Triple DES

Triple DES
	Triple DES
Создатель:	IBM
Опубликован:	1978 г.
Размер ключа:	112 (2TDES) или 168 bits (3TDES)
Размер блока:	64 бит
Число раундов:	48 DES-эквивалентных раундов
Тип:	Сеть Фейстеля

Triple DES (3DES) — симметричный блочный шифр, созданный Уитфилдом Диффи, Мартином Хеллманом и Уолтом Тачманном в 1978 году на основе алгоритма DES с целью устранения главного недостатка последнего — малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше — время, требуемое для криптоанализа 3DES, может быть в миллиард раз больше, чем время, нужное для вскрытия DES. 3DES используется чаще, чем DES, который легко взламывается при помощи сегодняшних технологий (в 1998 году организация Electronic Frontier Foundation, используя специальный компьютер DES Cracker, вскрыла DES за 3 дня). 3DES является простым способом устранения недостатков DES. Алгоритм 3DES построен на основе DES, поэтому для его реализации возможно использовать программы, созданные для DES. Официальное название алгоритма, используемое в стандартах - TDEA или Triple DEA (англ. Triple Data Encryption Algorithm). Однако, термин "3DES" используется более широко поставщиками, пользователями и разработчиками криптосистем.

Алгоритм

Схема алгоритма 3DES имеет такой вид, как на рисунке. Простой вариант 3DES можно представить так:

где <math>k_1</math>, <math>k_2</math>, <math>k_3</math> — ключи для каждого DES-шага, <math>M</math> — входные данные, которые нужно шифровать. Существует 3 типа алгоритма 3DES:

DES-EEE3: Шифруется три раза с тремя разными ключами (операции шифрование-шифрование-шифрование).

Шифрование: <math>C = E_{k_3}(E_{k_2} (E_{k_1} (P)))</math>

Расшифрование: <math>P = E^{-1}_{k_1}(E^{-1}_{k_2} (E^{-1}_{k_3} (C)))</math>

DES-EDE3: 3DES операции шифровка-расшифровка-шифровка с тремя разными ключами.

Шифрование: <math>C = E_{k_3}(E^{-1}_{k_2} (E_{k_1} (P)))</math>

Расшифрование: <math>P = E^{-1}_{k_1}(E_{k_2} (E^{-1}_{k_3} (C)))</math>

DES-EEE2 и DES-EDE2: Как и предыдущие, за исключением того, что на первом и третьем шаге используется одинаковый ключ.

Шифрование: <math>C = E_{k_1}(E^{-1}_{k_2} (E_{k_1} (P)))</math>

Расшифрование: <math>P = E^{-1}_{k_1}(E_{k_2} (E^{-1}_{k_1} (C)))</math>

Самая популярная разновидность 3DES — это DES-EDE3.

Выбор ключей

При выполнении алгоритма 3DES ключи могут быть выбраны так:

<math>k_1</math>, <math>k_2</math>, <math>k_3</math> независимы.
<math>k_1</math>, <math>k_2</math> независимы, а <math>k_1=k_3</math>
<math>k_1=k_2=k_3</math>

Самым безопасным является первый вариант: длина ключа DES равна 56 битов, а длина 3DES в 3 раза больше, то есть равна 168 битов (в каждом байте 64-разрядного ключа DES используется только 7 битов, поэтому на самом деле длина ключа равна 56 битов, а не 64, и длина ключа 3DES равна 168, а не 192 бита).

Второй вариант является несколько менее стойким, с длиной ключа, равной 2 × 56 = 112 бит. Однако, этот вариант шифрования более надежен, чем обычное двойное шифрование с помощью DES с ключами <math>k_1</math> и <math>k_2</math>: он защищает от атак «встреча посередине».

Третий вариант эквивалентен по надежности DES: здесь длина ключа тоже равна 56 битам. При использовании алгоритма DES-EDE3, из-за такого выбора ключей, шифрование (первый шаг) и расшифрование (второй шаг) сводят друг друга на нет. Такой выбор ключей теперь не рекомендуется национальным институтом стандартов и технологий (НИСТ) ^[1] и не поддерживается стандартом ISO/IEC 18033-3.

