике за реальное время. В 1998 году Electronic Frontier Foundation используя специальный компьютер DES-Cracker, удалось взломать DES за 3 дня.

Слабые ключи

Слабыми ключами называется ключи k такие, что <math>DES_k(DES_k(x)) = x</math>, где x — 64-битный блок.

Известны 4 слабых ключа, они приведены в таблице 9. Для каждого слабого ключа существует <math>2^{32}</math> неподвижные точки, то есть, таких 64-битных блоков х, для которых <math>DES_k(x) = x</math>.

Таблица 9. DES-Слабые ключи
Слабые ключи(hexadecimal)	<math>C_0</math>	<math>D_0</math>
0101-0101-0101-0101	<math>[0]^{28}</math>	<math>[0]^{28}</math>
FEFE-FEFE-FEFE-FEFE	<math>[1]^{28}</math>	<math>[1]^{28}</math>
1F1F-1F1F-0E0E-0E0E	<math>[0]^{28}</math>	<math>[1]^{28}</math>
E0E0-E0E0-F1F1-F1F1	<math>[1]^{28}</math>	<math>[0]^{28}</math>

<math>[0]^{28}</math> обозначает вектор, состоящий из 28 нулевых битов.

Частично слабые ключи

В алгоритме DES существуют слабые и частично слабые ключи. Частично-слабые ключи — это такие пары ключей <math>(k_1, k_2)</math>, что <math>DES_{k1}(DES_{k2}(x)) = x.</math>

Существуют 6 частично-слабых пар ключей, они приведены в таблице 10. Для каждого из 12 частично-слабых ключей существуют <math>2^{32}</math> «анти-неподвижные точки», то есть такие блоки х, что <math>DES_k(x) = \tilde{x}.</math>

Таблица 10. Частично-слабые ключи
<math>C_0</math>	<math>D_0</math>	Пары частично-слабых ключей	<math>C_0</math>	<math>D_0</math>
<math>[01]^{14}</math>	<math>[01]^{14}</math>	01FE-01FE-01FE-01FE,----FE01-FE01-FE01-FE01	<math>[10]^{14}</math>	<math>[10]^{14}</math>
<math>[01]^{14}</math>	<math>[01]^{14}</math>	1FE0-1FE0-1FE0-1FE0,----E0F1-E0F1-E0F1-E0F1	<math>[10]^{14}</math>	<math>[10]^{14}</math>
<math>[01]^{14}</math>	<math>[0]^{28}</math>	01E0-01E0-01F1-01F1,----E001-E001-F101-F101	<math>[10]^{14}</math>	<math>[0]^{28}</math>
<math>[01]^{14}</math>	<math>[1]^{28}</math>	1FFE-1FFE-0EFE-0EFE,----FE1F-FE1F-FE0E-FE0E	<math>[0]^{28}</math>	<math>[1]^{28}</math>
<math>[0]^{28}</math>	<math>[01]^{14}</math>	011F-011F-010E-010E,----1F01-1F01-0E01-0E01	<math>[0]^{28}</math>	<math>[10]^{14}</math>
<math>[1]^{28}</math>	<math>[01]^{14}</math>	E0FE-E0FE-F1FE-F1FE,----FEE0-FEE0-FEF1-FEF1	<math>[1]^{28}</math>	<math>[10]^{14}</math>

Известные атаки на DES

Таблица 11. Известные атаки на DES.
Методы атаки	Известные откр. тексты	Выбранные отк. тексты	Объём памяти	Количество операций
Полный поиск	1	-	Незначительный	<math>2^{55}</math>
Линейный Криптоанализ	<math>2^{43} (85%)</math>	-	Для текста	<math>2^{43}</math>
Линейный Криптоанализ	<math>2^{38} (10%)</math>	-	Для текста	<math>2^{50}</math>
Диффер. Криптоанализ	-	<math>2^{47}</math>	Для текста	<math>2^{47}</math>
Диффер. Криптоанализ	<math>2^{55}</math>	-	Для текста	<math>2^{55}</math>

Метод полного перебора требует одну известную пару шифрованного и расшифрованного текста, незначительный объём памяти, и его выполнение требует около <math>2^{55}</math> шагов.
Дифференциальный криптоанализ — первую такую атаку на DES заявили Бихам и Шамир. Эта атака требует шифрования <math>2^{47}</math> открытых текстов выбранных нападающим, и для её выполнения нужны примерно <math>2^{47}</math> шагов. Теоретически являясь точкой разрыва, эта атака непрактична из-за чрезмерных требований к подбору данных и сложности организации атаки по выбранному открытому тексту. Сами авторы этой атаки Biham и Shamir заявили, что считают DES защищенным для такой атаки.
Линейный криптоанализ разработан Matsui. Этот метод позволяет восстановить ключ DES с помощью анализа <math>2^{43}</math> известных открытых текстов, при этом требуется примерно <math>2^{43}</math> шагов для выполнения. Первый экспериментальный криптоанализ DES, основанный на открытии Matsui, был успешно выполнен в течение 50 дней на автоматизированных рабочих местах 12 HP 9735.

