Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Стандарт шифрования данных
Стандартная блок-схема шифрования данных.svg
Функция Фейстеля (функция F) DES
Общий
ДизайнеровIBM
Впервые опубликовано1975 г. (Федеральный регистр) (стандартизирован в январе 1977 г.)
Происходит отЛюцифер
ПреемникиТройной DES , G-DES , DES-X , LOKI89 , ICE
Деталь шифра
Ключевые размеры56 бит (+8 бит четности)
Размеры блоков64 бит
СтруктураСбалансированная сеть Фейстеля
Раундов16
Лучший публичный криптоанализ
DES с самого начала считался небезопасным из-за возможности атак методом перебора [1]. Такие атаки были продемонстрированы на практике (см. Взломщик EFF DES ) и теперь доступны на рынке в качестве услуги. По состоянию на 2008 год лучшей аналитической атакой является линейный криптоанализ , который требует 2 43 известных открытых текстов и имеет временную сложность 2 39–43 (Junod, 2001).

Стандарт шифрования данных ( DES / ˌ д я ˌ я ɛ ы , д ɛ г / ) является симметричным ключом алгоритм для шифрования цифровых данных. Хотя его короткая длина ключа в 56 бит делает его слишком небезопасным для приложений, он оказал большое влияние на развитие криптографии .

Алгоритм, разработанный в начале 1970-х годов в IBM и основанный на более ранней разработке Хорста Фейстеля , был представлен в Национальное бюро стандартов (NBS) после приглашения агентства предложить кандидата для защиты конфиденциальных несекретных данных электронного правительства. В 1976 году, после консультации с Агентством национальной безопасности (NSA), NBS выбрало слегка измененную версию (усиленную против дифференциального криптоанализа , но ослабленную против атак методом грубой силы ), которая была опубликована в качестве официального Федерального стандарта обработки информации (FIPS) для США в 1977 году.

Публикация стандарта шифрования, одобренного АНБ, привела к его быстрому международному принятию и повсеместному изучению со стороны ученых. Споры возникли из-за засекреченных элементов дизайна, относительно короткой длины ключа блочного шифра с симметричным ключом и участия АНБ, что вызвало подозрения в отношении бэкдора . В S-боксы , которые подтолкнули эти подозрения были разработаны АНБОМ , чтобы удалить лазейку они тайно знали ( дифференциальный криптоанализ ). Тем не менее, АНБ также позаботилось о том, чтобы размер ключа был резко уменьшен, чтобы они могли взломать шифр с помощью атаки грубой силы. [2]Интенсивное академическое изучение алгоритма, полученное с течением времени, привело к современному пониманию блочных шифров и их криптоанализа .

DES небезопасен из-за относительно короткого 56-битного размера ключа . В январе 1999 года Distribution.net и Electronic Frontier Foundation объединились, чтобы публично взломать ключ DES за 22 часа 15 минут (см. Хронологию ). Есть также некоторые аналитические результаты, которые демонстрируют теоретические недостатки шифра, хотя на практике они неосуществимы. Считается, что алгоритм практически безопасен в форме Triple DES , хотя есть теоретические атаки. Этот шифр был заменен Advanced Encryption Standard (AES). DES был отменен как стандарт Национальным институтом стандартов и технологий .

Некоторые документы различают стандарт DES и его алгоритм, называя алгоритм DEA ( алгоритм шифрования данных ).

История [ править ]

Истоки DES относятся к 1972 году, когда исследование компьютерной безопасности правительства США , проведенное Национальным бюро стандартов, выявило потребность в общегосударственном стандарте для шифрования несекретной конфиденциальной информации. [3]

Примерно в то же время инженер Мохамед Аталла в 1972 году основал корпорацию Atalla и разработал первый аппаратный модуль безопасности (HSM), так называемый «Atalla Box», который был коммерциализирован в 1973 году. Он защищал автономные устройства с помощью ключа для генерации безопасного PIN-кода , и имел коммерческий успех. Банки и компании, выпускающие кредитные карты, опасались доминирования Atalla на рынке, что стимулировало разработку международного стандарта шифрования. [4] Аталла был одним из первых конкурентов IBM на банковском рынке, и сотрудники IBM, работавшие над стандартом DES, указали на его влияние. [5] IBM 3624позже принял систему проверки PIN-кода, аналогичную более ранней системе Atalla. [6]

15 мая 1973 г., после консультации с АНБ, NBS запросило предложения по шифру, который отвечал бы строгим критериям проектирования. Ни одно из представлений не подходило. Второй запрос был выдан 27 августа 1974 г. На этот раз, IBM представила кандидата , который считается приемлемым-шифром , разработанный в период 1973-1974 годов на основе ранее алгоритма, Файстель «s Люцифер шифра. Команда IBM, занимавшаяся проектированием и анализом шифров, включала Фейстеля, Уолтера Тачмана , Дона Копперсмита , Алан Конхейм, Карл Мейер, Майка Матиаса, Роя Адлера , Эдну Гроссман , Билла Нотца, Линн Смит и Брайанта Такермана .

Участие АНБ в разработке [ править ]

17 марта 1975 г. предложенный DES был опубликован в Федеральном реестре . Были запрошены комментарии общественности, и в следующем году были проведены два открытых семинара для обсуждения предложенного стандарта. Был критика , полученная от криптографии с открытым ключом пионеров Мартин Хеллман и Диффи , [1] со ссылкой на укороченную длину ключа и загадочные « S-коробки » в качестве доказательства ненадлежащего вмешательства со стороны АНБ. Подозрение заключалось в том, что алгоритм был тайно ослаблен спецслужбами, чтобы они - но никто другой - могли легко читать зашифрованные сообщения. [7]Алан Конхейм (один из разработчиков DES) прокомментировал: «Мы отправили S-блоки в Вашингтон. Они вернулись, и все они были другими». [8] Штаты Сенатский комитет США по разведке рассмотрел действия АНБ, чтобы определить , имело ли место какое - либо ненадлежащее участие. В несекретном резюме своих выводов, опубликованном в 1978 году, Комитет написал:

При разработке DES АНБ убедило IBM в том, что уменьшенного размера ключа достаточно; косвенно помогал в разработке конструкций S-box; и подтвердили, что окончательный алгоритм DES, насколько им известно, лишен каких-либо статистических или математических недостатков. [9]