Каждый ключ DES хранится и передается как 8 байтов, каждый байт - с нечетным паритетом^[2], так что полный набор ключей займет 24 байта в первом варианте, 16 во втором и 8 в третьем.

Шифрование более одного блока

Как и с другими блочными шифрами, шифрование и расшифрование нескольких блоков данных может быть произведено с помощью одного из режимов шифрования, определяемых независимо от самого алгоритма блочного шифрования. Однако, ANS X9.52 указывает напрямую, а NIST SP 800-67 - через SP 800-38A^[3], что некоторые режимы могут быть использованы только с определенными ограничениями, не являющимися необходимыми в общем случае. Например, ANS X9.52 уточняет, что для режима сцепления блоков шифротекста вектор инициализации должен каждый раз меняться, тогда как ISO/IEC 10116^[4] этого не требует. FIPS PUB 46-3 и ISO/IEC 18033-3 определяют 3DES только для одного блока и не накладывают никаких ограничений на режимы шифрования нескольких блоков. Несмотря на то, что режим сцепления блоков шифротекста (Triple CBC) улучшает стойкость шифра, режим электронной кодовой книги (Triple ECB) на данный момент более распространен.

Криптостойкость

3DES с тремя различными ключами имеет длину ключа, равную 168 бит, но из-за атак «встреча посередине» эффективная криптостойкость составляет только 112 бит. В варианте DES-EDE c <math>k_1=k_3</math> номинальный размер ключа также составляет 112 бит. Однако, такой выбор ключей уязвим к определенным атакам на основе открытых текстов, что уменьшает эффективную длину ключа до 80 бит. Для успешной атаки на 3DES потребуется около <math>2^{32}</math> бит известного открытого текста, <math>2^{113}</math> шагов, <math>2^{90}</math> циклов DES-шифрования и <math>2^{88}</math> бит памяти^[5]. На данный момент это непрактично, и, по оценкам НИСТ, алгоритм с выбором трех различных ключей должен остаться надежным до 2030-х.

Применение 3DES

3DES с тремя ключами реализован во многих приложениях, ориентированных на работу с Интернет, в том числе в PGP и S/mime. Тройной DES является довольно популярной альтернативой DES и используется при управлении ключами в стандартах ANSI X9.17 и ISO 8732 и в PEM (Privacy Enhanced Mail). Индустрия электронных платежей использует 3DES и продолжает активно разрабатывать и публиковать стандарты, основанные на нем (например, EMV). Microsoft OneNote, Microsoft Outlook 2007 и Microsoft System Center Configuration Manager 2012 используют 3DES для защиты данных системы и пользователей с помощью паролей. Известных криптографических атак, применимых на практике, на 3DES не существует.

Тем не менее, 3DES понемногу выходит из употребления: на смену ему приходит новый алгоритмом AES Rijndael. Rijndael, реализованный программно, работает в шесть раз быстрее. Поэтому 3DES больше подходит для аппаратных реализаций. Многие системы безопасности продолжают поддерживать как 3DES, так и AES, по умолчанию используя AES. Хотя 3DES может поддерживаться для обратной совместимости, он больше не рекомендован к использованию.

Напишите отзыв о статье "Triple DES"

Ссылки

[rsdn.ru/article/crypto/cryptoapi.xml#EGGAC 3DES с использованием CryptoAPI и .NET]
Triple DES

См. также

DESX
DES

Примечания

↑ [csrc.nist.gov/publications/nistpubs/800-67-Rev1/SP-800-67-Rev1.pdf Специальное издание НИСТ 800-67 Ревизия 1: Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher, 2012].
↑ ANSI X3.92-1981 (один из стандартов, определяющих DES), секция 3.5: "One bit in each 8-bit byte of the KEY may be utilized for error detection in key generation, distribution, and storage. Bits 8, 16,..., 64 are for use in ensuring that each byte is of odd parity."
↑ [csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf Специальное издание НИСТ 800-38A, Recommendation for Block Cipher Modes of Operation, Methods and Techniques, 2001] (PDF)
↑ [www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=38761 ISO/IEC 10116:2006 Information technology — Security techniques — Modes of operation for an n-bit block cipher]
↑ Stefan Lucks: [th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz Attacking Triple Encryption] (PDF), Fast Software Encryption 1998, стр. 239–253.