Для линейного и дифференциального криптоанализа требуется достаточно большой объём памяти для сохранения выбранных (известных) открытых текстов до начала атаки.

Увеличение криптостойкости DES

Чтобы увеличивать криптостойкость DES появляются несколько вариантов: double DES (2DES), triple DES (3DES), DESX, G-DES.

Методы 2DES и 3DES основаны на DES, но увеличивают длину ключей (2DES — 112 бит, 3DES — 168 бит) и поэтому увеличивается криптостойкость.
Схема 3DES имеет вид <math>DES(k_3,DES(k_2,DES(k_1,M)))</math>, где <math>k_1,k_2,k_3</math> ключи для каждого шифра DES. Это вариант известен как в ЕЕЕ так как три DES операции являются шифрованием. Существует 3 типа алгоритма 3DES:

DES-EEE3: Шифруется три раза с 3 разными ключами.
DES-EDE3: 3DES операции шифровка-расшифровка-шифровка с 3 разными ключами.
DES-EEE2 и DES-EDE2: Как и предыдущие, за исключением того, что первая и третья операции используют одинаковый ключ.

Самый популярный тип при использовании 3DES — это DES-EDE3, для него алгоритм выглядит так:

Зашифрование: <math>C = E_{k_3}(E^{-1}_{k_2}(E_{k_1}(P)))</math>.

Расшифрование: <math>P = E^{-1}_{k_1}(E_{k_2}(E^{-1}_{k_3}(C)))</math>

При выполнении алгоритма 3DES ключи могут выбрать так:

<math>k_1,k_2,k_3</math> независимы.
<math>k_1,k_2</math> независимы, а <math>k_1 = k_3</math>
<math>k_1=k_2=k_3</math>.

Метод DESX создан Рональдом Ривестом и формально продемонстрирована Killian и Rogaway. Этод метод — усиленный вариант DES, поддерживаемый инструментарием RSA Security. DESX отличается от DES тем, что каждый бит входного открытого текста DESX логически суммируется по модулю 2 с 64 битами дополнительного ключа, а затем шифруется по алгоритму DES. Каждый бит результата также логически суммируется по модулю 2 с другими 64 битами ключа. Главной причиной использования DESX является простой в вычислительном смысле способ значительного повысить стойкость DES к атакам полного перебора ключа.
Метод G-DES разработан Schaumuller-Bichl для повышения производительности DES на основе увеличения размером шифрованного блока. Заявлялось, что G-DES защищен так же как и DES. Однако, Biham и Shamir показали, что G-DES с рекомендуемыми параметрами легко взламывается, а при любых изменениях параметров шифр становится ещё менее защищен чем DES.
Ещё другой вариант DES использует независимые суб-ключи. Различно от алгоритма DES, в котором на основе 56-битного секретного ключа пользователя алгоритм DES получает шестнадцать 48-битных суб-ключей для использования в каждом из 16 раундов, в этом варианте использует 768-битного ключа (разделенного на 16 48-битных подключей) вместо 16 зависимых 48-битных ключей, создаваемых по ключевому графику алгоритма DES. Хотя очевидно, что использование независимых суб-ключей значительно усложнит полный поиск ключа, но стойкость к атаке дифференциальным или линейным криптоанализом не намного превысит стойкость обычного DES. По оценке Biham для дифференциального криптоанализа DES с независимыми подключами требуется <math>2^{61}</math> выбранных открытых текстов, в то время как для линейного криптоанализа требуется <math>2^{60}</math> известных открытых текстов.