Однако было также обнаружено, что

АНБ никоим образом не вмешивалось в разработку алгоритма. IBM изобрела и спроектировала алгоритм, приняла все соответствующие решения в отношении него и согласилась с тем, что согласованный размер ключа более чем достаточен для всех коммерческих приложений, для которых предназначен DES. [10]

Другой член команды DES, Уолтер Тачман, заявил: «Мы полностью разработали алгоритм DES внутри IBM с использованием специалистов IBM. АНБ не диктовало ни одного провода!» [11] Напротив, рассекреченная книга АНБ по истории криптологии гласит:

В 1973 году NBS обратилась к частным предприятиям с просьбой разработать стандарт шифрования данных (DES). Первые предложения разочаровали, поэтому АНБ начало работать над собственным алгоритмом. Затем Ховард Розенблюм, заместитель директора по исследованиям и разработкам, обнаружил, что Уолтер Тачман из IBM работает над модификацией Lucifer для общего пользования. АНБ дало Тухману разрешение и пригласило его для совместной работы с Агентством над его модификацией Люцифера » [12].

и

АНБ тесно сотрудничало с IBM над усилением алгоритма защиты от всех атак, кроме грубой силы, и над усилением таблиц замены, называемых S-блоками. Наоборот, АНБ пыталось убедить IBM уменьшить длину ключа с 64 до 48 бит. В конечном итоге они взяли 56-битный ключ. [13] [14]

Некоторые из подозрений по поводу скрытых недостатков в S-боксов были развеяны в 1990 году, с независимым открытием и открытой публикации Бихам и Ади Шамира из дифференциального криптоанализа , общий метод разрушения блочных шифров. S-блоки DES были намного более устойчивы к атаке, чем если бы они были выбраны случайным образом, что убедительно свидетельствует о том, что IBM знала об этой технике в 1970-х годах. Это действительно было так; В 1994 году Дон Копперсмит опубликовал некоторые из исходных критериев проектирования S-образных коробов. [15] По словам Стивена Леви , исследователи IBM Watson обнаружили дифференциальные криптоаналитические атаки в 1974 году, и АНБ попросило их сохранить этот метод в секрете. [16]Копперсмит объясняет решение IBM о секретности тем, что «это произошло потому, что [дифференциальный криптоанализ] может быть очень мощным инструментом, используемым против многих схем, и были опасения, что такая информация в открытом доступе может отрицательно повлиять на национальную безопасность». Леви цитирует Уолтера Тачмана: «[t] они просили нас поставить печать на всех наших документах как конфиденциальные ... Мы фактически поставили номер на каждый из них и заперли их в сейфы, потому что они считались секретными правительством США. Они сказали, сделайте это. Итак. Я это сделал". [16] Брюс Шнайер заметил, что «академическому сообществу потребовалось два десятилетия, чтобы понять, что« хитрости »АНБ на самом деле улучшили безопасность DES». [17]

Алгоритм стандартный [ править ]

Несмотря на критику, DES был одобрен в качестве федерального стандарта в ноябре 1976 г. и опубликован 15 января 1977 г. как FIPS PUB 46, разрешенный для использования со всеми несекретными данными. Впоследствии он был подтвержден в качестве стандарта в 1983, 1988 (пересмотренный как FIPS-46-1), 1993 (FIPS-46-2) и снова в 1999 году (FIPS-46-3), последний предписывал " Triple DES " ( Смотри ниже). 26 мая 2002 г. после публичного конкурса DES был окончательно заменен на Advanced Encryption Standard (AES) . 19 мая 2005 года FIPS 46-3 был официально отозван, но NIST одобрил Triple DES до 2030 года для конфиденциальной правительственной информации. [18]

Алгоритм также указан в ANSI X3.92 (сегодня X3 известен как INCITS, а ANSI X3.92 как ANSI INCITS 92), [19] NIST SP 800-67 [18] и ISO / IEC 18033-3 [20] ( как компонент TDEA ).

Другая теоретическая атака, линейный криптоанализ, была опубликована в 1994 году, но это была Фонд электронных Frontier «s DES крекер в 1998 году показал , что DES может быть атаковано очень практически, и подчеркнула необходимость разработки алгоритма замены. Эти и другие методы криптоанализа более подробно обсуждаются далее в этой статье.

Внедрение DES считается катализатором академических исследований криптографии, особенно методов взлома блочных шифров. Согласно ретроспективе NIST о DES,

Можно сказать, что DES дал толчок невоенному исследованию и разработке алгоритмов шифрования. В 1970-х было очень мало криптографов, за исключением тех, кто работал в военных или разведывательных организациях, и было мало академических исследований криптографии. Сейчас есть много активных академических криптологов, математических факультетов с сильными программами по криптографии, а также компаний и консультантов по коммерческой информационной безопасности. Поколение криптоаналитиков зарекомендовало себя, анализируя (то есть пытаясь «взломать») алгоритм DES. По словам криптографа Брюса Шнайера , [21]«DES сделал больше для стимулирования криптоанализа, чем что-либо еще. Теперь нужно было изучить алгоритм». Поразительная доля открытой литературы по криптографии в 1970-х и 1980-х годах была посвящена DES, и DES является стандартом, с которым с тех пор сравнивается каждый алгоритм с симметричным ключом . [22]

Хронология [ править ]