Отрывок, характеризующий Triple DES

– Вот вздор, глупости, вранье – сказал Николай и подумал: «Что за прелесть эта моя Наташа! Такого другого друга у меня нет и не будет. Зачем ей выходить замуж, всё бы с ней ездили!»
«Экая прелесть этот Николай!» думала Наташа. – А! еще огонь в гостиной, – сказала она, указывая на окна дома, красиво блестевшие в мокрой, бархатной темноте ночи.

Граф Илья Андреич вышел из предводителей, потому что эта должность была сопряжена с слишком большими расходами. Но дела его всё не поправлялись. Часто Наташа и Николай видели тайные, беспокойные переговоры родителей и слышали толки о продаже богатого, родового Ростовского дома и подмосковной. Без предводительства не нужно было иметь такого большого приема, и отрадненская жизнь велась тише, чем в прежние годы; но огромный дом и флигеля всё таки были полны народом, за стол всё так же садилось больше человек. Всё это были свои, обжившиеся в доме люди, почти члены семейства или такие, которые, казалось, необходимо должны были жить в доме графа. Таковы были Диммлер – музыкант с женой, Иогель – танцовальный учитель с семейством, старушка барышня Белова, жившая в доме, и еще многие другие: учителя Пети, бывшая гувернантка барышень и просто люди, которым лучше или выгоднее было жить у графа, чем дома. Не было такого большого приезда как прежде, но ход жизни велся тот же, без которого не могли граф с графиней представить себе жизни. Та же была, еще увеличенная Николаем, охота, те же 50 лошадей и 15 кучеров на конюшне, те же дорогие подарки в именины, и торжественные на весь уезд обеды; те же графские висты и бостоны, за которыми он, распуская всем на вид карты, давал себя каждый день на сотни обыгрывать соседям, смотревшим на право составлять партию графа Ильи Андреича, как на самую выгодную аренду.
Граф, как в огромных тенетах, ходил в своих делах, стараясь не верить тому, что он запутался и с каждым шагом всё более и более запутываясь и чувствуя себя не в силах ни разорвать сети, опутавшие его, ни осторожно, терпеливо приняться распутывать их. Графиня любящим сердцем чувствовала, что дети ее разоряются, что граф не виноват, что он не может быть не таким, каким он есть, что он сам страдает (хотя и скрывает это) от сознания своего и детского разорения, и искала средств помочь делу. С ее женской точки зрения представлялось только одно средство – женитьба Николая на богатой невесте. Она чувствовала, что это была последняя надежда, и что если Николай откажется от партии, которую она нашла ему, надо будет навсегда проститься с возможностью поправить дела. Партия эта была Жюли Карагина, дочь прекрасных, добродетельных матери и отца, с детства известная Ростовым, и теперь богатая невеста по случаю смерти последнего из ее братьев.
Графиня писала прямо к Карагиной в Москву, предлагая ей брак ее дочери с своим сыном и получила от нее благоприятный ответ. Карагина отвечала, что она с своей стороны согласна, что всё будет зависеть от склонности ее дочери. Карагина приглашала Николая приехать в Москву.
Несколько раз, со слезами на глазах, графиня говорила сыну, что теперь, когда обе дочери ее пристроены – ее единственное желание состоит в том, чтобы видеть его женатым. Она говорила, что легла бы в гроб спокойной, ежели бы это было. Потом говорила, что у нее есть прекрасная девушка на примете и выпытывала его мнение о женитьбе.
В других разговорах она хвалила Жюли и советовала Николаю съездить в Москву на праздники повеселиться. Николай догадывался к чему клонились разговоры его матери, и в один из таких разговоров вызвал ее на полную откровенность. Она высказала ему, что вся надежда поправления дел основана теперь на его женитьбе на Карагиной.
– Что ж, если бы я любил девушку без состояния, неужели вы потребовали бы, maman, чтобы я пожертвовал чувством и честью для состояния? – спросил он у матери, не понимая жестокости своего вопроса и желая только выказать свое благородство.
– Нет, ты меня не понял, – сказала мать, не зная, как оправдаться. – Ты меня не понял, Николинька. Я желаю твоего счастья, – прибавила она и почувствовала, что она говорит неправду, что она запуталась. – Она заплакала.
– Маменька, не плачьте, а только скажите мне, что вы этого хотите, и вы знаете, что я всю жизнь свою, всё отдам для того, чтобы вы были спокойны, – сказал Николай. Я всем пожертвую для вас, даже своим чувством.
Но графиня не так хотела поставить вопрос: она не хотела жертвы от своего сына, она сама бы хотела жертвовать ему.
– Нет, ты меня не понял, не будем говорить, – сказала она, утирая слезы.
«Да, может быть, я и люблю бедную девушку, говорил сам себе Николай, что ж, мне пожертвовать чувством и честью для состояния? Удивляюсь, как маменька могла мне сказать это. Оттого что Соня бедна, то я и не могу любить ее, думал он, – не могу отвечать на ее верную, преданную любовь. А уж наверное с ней я буду счастливее, чем с какой нибудь куклой Жюли. Пожертвовать своим чувством я всегда могу для блага своих родных, говорил он сам себе, но приказывать своему чувству я не могу. Ежели я люблю Соню, то чувство мое сильнее и выше всего для меня».
Николай не поехал в Москву, графиня не возобновляла с ним разговора о женитьбе и с грустью, а иногда и озлоблением видела признаки всё большего и большего сближения между своим сыном и бесприданной Соней. Она упрекала себя за то, но не могла не ворчать, не придираться к Соне, часто без причины останавливая ее, называя ее «вы», и «моя милая». Более всего добрая графиня за то и сердилась на Соню, что эта бедная, черноглазая племянница была так кротка, так добра, так преданно благодарна своим благодетелям, и так верно, неизменно, с самоотвержением влюблена в Николая, что нельзя было ни в чем упрекнуть ее.
Николай доживал у родных свой срок отпуска. От жениха князя Андрея получено было 4 е письмо, из Рима, в котором он писал, что он уже давно бы был на пути в Россию, ежели бы неожиданно в теплом климате не открылась его рана, что заставляет его отложить свой отъезд до начала будущего года. Наташа была так же влюблена в своего жениха, так же успокоена этой любовью и так же восприимчива ко всем радостям жизни; но в конце четвертого месяца разлуки с ним, на нее начинали находить минуты грусти, против которой она не могла бороться. Ей жалко было самое себя, жалко было, что она так даром, ни для кого, пропадала всё это время, в продолжение которого она чувствовала себя столь способной любить и быть любимой.
В доме Ростовых было невесело.