Применение

DES был национальным стандартом США в 1977—1980 гг., но в настоящее время DES используется (с ключом длины 56 бит) только для устаревших систем, чаще всего используют его более криптоустойчивый вид (3DES, DESX). 3DES является простой эффективной заменой DES, и сейчас он рассмотрен как стандарт. В ближайшее время DES и Triple DES будут заменены алгоритмом AES (Advanced Encryption Standard — Расширенный Стандарт Шифрования). Алгоритм DES широко применяется для защиты финансовой информации: так, модуль THALES (Racal) HSM RG7000 полностью поддерживает операции TripleDES для эмиссии и обработки кредитных карт VISA, EuroPay и проч. Канальные шифраторы THALES (Racal) DataDryptor 2000 используют TripleDES для прозрачного шифрования потоков информации. Также алгоритм DES используется во многих других устройствах и решениях THALES-eSECURITY.

Напишите отзыв о статье "DES"

Литература

А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин Основы криптографии.
A. Menezes, Pvan Oorschot, S. Vanstone. [www.cacr.math.uwaterloo.ca/hac Handbook of Applied Cryptography].
Семенов Ю. А. [book.itep.ru/6/des_641.htm Алгоритм DES].
[everything2.com/title/DES Query for DES]

Отрывок, характеризующий DES

– Кажется, писак довольно развелось, – сказал старый князь: – там в Петербурге всё пишут, не только ноты, – новые законы всё пишут. Мой Андрюша там для России целый волюм законов написал. Нынче всё пишут! – И он неестественно засмеялся.
Разговор замолк на минуту; старый генерал прокашливаньем обратил на себя внимание.
– Изволили слышать о последнем событии на смотру в Петербурге? как себя новый французский посланник показал!
– Что? Да, я слышал что то; он что то неловко сказал при Его Величестве.
– Его Величество обратил его внимание на гренадерскую дивизию и церемониальный марш, – продолжал генерал, – и будто посланник никакого внимания не обратил и будто позволил себе сказать, что мы у себя во Франции на такие пустяки не обращаем внимания. Государь ничего не изволил сказать. На следующем смотру, говорят, государь ни разу не изволил обратиться к нему.
Все замолчали: на этот факт, относившийся лично до государя, нельзя было заявлять никакого суждения.
– Дерзки! – сказал князь. – Знаете Метивье? Я нынче выгнал его от себя. Он здесь был, пустили ко мне, как я ни просил никого не пускать, – сказал князь, сердито взглянув на дочь. И он рассказал весь свой разговор с французским доктором и причины, почему он убедился, что Метивье шпион. Хотя причины эти были очень недостаточны и не ясны, никто не возражал.
За жарким подали шампанское. Гости встали с своих мест, поздравляя старого князя. Княжна Марья тоже подошла к нему.
Он взглянул на нее холодным, злым взглядом и подставил ей сморщенную, выбритую щеку. Всё выражение его лица говорило ей, что утренний разговор им не забыт, что решенье его осталось в прежней силе, и что только благодаря присутствию гостей он не говорит ей этого теперь.
Когда вышли в гостиную к кофе, старики сели вместе.
Князь Николай Андреич более оживился и высказал свой образ мыслей насчет предстоящей войны.
Он сказал, что войны наши с Бонапартом до тех пор будут несчастливы, пока мы будем искать союзов с немцами и будем соваться в европейские дела, в которые нас втянул Тильзитский мир. Нам ни за Австрию, ни против Австрии не надо было воевать. Наша политика вся на востоке, а в отношении Бонапарта одно – вооружение на границе и твердость в политике, и никогда он не посмеет переступить русскую границу, как в седьмом году.
– И где нам, князь, воевать с французами! – сказал граф Ростопчин. – Разве мы против наших учителей и богов можем ополчиться? Посмотрите на нашу молодежь, посмотрите на наших барынь. Наши боги – французы, наше царство небесное – Париж.
Он стал говорить громче, очевидно для того, чтобы его слышали все. – Костюмы французские, мысли французские, чувства французские! Вы вот Метивье в зашей выгнали, потому что он француз и негодяй, а наши барыни за ним ползком ползают. Вчера я на вечере был, так из пяти барынь три католички и, по разрешенью папы, в воскресенье по канве шьют. А сами чуть не голые сидят, как вывески торговых бань, с позволенья сказать. Эх, поглядишь на нашу молодежь, князь, взял бы старую дубину Петра Великого из кунсткамеры, да по русски бы обломал бока, вся бы дурь соскочила!
Все замолчали. Старый князь с улыбкой на лице смотрел на Ростопчина и одобрительно покачивал головой.
– Ну, прощайте, ваше сиятельство, не хворайте, – сказал Ростопчин, с свойственными ему быстрыми движениями поднимаясь и протягивая руку князю.
– Прощай, голубчик, – гусли, всегда заслушаюсь его! – сказал старый князь, удерживая его за руку и подставляя ему для поцелуя щеку. С Ростопчиным поднялись и другие.

