Тройной DES

Алгоритм тройного шифрования данных

Общий вид 3DES
Общий
Впервые опубликовано	1981
Получено из	ПРИНАДЛЕЖАЩИЙ
Деталь шифрования
Размеры ключей	112 или 168 бит
Размеры блоков	64 бита
Структура	Сеть Фейстеля
Раунды	48 раундов, эквивалентных DES
Лучший публичный криптоанализ
Счастливчик: 2 32 известные открытые тексты, 2 113 операции, в том числе 2 90 шифрование, 2 88 память; Бихам: найди один из 2 28 целевые ключи с несколькими выбранными открытыми текстами для каждого ключа и 2 84 шифрование

В криптографии , Triple DES ( 3DES или TDES ), официально называемый тройным алгоритмом шифрования данных ( TDEA или Triple DEA ), представляет собой с симметричным ключом блочный шифр который применяет алгоритм шифрования DES трижды к каждому блоку данных. 56-битный ключ стандарта шифрования данных (DES) больше не считается адекватным перед лицом современных криптоаналитических методов и мощности суперкомпьютеров; Тройной DES увеличивает эффективную безопасность до 112 бит. CVE , выпущенная в 2016 году -2016-2183 , выявила серьезную уязвимость безопасности в алгоритмах шифрования DES и 3DES. Этот CVE в сочетании с неадекватным размером ключа 3DES привел к тому, что NIST отказался от поддержки 3DES в 2019 году и запретил все виды использования (кроме обработки уже зашифрованных данных) к концу 2023 года. ^[1] Он был заменен более безопасным и надежным AES .

Хотя государственные и отраслевые стандарты США сокращают название алгоритма как TDES (тройной DES) и TDEA (алгоритм тройного шифрования данных), ^[2] В RFC 1851 он упоминался как 3DES с момента первого обнародования этой идеи, и с тех пор этот тезка широко используется большинством поставщиков, пользователей и криптографов. ^{[3] [4] [5] [6]}

предложил метод тройного шифрования с использованием DES с двумя 56-битными ключами В 1978 году Уолтер Тачман ; в 1981 году Меркл и Хеллман предложили более безопасную версию 3DES с тремя ключами и 112 битами безопасности. ^[7]

Алгоритм тройного шифрования данных по-разному определяется в нескольких стандартных документах:

• RFC 1851, Тройное преобразование DES ESP ^[8] (утвержден в 1995 г.)
• ANSI ANS X9.52-1998 Режимы работы алгоритма тройного шифрования данных ^[9] (утвержден в 1998 г., отозван в 2008 г.) ^[10] )
• FIPS PUB 46-3 (DES) Стандарт шифрования данных ^[11] (утвержден в 1999 г., отозван в 2005 г.) ^[12] )
• NIST Специальная публикация 800-67, редакция 2. Рекомендации по блочному шифру с тройным алгоритмом шифрования данных (TDEA). ^[13] (утвержден в 2017 г., отозван в 2024 г.) ^[14] )
• ISO / IEC 18033-3:2010: Часть 3: Блочные шифры ^[15] (утверждено в 2005 г.)

исходного шифра DES, Размер ключа равный 56 битам, считался в целом достаточным на момент его разработки, но доступность растущей вычислительной мощности сделала возможными атаки методом грубой силы . Тройной DES обеспечивает относительно простой метод увеличения размера ключа DES для защиты от таких атак без необходимости разработки совершенно нового алгоритма блочного шифрования.