ДатаГодМероприятие
15 мая1973NBS публикует первый запрос на стандартный алгоритм шифрования
27 августа1974 г.NBS публикует второй запрос алгоритмов шифрования
17 марта1975 г.DES опубликован в Федеральном реестре для комментариев.
август1976 г.Первый семинар по DES
сентябрь1976 г.Второй семинар, посвященный математическим основам DES.
Ноябрь1976 г.DES утвержден как стандарт
15 января1977 г.DES опубликован как стандарт FIPS FIPS PUB 46
июнь1977 г.Диффи и Хеллман утверждают, что шифр DES может быть взломан грубой силой. [1]
1983 г.DES подтверждается впервые
1986 г.Videocipher II, система скремблирования спутникового телевидения, основанная на DES, начинает использоваться HBO.
22 января1988 г.DES подтвержден во второй раз как FIPS 46-1, заменяя FIPS PUB 46.
июль1991 г.Бихам и Шамир заново открывают для себя дифференциальный криптоанализ и применяют его к криптосистеме, подобной DES с 15 циклами.
1992 г.Бихам и Шамир сообщают о первой теоретической атаке с меньшей сложностью, чем грубая сила: дифференциальный криптоанализ . Однако это требует нереально 2 47 выбранных открытых текстов .
30 декабря1993 г.DES подтвержден в третий раз как FIPS 46-2.
1994 г.Первый экспериментальный криптоанализ DES выполняется с использованием линейного криптоанализа (Matsui, 1994).
июнь1997 г.Проект DESCHALL впервые публично взламывает сообщение, зашифрованное с помощью DES.
июль1998 г.EFF «s DES крекер (Deep Crack) нарушает ключ DES в 56 часов.
Январь1999 г.Вместе Deep Crack и распределенный.net взламывают ключ DES за 22 часа 15 минут.
25 октября1999 г.DES в четвертый раз подтвержден как FIPS 46-3, который определяет предпочтительное использование тройного DES , при этом одиночный DES разрешен только в устаревших системах.
26 ноября2001 г.Стандарт Advanced Encryption Standard опубликован в FIPS 197.
26 мая2002 г.AES вступает в силу
26 июля2004 г.Отмена FIPS 46-3 (и нескольких связанных стандартов) предлагается в Федеральном реестре [23]
19 мая2005 г.NIST отзывает FIPS 46-3 (см. Федеральный регистр, том 70, номер 96 ).
апреля2006 г.FPGA -параллельная машина COPACOBANA из университетов в Бохуме и Киле, Германия, брейки DES 9 дней в аппаратной стоимости $ 10,000. [24] В течение года усовершенствования программного обеспечения сократили среднее время до 6,4 дней.
Ноябрь2008 г.Преемник COPACOBANA , машина RIVYERA, сократила среднее время до менее одного дня.
август2016 г.Программное обеспечение для взлома паролей с открытым исходным кодом hashcat, добавленное в поиск грубой силы DES на графических процессорах общего назначения. Бенчмаркинг показывает, что один имеющийся в наличии графический процессор Nvidia GeForce GTX 1080 Ti стоимостью 1000 долларов США восстанавливает ключ в среднем за 15 дней (полный исчерпывающий поиск занимает 30 дней). Системы были построены с восемью графическими процессорами GTX 1080 Ti, которые могут восстановить ключ в среднем менее чем за 2 дня. [25]
июль2017 г.Выбраны по открытому тексту нападение с использованием таблицы радуги может восстановить ключ DES для одного специфического выбранного открытого текста 1122334455667788 за 25 секунд. Новая радужная таблица должна быть рассчитана для открытого текста. Ограниченный набор радужных таблиц доступен для загрузки. [26]

Описание [ править ]

Для краткости следующее описание опускает точные преобразования и перестановки, которые определяют алгоритм. Дополнительные сведения см. В дополнительном материале DES .
Initial permutationFeistel functionFeistel functionFeistel functionFeistel functionFinal permutationXORXORXORXOR
Рисунок 1 - Общая структура Фейстеля DES

DES - это архетипический блочный шифр - алгоритм, который берет строку битов открытого текста фиксированной длины и преобразует ее с помощью ряда сложных операций в другую цепочку битов зашифрованного текста такой же длины. В случае DES размер блока составляет 64 бита. DES также использует ключ для настройки преобразования, так что расшифровку предположительно могут выполнять только те, кто знает конкретный ключ, используемый для шифрования. Ключ якобы состоит из 64 бит; однако только 56 из них фактически используются алгоритмом. Восемь битов используются исключительно для проверки четности и после этого отбрасываются. Следовательно, эффективная длина ключа 56 бит.

Ключ номинально хранится или передается как 8 байтов , каждый с нечетной четностью. Согласно ANSI X3.92-1981 (теперь известному как ANSI INCITS 92-1981), раздел 3.5:

Один бит в каждом 8-битном байте KEY может использоваться для обнаружения ошибок при генерации, распределении и хранении ключей. Биты 8, 16, ..., 64 используются для обеспечения того, чтобы каждый байт имел нечетную четность.

Как и другие блочные шифры, DES сам по себе не является безопасным средством шифрования, но вместо этого должен использоваться в рабочем режиме . FIPS-81 определяет несколько режимов для использования с DES. [27] Дополнительные комментарии по использованию DES содержатся в FIPS-74. [28]

Для дешифрования используется та же структура, что и для шифрования, но ключи используются в обратном порядке. (Это имеет то преимущество, что одно и то же оборудование или программное обеспечение можно использовать в обоих направлениях.)

Общая структура [ править ]

Общая структура алгоритма показана на рисунке 1: есть 16 идентичных этапов обработки, называемых раундами . Также существует начальная и конечная перестановки , называемые IP и FP , которые являются обратными (IP «отменяет» действие FP, и наоборот). IP и FP не имеют криптографического значения, но были включены для облегчения загрузки блоков в 8-битное оборудование середины 1970-х годов и обратно. [29]

Перед основными раундами блок делится на две 32-битные половины и обрабатывается поочередно; это пересечение известно как схема Фейстеля . Структура Фейстеля гарантирует, что дешифрование и шифрование являются очень похожими процессами, с той лишь разницей, что подключи применяются в обратном порядке при дешифровании. В остальном алгоритм идентичен. Это значительно упрощает реализацию, особенно в аппаратном обеспечении, поскольку нет необходимости в отдельных алгоритмах шифрования и дешифрования.

Символ ⊕ обозначает операцию исключающее ИЛИ (XOR). В F-функция карабкается полквартала вместе с некоторыми из ключевых. Выходные данные F-функции затем объединяются с другой половиной блока, и половины меняются местами перед следующим раундом. После финального раунда половинки меняются местами; это особенность структуры Фейстеля, которая делает процессы шифрования и дешифрования схожими.