Княжна Марья, сидя в гостиной и слушая эти толки и пересуды стариков, ничего не понимала из того, что она слышала; она думала только о том, не замечают ли все гости враждебных отношений ее отца к ней. Она даже не заметила особенного внимания и любезностей, которые ей во всё время этого обеда оказывал Друбецкой, уже третий раз бывший в их доме.
Княжна Марья с рассеянным, вопросительным взглядом обратилась к Пьеру, который последний из гостей, с шляпой в руке и с улыбкой на лице, подошел к ней после того, как князь вышел, и они одни оставались в гостиной.
– Можно еще посидеть? – сказал он, своим толстым телом валясь в кресло подле княжны Марьи.
– Ах да, – сказала она. «Вы ничего не заметили?» сказал ее взгляд.
Пьер находился в приятном, после обеденном состоянии духа. Он глядел перед собою и тихо улыбался.
– Давно вы знаете этого молодого человека, княжна? – сказал он.
– Какого?
– Друбецкого?
– Нет, недавно…
– Что он вам нравится?
– Да, он приятный молодой человек… Отчего вы меня это спрашиваете? – сказала княжна Марья, продолжая думать о своем утреннем разговоре с отцом.
– Оттого, что я сделал наблюдение, – молодой человек обыкновенно из Петербурга приезжает в Москву в отпуск только с целью жениться на богатой невесте.
– Вы сделали это наблюденье! – сказала княжна Марья.
– Да, – продолжал Пьер с улыбкой, – и этот молодой человек теперь себя так держит, что, где есть богатые невесты, – там и он. Я как по книге читаю в нем. Он теперь в нерешительности, кого ему атаковать: вас или mademoiselle Жюли Карагин. Il est tres assidu aupres d'elle. [Он очень к ней внимателен.]
– Он ездит к ним?
– Да, очень часто. И знаете вы новую манеру ухаживать? – с веселой улыбкой сказал Пьер, видимо находясь в том веселом духе добродушной насмешки, за который он так часто в дневнике упрекал себя.
– Нет, – сказала княжна Марья.
– Теперь чтобы понравиться московским девицам – il faut etre melancolique. Et il est tres melancolique aupres de m lle Карагин, [надо быть меланхоличным. И он очень меланхоличен с m elle Карагин,] – сказал Пьер.
– Vraiment? [Право?] – сказала княжна Марья, глядя в доброе лицо Пьера и не переставая думать о своем горе. – «Мне бы легче было, думала она, ежели бы я решилась поверить кому нибудь всё, что я чувствую. И я бы желала именно Пьеру сказать всё. Он так добр и благороден. Мне бы легче стало. Он мне подал бы совет!»
– Пошли бы вы за него замуж? – спросил Пьер.
– Ах, Боже мой, граф, есть такие минуты, что я пошла бы за всякого, – вдруг неожиданно для самой себя, со слезами в голосе, сказала княжна Марья. – Ах, как тяжело бывает любить человека близкого и чувствовать, что… ничего (продолжала она дрожащим голосом), не можешь для него сделать кроме горя, когда знаешь, что не можешь этого переменить. Тогда одно – уйти, а куда мне уйти?…
– Что вы, что с вами, княжна?
Но княжна, не договорив, заплакала.
– Я не знаю, что со мной нынче. Не слушайте меня, забудьте, что я вам сказала.
Вся веселость Пьера исчезла. Он озабоченно расспрашивал княжну, просил ее высказать всё, поверить ему свое горе; но она только повторила, что просит его забыть то, что она сказала, что она не помнит, что она сказала, и что у нее нет горя, кроме того, которое он знает – горя о том, что женитьба князя Андрея угрожает поссорить отца с сыном.
– Слышали ли вы про Ростовых? – спросила она, чтобы переменить разговор. – Мне говорили, что они скоро будут. Andre я тоже жду каждый день. Я бы желала, чтоб они увиделись здесь.
– А как он смотрит теперь на это дело? – спросил Пьер, под он разумея старого князя. Княжна Марья покачала головой.
– Но что же делать? До года остается только несколько месяцев. И это не может быть. Я бы только желала избавить брата от первых минут. Я желала бы, чтобы они скорее приехали. Я надеюсь сойтись с нею. Вы их давно знаете, – сказала княжна Марья, – скажите мне, положа руку на сердце, всю истинную правду, что это за девушка и как вы находите ее? Но всю правду; потому что, вы понимаете, Андрей так много рискует, делая это против воли отца, что я бы желала знать…
Неясный инстинкт сказал Пьеру, что в этих оговорках и повторяемых просьбах сказать всю правду, выражалось недоброжелательство княжны Марьи к своей будущей невестке, что ей хотелось, чтобы Пьер не одобрил выбора князя Андрея; но Пьер сказал то, что он скорее чувствовал, чем думал.
– Я не знаю, как отвечать на ваш вопрос, – сказал он, покраснев, сам не зная от чего. – Я решительно не знаю, что это за девушка; я никак не могу анализировать ее. Она обворожительна. А отчего, я не знаю: вот всё, что можно про нее сказать. – Княжна Марья вздохнула и выражение ее лица сказало: «Да, я этого ожидала и боялась».
– Умна она? – спросила княжна Марья. Пьер задумался.
– Я думаю нет, – сказал он, – а впрочем да. Она не удостоивает быть умной… Да нет, она обворожительна, и больше ничего. – Княжна Марья опять неодобрительно покачала головой.
– Ах, я так желаю любить ее! Вы ей это скажите, ежели увидите ее прежде меня.
– Я слышал, что они на днях будут, – сказал Пьер.
Княжна Марья сообщила Пьеру свой план о том, как она, только что приедут Ростовы, сблизится с будущей невесткой и постарается приучить к ней старого князя.

