Тройной DES

В криптографии Triple DES ( 3DES или TDES ) , официально именуемый алгоритмом тройного шифрования данных ( TDEA или Triple DEA ), представляет собой блочный шифр с симметричным ключом , который трижды применяет алгоритм шифрования DES к каждому блоку данных. 56-битный ключ стандарта шифрования данных (DES) больше не считается адекватным перед лицом современных криптоаналитических методов и мощности суперкомпьютеров. CVE -2016-2183 , выпущенный в 2016 году, выявил серьезную уязвимость системы безопасности в алгоритмах шифрования DES и 3DES. Этот CVE , в сочетании с неадекватным размером ключа DES и 3DES, NIST объявил устаревшим DES и 3DES для новых приложений в 2017 году и для всех приложений к 2023 году. Он был заменен более безопасным и надежным AES .

В то время как правительственные и отраслевые стандарты сокращают название алгоритма как TDES (Triple DES) и TDEA (Triple Data Encryption Algorithm), ^[1] RFC 1851 упоминает его как 3DES с момента, когда впервые была обнародована эта идея, и с тех пор этот тезка широко используется большинством поставщиков, пользователей и криптографов. ^[2]^[3]^[4]^[5]

В 1978 году Уолтер Тачман предложил метод тройного шифрования с использованием DES с двумя 56-битными ключами; в 1981 году Меркл и Хеллман предложили более безопасную версию 3DES с тройным ключом и 112-битной защитой. ^[6]

Размер ключа исходного шифра DES в 56 бит обычно был достаточным при разработке этого алгоритма, но доступность увеличивающейся вычислительной мощности делала возможными атаки методом грубой силы . Тройной DES обеспечивает относительно простой метод увеличения размера ключа DES для защиты от таких атак без необходимости разработки совершенно нового алгоритма блочного шифра.

Наивным подходом к повышению стойкости алгоритма блочного шифрования с коротким ключом (например, DES) было бы использование двух ключей вместо одного и шифрование каждого блока дважды: . Если исходная длина ключа составляет биты, можно надеяться, что эта схема обеспечивает безопасность, эквивалентную использованию ключей длиной в биты. К сожалению, этот подход уязвим для атаки «встреча посередине» : при наличии известной пары открытого текста , такой, что можно восстановить пару ключей поэтапно , вместо шагов, которые можно было бы ожидать от идеально безопасного алгоритма с битами ключа. . ${\ Displaystyle (К1, К2)}$ ${\ displaystyle E_ {K2} (E_ {K1} ({\ textrm {plaintext}}}}}$ ${\ Displaystyle п}$ ${\ Displaystyle 2n}$ ${\ Displaystyle (х, у)}$ ${\ Displaystyle у = Е_ {К2} (Е_ {К1} (х))}$ ${\ Displaystyle (К1, К2)}$ ${\ Displaystyle 2 ^ {п + 1}}$ ${\ Displaystyle 2 ^ {2n}}$ ${\ Displaystyle 2n}$

Логотип атаки Sweet32