Функция Фейстеля (F) [ править ]

F-функция, изображенная на рисунке 2, работает с половиной блока (32 бита) за раз и состоит из четырех этапов:

Expansion functionSubstitution box 1Substitution box 2Substitution box 3Substitution box 4Substitution box 5Substitution box 6Substitution box 7Substitution box 8PermutationXOR
Рисунок 2 - Функция Фейстеля (F-функция) DES.
  1. Расширение : 32-битный полублок расширяется до 48 бит с помощью перестановки раскрытия , обозначенной на схеме буквой E , путем дублирования половины битов. Выходные данные состоят из восьми 6-битных (8 × 6 = 48 бит) частей, каждая из которых содержит копию 4 соответствующих входных битов плюс копию непосредственно соседнего бита из каждой входной части с каждой стороны.
  2. Смешивание ключей : результат объединяется с подключом с помощью операции XOR. Шестнадцать 48-битных подключей - по одному на каждый цикл - выводятся из основного ключа с использованием расписания ключей (описанного ниже).
  3. Замещение : после смешивания в подключе блок делится на восемь 6-битных частей перед обработкой S-блоками или блоками замещения . Каждый из восьми S-блоков заменяет свои шесть входных бит четырьмя выходными битами в соответствии с нелинейным преобразованием, представленным в форме справочной таблицы . S-блоки обеспечивают основу безопасности DES - без них шифр был бы линейным и легко взломаемым.
  4. Перестановка : наконец, 32 выхода из S-блоков переставляются в соответствии с фиксированной перестановкой , P-блоком . Это разработано так, что после перестановки биты с выхода каждого S-блока в этом цикле распределяются по четырем различным S-блокам в следующем цикле.

Чередование подстановки из S-блоков и перестановка битов из P-блока и E-расширения обеспечивает, соответственно, так называемую « путаницу и распространение », концепция, определенная Клодом Шенноном в 1940-х годах как необходимое условие для безопасного пока что практический шифр.

Ключевой график [ править ]

Permuted choice 1Permuted choice 2Permuted choice 2Permuted choice 2Permuted choice 2Left shift by 1Left shift by 1Left shift by 1Left shift by 1Left shift by 2Left shift by 2Left shift by 1Left shift by 1
Рисунок 3 - Ключевое расписание DES

На рисунке 3 показано расписание ключей для шифрования - алгоритм, который генерирует подключи. Первоначально, 56 бит ключа выбираются из исходного 64 с помощью переставляется Choice 1 ( PC-1 ) -The остальных восемь бит либо отбрасываются или использовать в качестве контроля четности бит проверки. Затем 56 бит делятся на две 28-битные половины; после этого каждая половина обрабатывается отдельно. В последовательных раундах обе половины поворачиваются влево на один или два бита (указываются для каждого раунда), а затем 48 бит подключей выбираются с помощью перестановочного выбора 2 ( ПК-2) - 24 бита из левой половины и 24 бита из правой. Вращения (обозначенные на схеме «<<<») означают, что в каждом подключе используется другой набор битов; каждый бит используется примерно в 14 из 16 подключей.

Схема ключей для дешифрования аналогична - подключи расположены в обратном порядке по сравнению с шифрованием. За исключением этого изменения, процесс такой же, как и при шифровании. Во все блоки вращения передаются одинаковые 28 бит.

Безопасность и криптоанализ [ править ]

Хотя о криптоанализе DES опубликовано больше информации, чем о любом другом блочном шифре, на сегодняшний день наиболее практичной атакой по-прежнему является метод грубой силы. Известны различные второстепенные криптоаналитические свойства, и возможны три теоретических атаки, которые, имея теоретическую сложность меньше, чем атака грубой силы, требуют для выполнения нереалистичного количества известных или выбранных открытых текстов и не вызывают беспокойства на практике.

Атака грубой силой [ править ]

Самый простой метод атаки для любого шифра - это перебор всех возможных ключей по очереди. Длина ключа определяет число возможных ключей, и , следовательно, целесообразности такого подхода. Для DES были подняты вопросы об адекватности его размера ключа на раннем этапе, еще до того, как он был принят в качестве стандарта, и именно небольшой размер ключа, а не теоретический криптоанализ, продиктовал необходимость в алгоритме замены . В результате обсуждений с участием внешних консультантов, включая NSA, размер ключа был уменьшен со 128 бит до 56 бит, чтобы уместиться на одной микросхеме. [30]

EFF US $ 250000 «s машина растрескивания DES содержала собственные чипы 1856 и может грубую силу ключа DES в считанные дни-фото показывает схему борт DES Cracker оснащен несколько чипов Deep Crack.

В академических кругах выдвигались различные предложения по машине для взлома DES. В 1977 году Диффи и Хеллман предложили машину стоимостью около 20 миллионов долларов США, которая могла бы найти ключ DES за один день. [1] [31] К 1993 году Винер предложил машину для поиска ключей стоимостью 1 миллион долларов США, которая могла бы найти ключ в течение 7 часов. Однако ни одно из этих ранних предложений так и не было реализовано - или, по крайней мере, ни одна реализация не получила публичного признания. Уязвимость DES была практически продемонстрирована в конце 1990-х годов. [32] В 1997 году RSA Security спонсировала серию конкурсов, предложив приз в размере 10 000 долларов первой команде, взломавшей сообщение, зашифрованное с помощью DES. Конкурс выиграл проект DESCHALL., во главе с Рок Версер, Мэттом Кертином и Джастином Долске, используя циклы простоя тысяч компьютеров в Интернете. Возможность быстрого взлома DES была продемонстрирована в 1998 году, когда организация Electronic Frontier Foundation (EFF), группа по защите гражданских прав в киберпространстве, построила специальный взломщик DES стоимостью примерно 250 000 долларов США (см. Взломщик DES EFF ). Их мотивация заключалась в том, чтобы показать, что DES можно взломать как на практике, так и в теории: « Многие люди не поверят в истину, пока не увидят ее собственными глазами. Показав им физическую машину, которая может взломать DES за несколько секунд. days - это единственный способ убедить некоторых людей, что они действительно не могут доверять свою безопасность DES."Машина взломала ключ за 2 дня поиска.

Следующим подтвержденным взломщиком DES стала машина COPACOBANA, построенная в 2006 году командами университетов Бохума и Киля , оба в Германии . В отличие от машины EFF, COPACOBANA состоит из имеющихся в продаже реконфигурируемых интегральных схем. 120 из этих программируемых вентильных матриц (FPGA) типа XILINX Spartan-3 1000 работают параллельно. Они сгруппированы в 20 модулей DIMM, каждый из которых содержит 6 ПЛИС. Использование реконфигурируемого оборудования делает машину применимой и для других задач взлома кода. [33] Одним из наиболее интересных аспектов COPACOBANA является фактор стоимости. Одна машина может быть построена примерно за 10 000 долларов. [34]Снижение стоимости примерно в 25 раз по сравнению с машиной EFF является примером постоянного совершенствования цифрового оборудования - см. Закон Мура . Поправка на инфляцию за 8 лет дает еще большее улучшение, примерно в 30 раз. С 2007 года SciEngines GmbH , дочерняя компания двух партнеров по проекту COPACOBANA, усовершенствовала и разработала преемников COPACOBANA. В 2008 году их COPACOBANA RIVYERA сократила время взлома DES до менее одного дня, используя 128 Spartan-3 5000. SciEngines RIVYERA установила рекорд по взлому DES, использовав 128 ПЛИС Spartan-3 5000. [35] Их модель 256 Spartan-6 LX150 на этот раз еще ниже.