Женитьба на богатой невесте в Петербурге не удалась Борису и он с этой же целью приехал в Москву. В Москве Борис находился в нерешительности между двумя самыми богатыми невестами – Жюли и княжной Марьей. Хотя княжна Марья, несмотря на свою некрасивость, и казалась ему привлекательнее Жюли, ему почему то неловко было ухаживать за Болконской. В последнее свое свиданье с ней, в именины старого князя, на все его попытки заговорить с ней о чувствах, она отвечала ему невпопад и очевидно не слушала его.
Жюли, напротив, хотя и особенным, одной ей свойственным способом, но охотно принимала его ухаживанье.
Жюли было 27 лет. После смерти своих братьев, она стала очень богата. Она была теперь совершенно некрасива; но думала, что она не только так же хороша, но еще гораздо больше привлекательна, чем была прежде. В этом заблуждении поддерживало ее то, что во первых она стала очень богатой невестой, а во вторых то, что чем старее она становилась, тем она была безопаснее для мужчин, тем свободнее было мужчинам обращаться с нею и, не принимая на себя никаких обязательств, пользоваться ее ужинами, вечерами и оживленным обществом, собиравшимся у нее. Мужчина, который десять лет назад побоялся бы ездить каждый день в дом, где была 17 ти летняя барышня, чтобы не компрометировать ее и не связать себя, теперь ездил к ней смело каждый день и обращался с ней не как с барышней невестой, а как с знакомой, не имеющей пола.
Дом Карагиных был в эту зиму в Москве самым приятным и гостеприимным домом. Кроме званых вечеров и обедов, каждый день у Карагиных собиралось большое общество, в особенности мужчин, ужинающих в 12 м часу ночи и засиживающихся до 3 го часу. Не было бала, гулянья, театра, который бы пропускала Жюли. Туалеты ее были всегда самые модные. Но, несмотря на это, Жюли казалась разочарована во всем, говорила всякому, что она не верит ни в дружбу, ни в любовь, ни в какие радости жизни, и ожидает успокоения только там . Она усвоила себе тон девушки, понесшей великое разочарованье, девушки, как будто потерявшей любимого человека или жестоко обманутой им. Хотя ничего подобного с ней не случилось, на нее смотрели, как на такую, и сама она даже верила, что она много пострадала в жизни. Эта меланхолия, не мешавшая ей веселиться, не мешала бывавшим у нее молодым людям приятно проводить время. Каждый гость, приезжая к ним, отдавал свой долг меланхолическому настроению хозяйки и потом занимался и светскими разговорами, и танцами, и умственными играми, и турнирами буриме, которые были в моде у Карагиных. Только некоторые молодые люди, в числе которых был и Борис, более углублялись в меланхолическое настроение Жюли, и с этими молодыми людьми она имела более продолжительные и уединенные разговоры о тщете всего мирского, и им открывала свои альбомы, исписанные грустными изображениями, изречениями и стихами.
Жюли была особенно ласкова к Борису: жалела о его раннем разочаровании в жизни, предлагала ему те утешения дружбы, которые она могла предложить, сама так много пострадав в жизни, и открыла ему свой альбом. Борис нарисовал ей в альбом два дерева и написал: Arbres rustiques, vos sombres rameaux secouent sur moi les tenebres et la melancolie. [Сельские деревья, ваши темные сучья стряхивают на меня мрак и меланхолию.]
В другом месте он нарисовал гробницу и написал:
«La mort est secourable et la mort est tranquille