Наивный подход к повышению надежности алгоритма блочного шифрования с короткой длиной ключа (например, DES) заключался бы в использовании двух ключей. ${\displaystyle (K1,K2)}$ вместо одного и зашифруйте каждый блок дважды: ${\displaystyle E_{K2}(E_{K1}({\textrm {plaintext}}))}$. Если исходная длина ключа ${\displaystyle n}$ бит, можно было бы надеяться, что эта схема обеспечивает безопасность, эквивалентную использованию ключа. ${\displaystyle 2n}$ биты длинные. К сожалению, этот подход уязвим для атаки «встреча посередине» : при наличии известной пары открытого текста ${\displaystyle (x,y)}$, такой, что ${\displaystyle y=E_{K2}(E_{K1}(x))}$, можно восстановить пару ключей ${\displaystyle (K1,K2)}$ в ${\displaystyle 2^{n+1}}$ шаги вместо ${\displaystyle 2^{2n}}$ шаги, которые можно было бы ожидать от идеально безопасного алгоритма с ${\displaystyle 2n}$ кусочки ключа.

Таким образом, Triple DES использует «связку ключей», состоящую из трех ключей DES . ${\displaystyle K1}$, ${\displaystyle K2}$ и ${\displaystyle K3}$, каждый из 56 бит (исключая биты четности ). Алгоритм шифрования:

${\displaystyle {\textrm {ciphertext}}=E_{K3}(D_{K2}(E_{K1}({\textrm {plaintext}}))).}$

То есть зашифровать с помощью ${\displaystyle K1}$, расшифровать с помощью ${\displaystyle K2}$, затем зашифруйте с помощью ${\displaystyle K3}$.

Расшифровка обратная:

${\displaystyle {\textrm {plaintext}}=D_{K1}(E_{K2}(D_{K3}({\textrm {ciphertext}}))).}$

То есть расшифровать с помощью ${\displaystyle K3}$, зашифровать с помощью ${\displaystyle K2}$, затем расшифруйте с помощью ${\displaystyle K1}$.

Каждое тройное шифрование шифрует один блок из 64 бит данных.

В каждом случае средняя операция обратна первой и последней. Это повышает надежность алгоритма при использовании варианта ключа 2 и обеспечивает обратную совместимость с DES с вариантом ключа 3.

Стандарты определяют три варианта ключа:

Вариант ввода 1

Все три клавиши независимы. Иногда известный как 3TDEA ^[16] или ключи тройной длины. ^[17]

Это самый сильный ключ: 3 × 56 = 168 независимых битов ключа. Он по-прежнему уязвим для атаки «встреча посередине» , но для атаки требуется 2 ^{2 × 56} шаги.

Ключевой вариант 2

К ₁ и К ₂ независимы, причем К ₃ = К ₁ . Иногда известный как 2TDEA ^[16] или ключи двойной длины. ^[17]

Это обеспечивает более короткую длину ключа 56*2 или 112 бит и разумный компромисс между DES и вариантом шифрования 1 с той же оговоркой, что и выше. ^[18] Это улучшение по сравнению с «двойным DES», для которого требуется всего 2 ⁵⁶ шаги для атаки. NIST запретил эту опцию в 2015 году. ^[16]

Ключевой вариант 3

Все три ключа идентичны, т.е. K ₁ = K ₂ = K ₃ .

Это обратно совместимо с DES, поскольку две операции отменяются. ISO/IEC 18033-3 никогда не допускал эту опцию, а NIST больше не допускает K ₁ = K ₂ или K ₂ = K ₃ . ^{[16] [13]}

Каждый ключ DES состоит из 8 байтов нечетной четности , из которых 56 бит ключа и 8 бит обнаружения ошибок. ^[9] Для комплекта ключей требуется 24 байта для варианта 1, 16 для варианта 2 или 8 для варианта 3.

NIST (и текущая версия 2.0 спецификаций TCG утвержденных алгоритмов для Trusted Platform Module ) также запрещает использование любого из 64 следующих 64-битных значений в любых ключах (обратите внимание, что 32 из них являются двоичным дополнением 32 других; и что 32 из этих ключей также являются обратной перестановкой байтов 32 других), перечисленных здесь в шестнадцатеричном формате (в каждом байте младший значащий бит представляет собой бит, сгенерированный с нечетной четностью, который отбрасывается при формировании эффективного 56-битного ключа) :