В 2012 году Дэвид Халтон и Мокси Марлинспайк анонсировали систему с 48 ПЛИС Xilinx Virtex-6 LX240T, каждая из которых содержит 40 полностью конвейерных ядер DES, работающих на частоте 400 МГц, с общей пропускной способностью 768 гигабайт в секунду. Система может выполнить исчерпывающий поиск по всему 56-битному ключевому пространству DES примерно за 26 часов, и эта услуга предлагается за плату в режиме онлайн. [36] [37]

Атакует быстрее грубой силы [ править ]

Известны три атаки, которые могут взломать полные 16 циклов DES с меньшей сложностью, чем перебор: дифференциальный криптоанализ (DC), [38] линейный криптоанализ (LC), [39] и атака Дэвиса . [40] Тем не менее, атаки носят теоретический характер и, как правило, считаются неосуществимыми на практике; [41] эти типы атак иногда называют слабыми сторонами сертификации.

  • Дифференциальный криптоанализ был заново открыт в конце 1980-х Эли Бихамом и Ади Шамиром ; ранее об этом знали и IBM, и АНБ, и он держался в секрете. Чтобы разорвать полные 16 циклов, дифференциальный криптоанализ требует 2 47 выбранных открытых текстов . [38] DES был разработан с учетом устойчивости к постоянному току.
  • Линейный криптоанализ был открыт Мицуру Мацуи и требует 2 43 известных открытых текстов (Matsui, 1993); [39] этот метод был реализован (Matsui, 1994), и это был первый экспериментальный криптоанализ DES, о котором было сообщено. Нет никаких доказательств того, что DES был адаптирован для защиты от атак этого типа. Обобщение LC - множественный линейный криптоанализ - было предложено в 1994 г. (Калиски и Робшоу) и далее усовершенствовано Бирюковым и другими. (2004); их анализ показывает, что можно использовать множественные линейные аппроксимации для уменьшения требований к данным для атаки как минимум в 4 раза (то есть 2 41 вместо 2 43 ). [42]Подобное снижение сложности данных может быть получено в варианте линейного криптоанализа с выбранным открытым текстом (Knudsen and Mathiassen, 2000). [43] Джунод (2001) провел несколько экспериментов, чтобы определить реальную временную сложность линейного криптоанализа, и сообщил, что он был несколько быстрее, чем предполагалось, и потребовал времени, эквивалентного 2 39 –2 41 DES. [44]
  • Улучшенная атака Дэвиса : в то время как линейный и дифференциальный криптоанализ являются общими методами и могут применяться к ряду схем, атака Дэвиса представляет собой специализированный метод для DES, впервые предложенный Дональдом Дэвисом в восьмидесятых [40] и улучшенный Бихамом и Бирюкова (1997). [45] Самая мощная форма атаки требует 2 50 известных открытых текстов , имеет вычислительную сложность 2 50 и вероятность успеха 51%.

Также были предложены атаки против версий шифра с сокращенным числом раундов, то есть версий DES с числом раундов меньше 16. Такой анализ дает представление о том, сколько раундов необходимо для обеспечения безопасности, и какой «запас надежности» сохраняет полная версия.

Дифференциально-линейный криптоанализ был предложен Лэнгфордом и Хеллманом в 1994 году и объединяет дифференциальный и линейный криптоанализ в единую атаку. [46] Усовершенствованная версия атаки может взломать 9-этапный DES с 2 15,8 выбранными открытыми текстами и имеет временную сложность 2 29,2 (Бихам и другие, 2002). [47]

Незначительные криптоаналитические свойства [ править ]

DES демонстрирует свойство дополняемости, а именно:

где это побитовое дополнение по шифрованию Обозначает с ключом и обозначают незашифрованный и блоками зашифрованных соответственно. Свойство дополнения означает, что работа для атаки методом перебора может быть уменьшена в 2 раза (или на один бит) при условии выбора открытого текста . По определению это свойство также относится к шифру TDES. [48]

DES также имеет четыре так называемых слабых ключа . Шифрование ( E ) и дешифрование ( D ) под слабым ключом имеют одинаковый эффект (см. Инволюция ):

или, что эквивалентно,

Также есть шесть пар полуслабых клавиш . Шифрование с одним из пары ключей полуслабых, , работает идентично дешифрование с другой стороны , :

или, что эквивалентно,

Достаточно легко избежать слабых и полуслабых ключей в реализации, либо путем явного их тестирования, либо просто путем случайного выбора ключей; шансы случайно выбрать слабый или полуслабый ключ ничтожны. В любом случае ключи на самом деле ничуть не слабее любых других ключей, так как они не дают атакующему преимуществу.

Также было доказано, что DES не является группой , или, точнее, набор (для всех возможных ключей ) при функциональной композиции не является группой и не «близок» к тому, чтобы быть группой. [49] Это был открытый вопрос в течение некоторого времени, и если бы это было так, можно было бы взломать DES, а несколько режимов шифрования, таких как Triple DES , не повысили бы безопасность, потому что повторяющееся шифрование (и расшифровка) под разными ключами будет эквивалентно шифрованию под другим, единственным ключом. [50]

Упрощенный DES [ править ]

Упрощенный DES (SDES) был разработан только для образовательных целей, чтобы помочь студентам узнать о современных криптоаналитических методах. SDES имеет те же свойства и структуру, что и DES, но был упрощен, чтобы значительно упростить выполнение шифрования и дешифрования вручную с помощью карандаша и бумаги. Некоторые люди считают, что изучение SDES дает представление о DES и других блочных шифрах, а также о различных криптоаналитических атаках на них. [51] [52] [53] [54] [55] [56] [57] [58] [59]

Алгоритмы замены [ править ]

Обеспокоенность по поводу безопасности и относительно медленная работа DES в программном обеспечении побудили исследователей предложить множество альтернативных конструкций блочных шифров , которые начали появляться в конце 1980-х - начале 1990-х годов: примеры включают RC5 , Blowfish , IDEA , NewDES , SAFER , CAST5 и FEAL . В большинстве этих схем сохранен 64-битный размер блока DES, и они могут выступать в качестве «заменяющей» замены, хотя обычно они используют 64-битный или 128-битный ключ. В Советском Союзе ГОСТ 28147-89был представлен алгоритм с размером блока 64 бит и ключом 256 бит, который позже также использовался в России .