«Ah! contre les douleurs il n'y a pas d'autre asile».
[Смерть спасительна и смерть спокойна;
О! против страданий нет другого убежища.]
Жюли сказала, что это прелестно.
– II y a quelque chose de si ravissant dans le sourire de la melancolie, [Есть что то бесконечно обворожительное в улыбке меланхолии,] – сказала она Борису слово в слово выписанное это место из книги.
– C'est un rayon de lumiere dans l'ombre, une nuance entre la douleur et le desespoir, qui montre la consolation possible. [Это луч света в тени, оттенок между печалью и отчаянием, который указывает на возможность утешения.] – На это Борис написал ей стихи:
«Aliment de poison d'une ame trop sensible,
«Toi, sans qui le bonheur me serait impossible,
«Tendre melancolie, ah, viens me consoler,
«Viens calmer les tourments de ma sombre retraite
«Et mele une douceur secrete
«A ces pleurs, que je sens couler».
[Ядовитая пища слишком чувствительной души,
Ты, без которой счастье было бы для меня невозможно,
Нежная меланхолия, о, приди, меня утешить,
Приди, утиши муки моего мрачного уединения
И присоедини тайную сладость
К этим слезам, которых я чувствую течение.]
Жюли играла Борису нa арфе самые печальные ноктюрны. Борис читал ей вслух Бедную Лизу и не раз прерывал чтение от волнения, захватывающего его дыханье. Встречаясь в большом обществе, Жюли и Борис смотрели друг на друга как на единственных людей в мире равнодушных, понимавших один другого.
Анна Михайловна, часто ездившая к Карагиным, составляя партию матери, между тем наводила верные справки о том, что отдавалось за Жюли (отдавались оба пензенские именья и нижегородские леса). Анна Михайловна, с преданностью воле провидения и умилением, смотрела на утонченную печаль, которая связывала ее сына с богатой Жюли.
– Toujours charmante et melancolique, cette chere Julieie, [Она все так же прелестна и меланхолична, эта милая Жюли.] – говорила она дочери. – Борис говорит, что он отдыхает душой в вашем доме. Он так много понес разочарований и так чувствителен, – говорила она матери.
– Ах, мой друг, как я привязалась к Жюли последнее время, – говорила она сыну, – не могу тебе описать! Да и кто может не любить ее? Это такое неземное существо! Ах, Борис, Борис! – Она замолкала на минуту. – И как мне жалко ее maman, – продолжала она, – нынче она показывала мне отчеты и письма из Пензы (у них огромное имение) и она бедная всё сама одна: ее так обманывают!
Борис чуть заметно улыбался, слушая мать. Он кротко смеялся над ее простодушной хитростью, но выслушивал и иногда выспрашивал ее внимательно о пензенских и нижегородских имениях.
Жюли уже давно ожидала предложенья от своего меланхолического обожателя и готова была принять его; но какое то тайное чувство отвращения к ней, к ее страстному желанию выйти замуж, к ее ненатуральности, и чувство ужаса перед отречением от возможности настоящей любви еще останавливало Бориса. Срок его отпуска уже кончался. Целые дни и каждый божий день он проводил у Карагиных, и каждый день, рассуждая сам с собою, Борис говорил себе, что он завтра сделает предложение. Но в присутствии Жюли, глядя на ее красное лицо и подбородок, почти всегда осыпанный пудрой, на ее влажные глаза и на выражение лица, изъявлявшего всегдашнюю готовность из меланхолии тотчас же перейти к неестественному восторгу супружеского счастия, Борис не мог произнести решительного