01.01.01.01.01.01.01.01, FE.FE.FE.FE.FE.FE.FE.FE, E0.FE.FE.E0.F1.FE.FE.F1, 1F.01.01.1F.0E.01.01.0E,
01.01.FE.FE.01.01.FE.FE, FE.FE.01.01.FE.FE.01.01, E0.FE.01.1F.F1.FE.01.0E, 1F.01.FE.E0.0E.01.FE.F1,
01.01.E0.E0.01.01.F1.F1, FE.FE.1F.1F.FE.FE.0E.0E, E0.FE.1F.01.F1.FE.0E.01, 1F.01.E0.FE.0E.01.F1.FE,
01.01.1F.1F.01.01.0E.0E, FE.FE.E0.E0.FE.FE.F1.F1, E0.FE.E0.FE.F1.FE.F1.FE, 1F.01.1F.01.0E.01.0E.01,
01.FE.01.FE.01.FE.01.FE, FE.01.FE.01.FE.01.FE.01, E0.01.FE.1F.F1.01.FE.0E, 1F.FE.01.E0.0E.FE.01.F1,
01.FE.FE.01.01.FE.FE.01, FE.01.01.FE.FE.01.01.FE, E0.01.01.E0.F1.01.01.F1, 1F.FE.FE.1F.0E.FE.FE.0E,
01.FE.E0.1F.01.FE.F1.0E, FE.01.1F.E0.FE.01.0E.F1, E0.01.1F.FE.F1.01.0E.FE, 1F.FE.E0.01.0E.FE.F1.01,
01.FE.1F.E0.01.FE.0E.F1, FE.01.E0.1F.FE.01.F1.0E, E0.01.E0.01.F1.01.F1.01, 1F.FE.1F.FE.0E.FE.0E.FE,
01.E0.01.E0.01.F1.01.F1, FE.1F.FE.1F.FE.0E.FE.0E, E0.1F.FE.01.F1.0E.FE.01, 1F.E0.01.FE.0E.F1.01.FE,
01.E0.FE.1F.01.F1.FE.0E, FE.1F.01.E0.FE.0E.01.F1, E0.1F.01.FE.F1.0E.01.FE, 1F.E0.FE.01.0E.F1.FE.01,
01.E0.E0.01.01.F1.F1.01, FE.1F.1F.FE.FE.0E.0E.FE, E0.1F.1F.E0.F1.0E.0E.F1, 1F.E0.E0.1F.0E.F1.F1.0E,
01.E0.1F.FE.01.F1.0E.FE, FE.1F.E0.01.FE.0E.F1.01, E0.1F.E0.1F.F1.0E.F1.0E, 1F.E0.1F.E0.0E.F1.0E.F1,
01.1F.01.1F.01.0E.01.0E, FE.E0.FE.E0.FE.F1.FE.F1, E0.E0.FE.FE.F1.F1.FE.FE, 1F.1F.01.01.0E.0E.01.01,
01.1F.FE.E0.01.0E.FE.F1, FE.E0.01.1F.FE.F1.01.0E, E0.E0.01.01.F1.F1.01.01, 1F.1F.FE.FE.0E.0E.FE.FE,
01.1F.E0.FE.01.0E.F1.FE, FE.E0.1F.01.FE.F1.0E.01, E0.E0.1F.1F.F1.F1.0E.0E, 1F.1F.E0.E0.0E.0E.F1.F1,
01.1F.1F.01.01.0E.0E.01, FE.E0.E0.FE.FE.F1.F1.FE, E0.E0.E0.E0.F1.F1.F1.F1, 1F.1F.1F.1F.0E.0E.0E.0E

Учитывая эти ограничения на разрешенные ключи, Triple DES был повторно одобрен только с вариантами ключей 1 и 2. Как правило, три ключа генерируются путем взятия 24 байтов из сильного генератора случайных чисел, и следует использовать только вариант шифрования 1 (для варианта 2 требуется только 16 случайных байтов, но генераторы сильных случайных чисел трудно утверждать, и его использование считается лучшей практикой). только вариант 1).