Сам DES можно адаптировать и повторно использовать в более безопасной схеме. Многие бывшие пользователи DES теперь используют Triple DES (TDES), который был описан и проанализирован одним из патентообладателей DES (см. FIPS Pub 46-3); он включает в себя трехкратное применение DES с двумя (2TDES) или тремя (3TDES) разными ключами. TDES считается достаточно безопасным, хотя и довольно медленным. Менее затратной с точки зрения вычислений альтернативой является DES-X , который увеличивает размер ключа путем выполнения операции XOR с дополнительным ключевым материалом до и после DES. GDES был вариантом DES, предложенным как способ ускорения шифрования, но было показано, что он подвержен дифференциальному криптоанализу.

2 января 1997 года NIST объявили о своем желании выбрать преемника DES. [60] В 2001 году, после международного конкурса, NIST выбрал новый шифр, Advanced Encryption Standard (AES), в качестве замены. [61] Алгоритм, который был выбран в качестве AES, был представлен разработчиками под именем Rijndael . Среди других финалистов конкурса NIST AES были RC6 , Serpent , MARS и Twofish .

См. Также [ править ]

  • Грубая сила: взлом стандарта шифрования данных
  • Дополнительный материал DES
  • Скипджек (шифр)
  • Тройной DES

Заметки [ править ]