слова: несмотря на то, что он уже давно в воображении своем считал себя обладателем пензенских и нижегородских имений и распределял употребление с них доходов. Жюли видела нерешительность Бориса и иногда ей приходила мысль, что она противна ему; но тотчас же женское самообольщение представляло ей утешение, и она говорила себе, что он застенчив только от любви. Меланхолия ее однако начинала переходить в раздражительность, и не задолго перед отъездом Бориса, она предприняла решительный план. В то самое время как кончался срок отпуска Бориса, в Москве и, само собой разумеется, в гостиной Карагиных, появился Анатоль Курагин, и Жюли, неожиданно оставив меланхолию, стала очень весела и внимательна к Курагину.
– Mon cher, – сказала Анна Михайловна сыну, – je sais de bonne source que le Prince Basile envoie son fils a Moscou pour lui faire epouser Julieie. [Мой милый, я знаю из верных источников, что князь Василий присылает своего сына в Москву, для того чтобы женить его на Жюли.] Я так люблю Жюли, что мне жалко бы было ее. Как ты думаешь, мой друг? – сказала Анна Михайловна.
Мысль остаться в дураках и даром потерять весь этот месяц тяжелой меланхолической службы при Жюли и видеть все расписанные уже и употребленные как следует в его воображении доходы с пензенских имений в руках другого – в особенности в руках глупого Анатоля, оскорбляла Бориса. Он поехал к Карагиным с твердым намерением сделать предложение. Жюли встретила его с веселым и беззаботным видом, небрежно рассказывала о том, как ей весело было на вчерашнем бале, и спрашивала, когда он едет. Несмотря на то, что Борис приехал с намерением говорить о своей любви и потому намеревался быть нежным, он раздражительно начал говорить о женском непостоянстве: о том, как женщины легко могут переходить от грусти к радости и что у них расположение духа зависит только от того, кто за ними ухаживает. Жюли оскорбилась и сказала, что это правда, что для женщины нужно разнообразие, что всё одно и то же надоест каждому.
– Для этого я бы советовал вам… – начал было Борис, желая сказать ей колкость; но в ту же минуту ему пришла оскорбительная мысль, что он может уехать из Москвы, не достигнув своей цели и даром потеряв свои труды (чего с ним никогда ни в чем не бывало). Он остановился в середине речи, опустил глаза, чтоб не видать ее неприятно раздраженного и нерешительного лица и сказал: – Я совсем не с тем, чтобы ссориться с вами приехал сюда. Напротив… – Он взглянул на нее, чтобы увериться, можно ли продолжать. Всё раздражение ее вдруг исчезло, и беспокойные, просящие глаза были с жадным ожиданием устремлены на него. «Я всегда могу устроиться так, чтобы редко видеть ее», подумал Борис. «А дело начато и должно быть сделано!» Он вспыхнул румянцем, поднял на нее глаза и сказал ей: – «Вы знаете мои чувства к вам!» Говорить больше не нужно было: лицо Жюли сияло торжеством и самодовольством; но она заставила Бориса сказать ей всё, что говорится в таких случаях, сказать, что он любит ее, и никогда ни одну женщину не любил более ее. Она знала, что за пензенские имения и нижегородские леса она могла требовать этого и она получила то, что требовала.
Жених с невестой, не поминая более о деревьях, обсыпающих их мраком и меланхолией, делали планы о будущем устройстве блестящего дома в Петербурге, делали визиты и приготавливали всё для блестящей свадьбы.