Пришли святки, и кроме парадной обедни, кроме торжественных и скучных поздравлений соседей и дворовых, кроме на всех надетых новых платьев, не было ничего особенного, ознаменовывающего святки, а в безветренном 20 ти градусном морозе, в ярком ослепляющем солнце днем и в звездном зимнем свете ночью, чувствовалась потребность какого нибудь ознаменования этого времени.
На третий день праздника после обеда все домашние разошлись по своим комнатам. Было самое скучное время дня. Николай, ездивший утром к соседям, заснул в диванной. Старый граф отдыхал в своем кабинете. В гостиной за круглым столом сидела Соня, срисовывая узор. Графиня раскладывала карты. Настасья Ивановна шут с печальным лицом сидел у окна с двумя старушками. Наташа вошла в комнату, подошла к Соне, посмотрела, что она делает, потом подошла к матери и молча остановилась.

[TDEA-1] [csrc.nist.gov/publications/nistpubs/800-67-Rev1/SP-800-67-Rev1.pdf Специальное издание НИСТ 800-67 Ревизия 1: Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher, 2012].

[2] ANSI X3.92-1981 (один из стандартов, определяющих DES), секция 3.5: "One bit in each 8-bit byte of the KEY may be utilized for error detection in key generation, distribution, and storage. Bits 8, 16,..., 64 are for use in ensuring that each byte is of odd parity."

[3] [csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf Специальное издание НИСТ 800-38A, Recommendation for Block Cipher Modes of Operation, Methods and Techniques, 2001] (PDF)

[4] [www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=38761 ISO/IEC 10116:2006 Information technology — Security techniques — Modes of operation for an n-bit block cipher]

[5] Stefan Lucks: [th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz Attacking Triple Encryption] (PDF), Fast Software Encryption 1998, стр. 239–253.

[1]

[2]

[3]

[4]

[5]