Как и во всех блочных шифрах, шифрование и дешифрование нескольких блоков данных может выполняться с использованием различных режимов работы , которые обычно могут быть определены независимо от алгоритма блочного шифрования. Однако ANS X9.52 указывает напрямую, а NIST SP 800-67 указывает через SP 800-38A. ^[19] что некоторые режимы должны использоваться только с определенными ограничениями, которые не обязательно относятся к общим спецификациям этих режимов. Например, ANS X9.52 определяет, что для цепочки блоков шифрования вектор инициализации должен каждый раз быть другим, тогда как ISO/IEC 10116 ^[20] нет. FIPS PUB 46-3 и ISO/IEC 18033-3 определяют только одноблочный алгоритм и не накладывают никаких ограничений на режимы работы для нескольких блоков.

В общем, тройной DES с тремя независимыми ключами ( вариант ключа 1) имеет длину ключа 168 бит (три 56-битных ключа DES), но из-за атаки «встреча посередине» эффективная безопасность, которую он обеспечивает, составляет только 112 бит. ^[16] Вариант шифрования 2 уменьшает эффективный размер ключа до 112 бит (поскольку третий ключ такой же, как и первый). Однако этот вариант подвержен определенным атакам с использованием выбранного или известного открытого текста . ^{[21] [22]} и поэтому NIST определил, что он имеет только 80 бит безопасности . ^[16] Это можно считать небезопасным; как следствие, NIST объявил о запланированном прекращении поддержки Triple DES в 2017 году. ^[23]

Размер короткого блока в 64 бита делает 3DES уязвимым для атак на основе коллизии блоков, если он используется для шифрования больших объемов данных с помощью одного и того же ключа. Атака Sweet32 показывает, как это можно использовать в TLS и OpenVPN. ^[24] Требуется практическая атака Sweet32 на наборы шифров на основе 3DES в TLS. ${\displaystyle 2^{36.6}}$ блоков (785 ГБ) для полноценной атаки, но исследователям посчастливилось получить столкновение сразу после ${\displaystyle 2^{20}}$ блоков, что заняло всего 25 минут.

На безопасность TDEA влияет количество блоков, обрабатываемых одним набором ключей. Один комплект ключей не должен использоваться для применения криптографической защиты (например, шифрования) более чем ${\displaystyle 2^{20}}$ 64-битные блоки данных.

— Рекомендации по блочному шифру с тройным алгоритмом шифрования данных (TDEA) (SP 800-67 Rev2). ^[13]

OpenSSL не включает 3DES по умолчанию, начиная с версии 1.1.0 (август 2016 г.), и считает его «слабым шифром». ^[25]

По состоянию на 2008 год индустрия электронных платежей использует Triple DES и продолжает разрабатывать и распространять основанные на нем стандарты, такие как EMV . ^[26]

Более ранние версии Microsoft OneNote , ^[27] Microsoft Outlook 2007 ^[28] и Microsoft System Center Configuration Manager 2012. ^[29] используйте Triple DES для защиты паролем пользовательского контента и системных данных. Однако в декабре 2018 года Microsoft объявила о прекращении использования 3DES во всей своей службе Office 365. ^[30]

Firefox и Mozilla Thunderbird ^[31] используйте Triple DES в режиме CBC для шифрования учетных данных для входа в систему аутентификации веб-сайта при использовании главного пароля.

Ниже приведен список библиотек шифрования, поддерживающих Triple DES:

• Ботан
• Надувной замок
• криптлиб
• Крипто++
• Libgcrypt
• Крапива
• OpenSSL
• волкSSL
• Доверенный платформенный модуль (TPM)

Некоторые реализации, описанные выше, могут не включать 3DES в сборку по умолчанию в более поздних или более поздних версиях.

• ДЕС-Х
• Расширенный стандарт шифрования (AES)
• Шифр Фейстеля
• Уолтер Тачман