  1. ^ a b c d Диффи, Уитфилд; Хеллман, Мартин Э. (июнь 1977 г.). «Исчерпывающий криптоанализ стандарта шифрования данных NBS» (PDF) . Компьютер . 10 (6): 74–84. DOI : 10.1109 / CM.1977.217750 . S2CID  2412454 . Архивировано из оригинального (PDF) 26 февраля 2014 года.
  2. ^ «Наследие DES - Шнайер по безопасности» . www.schneier.com . 6 октября 2004 г.
  3. ^ Вальтер Tuchman (1997). «Краткая история стандарта шифрования данных». Осада Интернета: противодействие злодеяниям в киберпространстве . ACM Press / Addison-Wesley Publishing Co. Нью-Йорк, Нью-Йорк, США. С. 275–280.
  4. ^ Batiz-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело . Издательство Оксфордского университета . стр. 284 и 311. ISBN 9780191085574.
  5. ^ "Экономические последствия программы стандарта шифрования данных (DES) NIST" (PDF) . Национальный институт стандартов и технологий . Министерство торговли США . Октябрь 2001 . Проверено 21 августа 2019 .
  6. ^ Конхайм, Алан Г. (1 апреля 2016). «Банкоматы: их история и протоколы аутентификации» . Журнал криптографической инженерии . 6 (1): 1-29. DOI : 10.1007 / s13389-015-0104-3 . ISSN 2190-8516 . S2CID 1706990 . Архивировано из оригинала 22 июля 2019 года . Проверено 28 августа 2019 .  
  7. ^ Лаборатории RSA. "Был ли DES сломан?" . Архивировано из оригинала на 2016-05-17 . Проверено 8 ноября 2009 .
  8. ^ Шнайер. Прикладная криптография (2-е изд.). п. 280.
  9. ^ Дэвис, DW; У. Л. Прайс (1989). Безопасность компьютерных сетей, 2-е изд . Джон Вили и сыновья.
  10. Роберт Шугарман (редактор) (июль 1979 г.). «О пресечении компьютерных преступлений». IEEE Spectrum .CS1 maint: extra text: authors list (link)
  11. ^ П. Kinnucan (октябрь 1978). "Гуру шифрования данных: Тухман и Мейер". Cryptologia . 2 (4): 371. DOI : 10,1080 / 0161-117891853270 .
  12. ^ Томас Р. Джонсон (2009-12-18). «Американская криптология во время холодной войны, 1945–1989. Книга III: сокращение и реформа, 1972–1980, стр. 232» (PDF) . Агентство национальной безопасности , DOCID 3417193 (файл выпущен 18 декабря 2009 г., размещен на nsa.gov). Архивировано из оригинального (PDF) 18 сентября 2013 года . Проверено 10 июля 2014 .
  13. ^ Томас Р. Джонсон (2009-12-18). «Американская криптология во время холодной войны, 1945–1989. Книга III: сокращение и реформа, 1972–1980, стр. 232» (PDF) . Агентство национальной безопасности . Проверено 16 июля 2015 г. - из архива национальной безопасности по запросу FOIA. Эта версия отредактирована иначе, чем версия на веб-сайте АНБ.
  14. ^ Томас Р. Джонсон (2009-12-18). «Американская криптология во время холодной войны, 1945–1989. Книга III: сокращение и реформа, 1972–1980, стр. 232» (PDF) . Агентство национальной безопасности . Проверено 16 июля 2015 г. - из архива национальной безопасности по запросу FOIA. Эта версия отредактирована иначе, чем версия на веб-сайте АНБ.
  15. ^ Конхайм. Компьютерная безопасность и криптография . п. 301.
  16. ^ a b Леви, Крипто , стр. 55
  17. Шнайер, Брюс (27 сентября 2004). «Приветствуя наследие шифрования данных» . CNet . Проверено 22 июля 2015 .
  18. ^ a b Национальный институт стандартов и технологий , Специальная публикация NIST 800-67, Рекомендация по блочному шифру алгоритма тройного шифрования данных (TDEA) , версия 1.1
  19. ^ Американский национальный институт стандартов , ANSI X3.92-1981 (теперь известный как ANSI INCITS 92-1981) Американский национальный стандарт, алгоритм шифрования данных
  20. ^ «ISO / IEC 18033-3: 2010 Информационные технологии - Методы безопасности - Алгоритмы шифрования - Часть 3: Блочные шифры» . Iso.org. 2010-12-14 . Проверено 21 октября 2011 .
  21. ^ Брюс Шнайер, Прикладная криптография, протоколы, алгоритмы и исходный код на языке C, второе издание, John Wiley and Sons, New York (1996), стр. 267
  22. ^ Уильям Э. Берр, «Стандарт шифрования данных», в антологии NIST «Век передового опыта в измерениях, стандартах и ​​технологиях: хроника избранных публикаций NBS / NIST, 1901–2000. HTML. Архивировано 19июня 2009 г. в Wayback Machine PDF, архивированный 23 августа 2006 г. в Wayback Machine
  23. ^ "FR Doc 04-16894" . Edocket.access.gpo.gov . Проверено 2 июня 2009 .
  24. ^ С. Кумар, К. Паар, Дж. Пельцль, Г. Пфайффер, А. Рупп, М. Шиммлер, «Как взломать DES за 8 980 евро». 2-й семинар по специализированному оборудованию для атак на криптографические системы - SHARCS 2006, Кельн, Германия, 3–4 апреля 2006 г.
  25. ^ "8x1080Ti.md" .
  26. ^ "Crack.sh | Самый быстрый в мире взломщик DES" .
  27. ^ «FIPS 81 - Des Modes of Operation» . csrc.nist.gov . Проверено 2 июня 2009 .
  28. ^ «FIPS 74 - Рекомендации по внедрению и использованию данных NBS» . Itl.nist.gov. Архивировано из оригинала на 2014-01-03 . Проверено 2 июня 2009 .
  29. ^ Шнайер. Прикладная криптография (1-е изд.). п. 271.
  30. ^ Stallings, W. Криптография и сетевая безопасность: принципы и практика . Прентис Холл, 2006. стр. 73
  31. ^ "Bruting DES" .
  32. ^ van Oorschot, Paul C .; Винер, Майкл Дж. (1991), Дамгард, Иван Бьерре (редактор), «Атака известного открытого текста на двухключевое тройное шифрование», Успехи в криптологии - EUROCRYPT '90 , Берлин, Гейдельберг: Springer Berlin Heidelberg, 473 , . С. 318-325, DOI : 10.1007 / 3-540-46877-3_29 , ISBN 978-3-540-53587-4
  33. ^ «Начало работы, COPACOBANA - Оптимизированный по стоимости параллельный взломщик кода» (PDF) . 12 декабря 2006 . Проверено 6 марта 2012 года .
  34. ^ Reinhard Wobst (16 октября 2007). Криптология разблокирована . Джон Вили и сыновья.
  35. ^ Преодолеть DES менее чем за один день [Пресс-релиз фирмы, продемонстрированный на семинаре 2009 г.]
  36. ^ Самый быстрый в мире взломщик DES
  37. ^ Думайте, что сложные пароли спасут вас?, Дэвид Халтон, Ян Фостер, BSidesLV 2017
  38. ^ а б Бихам, Э. и Шамир, А (1993). Дифференциальный криптоанализ стандарта шифрования данных . Шамир, Ади. Нью-Йорк: Springer-Verlag. С. 487–496. DOI : 10.1007 / 978-1-4613-9314-6 . ISBN 978-0387979304. OCLC  27173465 . S2CID  6361693 .CS1 maint: multiple names: authors list (link)
  39. ^ а б Мацуи, Мицуру (1993-05-23). «Метод линейного криптоанализа для шифра DES». Достижения в криптологии - EUROCRYPT '93 . Конспект лекций по информатике. 765 . Шпрингер, Берлин, Гейдельберг. С. 386–397. DOI : 10.1007 / 3-540-48285-7_33 . ISBN 978-3540482857. Отсутствует или пусто |title=( справка )
  40. ^ а б Дэвис, DW (1987). «Исследование потенциальной слабости в алгоритме DES, частные коммуникации» . Частные коммуникации .
  41. ^ Alanazi, Hamdan O .; и другие. (2010). «Новое сравнительное исследование DES, 3DES и AES с использованием девяти факторов». Журнал вычислительной техники . 2 (3). arXiv : 1003,4085 . Bibcode : 2010arXiv1003.4085A .
  42. Бирюков, Алексей; Канньер, Кристоф Де; Quisquater, Михаэль (2004-08-15). О многократных линейных приближениях . Достижения в криптологии - CRYPTO 2004 . Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 1–22. DOI : 10.1007 / 978-3-540-28628-8_1 . ISBN 9783540226680.
  43. ^ Knudsen, Lars R .; Матиассен, Джон Эрик (2000-04-10). Линейная атака на DES с выбранным открытым текстом . Быстрое программное шифрование . Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 262–272. DOI : 10.1007 / 3-540-44706-7_18 . ISBN 978-3540447061.
  44. ^ Жюно, Pascal (2001-08-16). О сложности атаки Мацуи . Избранные области криптографии . Конспект лекций по информатике. 2259 . Шпрингер, Берлин, Гейдельберг. С. 199–211. DOI : 10.1007 / 3-540-45537-X_16 . ISBN 978-3540455370.
  45. ^ Бихам, Эли; Бирюков, Алексей (01.06.1997). «Улучшение атаки Дэвиса на DES». Журнал криптологии . 10 (3): 195–205. DOI : 10.1007 / s001459900027 . ISSN 0933-2790 . S2CID 4070446 .  
  46. ^ Лэнгфорд, Сьюзен К .; Хеллман, Мартин Э. (1994-08-21). Дифференциально-линейный криптоанализ . Достижения в криптологии - CRYPTO '94 . Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 17–25. DOI : 10.1007 / 3-540-48658-5_3 . ISBN 978-3540486589.
  47. ^ Бихам, Эли; Дункельман, Орр; Келлер, Натан (2002-12-01). Улучшение дифференциально-линейного криптоанализа . Достижения в криптологии - ASIACRYPT 2002 . Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 254–266. DOI : 10.1007 / 3-540-36178-2_16 . ISBN 978-3540361787.
  48. ^ Менезес, Альфред Дж .; van Oorschot, Paul C .; Ванстон, Скотт А. (1996). Справочник по прикладной криптографии . CRC Press. п. 257 . ISBN 978-0849385230.
  49. ^ Кэмпбелл и Винер, 1992
  50. ^ "Двойной DES" (PDF) .
  51. ^ Санджай Кумар; Сандип Шривастава. «Шифрование изображений с использованием упрощенного стандарта шифрования данных (S-DES)». Архивировано 22 декабря 2015 г. на Wayback Machine . 2014 г.
  52. ^ Алэсдэйр МакЭндрит. «Введение в криптографию с открытым исходным кодом» . 2012. Раздел «8.8 Упрощенный DES: sDES». п. 183 по 190.
  53. ^ Уильям Столлингс. «Приложение G: Упрощенный DES» . 2010 г.
  54. ^ Налини N; Г. Рагхавендра Рао. «Криптоанализ упрощенного стандарта шифрования данных с помощью эвристики оптимизации» . 2006 г.
  55. Мин Ван Нгуен. «Упрощенный DES» . 2009 г.
  56. Доктор Манодж Кумар. «Криптография и сетевая безопасность» . Раздел 3.4: Упрощенная версия DES (S-DES). п. 96.
  57. ^ Эдвард Ф. Шефер. «Упрощенный стандартный алгоритм шифрования данных». DOI : 10.1080 / 0161-119691884799 1996.
  58. ^ Лавкуш Шарма; Бхупендра Кумар Патхак; и Нидхи Шарма. «Нарушение стандарта упрощенного шифрования данных с помощью оптимизации роя двоичных частиц» . 2012 г.
  59. ^ «Криптографические исследования: разработка лучшего способа обучения и изучения расширенного стандарта шифрования» .
  60. ^ http://csrc.nist.gov/archive/aes/pre-round1/aes_9701.txt
  61. ^ http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf 26 ноября 2001 г.