Граф Илья Андреич в конце января с Наташей и Соней приехал в Москву. Графиня всё была нездорова, и не могла ехать, – а нельзя было ждать ее выздоровления: князя Андрея ждали в Москву каждый день; кроме того нужно было закупать приданое, нужно было продавать подмосковную и нужно было воспользоваться присутствием старого князя в Москве, чтобы представить ему его будущую невестку. Дом Ростовых в Москве был не топлен; кроме того они приехали на короткое время, графини не было с ними, а потому Илья Андреич решился остановиться в Москве у Марьи Дмитриевны Ахросимовой, давно предлагавшей графу свое гостеприимство.
Поздно вечером четыре возка Ростовых въехали во двор Марьи Дмитриевны в старой Конюшенной. Марья Дмитриевна жила одна. Дочь свою она уже выдала замуж. Сыновья ее все были на службе.
Она держалась всё так же прямо, говорила также прямо, громко и решительно всем свое мнение, и всем своим существом как будто упрекала других людей за всякие слабости, страсти и увлечения, которых возможности она не признавала. С раннего утра в куцавейке, она занималась домашним хозяйством, потом ездила: по праздникам к обедни и от обедни в остроги и тюрьмы, где у нее бывали дела, о которых она никому не говорила, а по будням, одевшись, дома принимала просителей разных сословий, которые каждый день приходили к ней, и потом обедала; за обедом сытным и вкусным всегда бывало человека три четыре гостей, после обеда делала партию в бостон; на ночь заставляла себе читать газеты и новые книги, а сама вязала. Редко она делала исключения для выездов, и ежели выезжала, то ездила только к самым важным лицам в городе.
Она еще не ложилась, когда приехали Ростовы, и в передней завизжала дверь на блоке, пропуская входивших с холода Ростовых и их прислугу. Марья Дмитриевна, с очками спущенными на нос, закинув назад голову, стояла в дверях залы и с строгим, сердитым видом смотрела на входящих. Можно бы было подумать, что она озлоблена против приезжих и сейчас выгонит их, ежели бы она не отдавала в это время заботливых приказаний людям о том, как разместить гостей и их вещи.
– Графские? – сюда неси, говорила она, указывая на чемоданы и ни с кем не здороваясь. – Барышни, сюда налево. Ну, вы что лебезите! – крикнула она на девок. – Самовар чтобы согреть! – Пополнела, похорошела, – проговорила она, притянув к себе за капор разрумянившуюся с мороза Наташу. – Фу, холодная! Да раздевайся же скорее, – крикнула она на графа, хотевшего подойти к ее руке. – Замерз, небось. Рому к чаю подать! Сонюшка, bonjour, – сказала она Соне, этим французским приветствием оттеняя свое слегка презрительное и ласковое отношение к Соне.
Когда все, раздевшись и оправившись с дороги, пришли к чаю, Марья Дмитриевна по порядку перецеловала всех.
– Душой рада, что приехали и что у меня остановились, – говорила она. – Давно пора, – сказала она, значительно взглянув на Наташу… – старик здесь и сына ждут со дня на день. Надо, надо с ним познакомиться. Ну да об этом после поговорим, – прибавила она, оглянув Соню взглядом, показывавшим, что она при ней не желает говорить об этом. – Теперь слушай, – обратилась она к графу, – завтра что же тебе надо? За кем пошлешь? Шиншина? – она загнула один палец; – плаксу Анну Михайловну? – два. Она здесь с сыном. Женится сын то! Потом Безухова чтоль? И он здесь с женой. Он от нее убежал, а она за ним прискакала. Он обедал у меня в середу. Ну, а их – она указала на барышень – завтра свожу к Иверской, а потом и к Обер Шельме заедем. Ведь, небось, всё новое делать будете? С меня не берите, нынче рукава, вот что! Намедни княжна Ирина Васильевна молодая ко мне приехала: страх глядеть, точно два боченка на руки надела. Ведь нынче, что день – новая мода. Да у тебя то у самого какие дела? – обратилась она строго к графу.
– Всё вдруг подошло, – отвечал граф. – Тряпки покупать, а тут еще покупатель на подмосковную и на дом. Уж ежели милость ваша будет, я времечко выберу, съезжу в Маринское на денек, вам девчат моих прикину.
– Хорошо, хорошо, у меня целы будут. У меня как в Опекунском совете. Я их и вывезу куда надо, и побраню, и поласкаю, – сказала Марья Дмитриевна, дотрогиваясь большой рукой до щеки любимицы и крестницы своей Наташи.
На другой день утром Марья Дмитриевна свозила барышень к Иверской и к m me Обер Шальме, которая так боялась Марьи Дмитриевны, что всегда в убыток уступала ей наряды, только бы поскорее выжить ее от себя. Марья Дмитриевна заказала почти всё приданое. Вернувшись она выгнала всех кроме Наташи из комнаты и подозвала свою любимицу к своему креслу.
– Ну теперь поговорим. Поздравляю тебя с женишком. Подцепила молодца! Я рада за тебя; и его с таких лет знаю (она указала на аршин от земли). – Наташа радостно краснела. – Я его люблю и всю семью его. Теперь слушай. Ты ведь знаешь, старик князь Николай очень не желал, чтоб сын женился. Нравный старик! Оно, разумеется, князь Андрей не дитя, и без него обойдется, да против воли в семью входить нехорошо. Надо мирно, любовно. Ты умница, сумеешь обойтись как надо. Ты добренько и умненько обойдись. Вот всё и хорошо будет.
Наташа молчала, как думала Марья Дмитриевна от застенчивости, но в сущности Наташе было неприятно, что вмешивались в ее дело любви князя Андрея, которое представлялось ей таким особенным от всех людских дел, что никто, по ее понятиям, не мог понимать его. Она любила и знала одного князя Андрея, он любил ее и должен был приехать на днях и взять ее. Больше ей ничего не нужно было.

DES