Ссылки [ править ]

  • Бихам, Эли и Шамир, Ади (1991). «Дифференциальный криптоанализ DES-подобных криптосистем». Журнал криптологии . 4 (1): 3–72. DOI : 10.1007 / BF00630563 . S2CID  206783462 .CS1 maint: multiple names: authors list (link)( препринт )
  • Бихам, Эли и Шамир, Ади , Дифференциальный криптоанализ стандарта шифрования данных, Springer Verlag, 1993. ISBN 0-387-97930-1 , ISBN 3-540-97930-1 .  
  • Бихам, Эли и Алекс Бирюков : улучшение атаки Дэвиса на DES. J. Cryptology 10 (3): 195–206 (1997).
  • Бихам, Эли , Орр Дункельман , Натан Келлер: Улучшение дифференциально-линейного криптоанализа. ASIACRYPT 2002: 254–266 стр.
  • Бихам, Эли : новая быстрая реализация DES в программном обеспечении
  • Взлом DES: секреты исследований в области шифрования, политики прослушивания телефонных разговоров и дизайна микросхем , Electronic Frontier Foundation
  • Бирюков, А., К. Де Каньер и М. Кискватер (2004). Франклин, Мэтт (ред.). О многократных линейных приближениях . Конспект лекций по информатике. 3152 . С. 1–22. DOI : 10.1007 / b99099 . ISBN 978-3-540-22668-0. S2CID  27790868 .CS1 maint: multiple names: authors list (link)( препринт ).
  • Кэмпбелл, Кейт В., Майкл Дж. Винер: DES - это не группа. CRYPTO 1992: pp512–520
  • Медник, Дон . (1994). Стандарт шифрования данных (DES) и его устойчивость к атакам на Wayback Machine (архивировано 15 июня 2007 г.). Журнал исследований и разработок IBM , 38 (3), 243–250.
  • Диффи, Уитфилд и Мартин Хеллман , «Исчерпывающий криптоанализ стандарта шифрования данных NBS» IEEE Computer 10 (6), июнь 1977 г., стр. 74–84
  • Ehrsam и др., Product Block Cipher System for Data Security, Патент США 3962539 , подана 24 февраля 1975 г.
  • Гилмор, Джон , «Взлом DES: секреты исследования шифрования, политики прослушивания телефонных разговоров и дизайна микросхем», 1998, O'Reilly, ISBN 1-56592-520-3 . 
  • Жюно, Паскаль. «О сложности атаки Мацуи». Избранные области криптографии , 2001, стр. 199–211.
  • Калиски, Бертон С. , Мэтт Робшоу : линейный криптоанализ с использованием множественных приближений. CRYPTO 1994: 26–39 стр.
  • Кнудсен, Ларс , Джон Эрик Матиассен: Линейная атака с использованием открытого текста на DES. Быстрое программное шифрование - FSE 2000: стр. 262–272
  • Лэнгфорд, Сьюзан К., Мартин Э. Хеллман: дифференциально-линейный криптоанализ. КРИПТО 1994: 17–25
  • Леви, Стивен , Крипто: как повстанцы кода победили правительство - сохранение конфиденциальности в цифровую эпоху , 2001, ISBN 0-14-024432-8 . 
  • Мацуи, Мицуру (1994). Хеллесет, Тор (ред.). Метод линейного криптоанализа для шифра DES . Конспект лекций по информатике. 765 . С. 386–397. CiteSeerX  10.1.1.50.8472 . DOI : 10.1007 / 3-540-48285-7 . ISBN 978-3-540-57600-6. S2CID  21157010 .
  • Мацуи, Мицуру (1994). «Первый экспериментальный криптоанализ стандарта шифрования данных». Достижения в криптологии - CRYPTO '94 . Конспект лекций по информатике. 839 . С. 1–11. DOI : 10.1007 / 3-540-48658-5_1 . ISBN 978-3-540-58333-2.
  • Национальное бюро стандартов, Стандарт шифрования данных, FIPS-Pub.46. Национальное бюро стандартов Министерства торговли США, Вашингтон, округ Колумбия, январь 1977 г.
  • Кристоф Паар, Ян Пельцль, «Стандарт шифрования данных (DES) и альтернативы» , бесплатные онлайн-лекции по главе 3 «Понимание криптографии, учебник для студентов и практиков». Спрингер, 2009.

Внешние ссылки [ править ]

  • FIPS 46-3: официальный документ, описывающий стандарт DES (PDF)
  • COPACOBANA, взломщик DES стоимостью 10 000 долл. США, основанный на ПЛИС университетов Бохума и Киля.
  • Пошаговое представление DES и надежное приложение для кодирования сообщений
  • Новая быстрая реализация DES в программном обеспечении - Бихам
  • О множественных линейных приближениях
  • RFC4772: последствия использования стандарта шифрования данных (DES) для безопасности