為什麼等同於單一加密的雙重加密不比單一加密好?
在 Trappe 和 Washington 的“密碼學簡介:使用編碼理論”中,在關於 DES 算法的章節中,作者說:
“如果密碼系統使得雙重加密等同於單一加密,那麼雙重加密不會獲得額外的安全性”
為什麼是這樣?
這只是說,如果一個密碼系統的功能組成是
$$ h_{k}(x) = f_{k_1}(g_{k_2}(x)) $$
然後你可以找到一個作為雙重加密的單一加密密鑰。
例如:考慮排列密碼,其中排列是密鑰。排列在組合下形成一個組,稱為排列組。因此,置換密碼中的雙重加密只是另一種置換,即另一個密鑰。因此你不會得到好處。
為了看到這一點,讓我們將字母表簡化為 5 個字母並讓 $ P $ 和 $ Q $ 是 5 個字母排列密碼的兩個密鑰:
$$ P = \begin{pmatrix}1 & 2 & 3 & 4 & 5 \2 & 4 & 1 & 3 & 5 \end{pmatrix} \text{ and } Q = \begin{pmatrix}1 & 2 & 3 & 4 & 5 \ 5 & 4 & 3 & 2 & 1 \end{pmatrix} $$兩個鍵的組合是
$$ R =QP = \begin{pmatrix}1 & 2 & 3 & 4 & 5 \4 & 2 & 5 & 3 & 1 \end{pmatrix} $$這是另一個排列 $ R $ , IE $ R $ 是作為單個鍵工作的鍵。
現在回到 DES:
Campbell 和 Wiener 在 1992 年表明DES 不是一個組(付費專區)(並且沒有付費專區)。他們表明,由 DES 排列集生成的子群的大小大於 $ 10^{2499} $ . 因此,這個值遠大於對 DES 的潛在攻擊,後者會利用一個小子組。因此,DES 沒有這樣的弱點。實際上,我們會驚訝於精心設計的分組密碼會形成一個組。
如果存在這樣的性質,即 DES 形成置換群的子群,則存在對 DES 的已知明文攻擊,平均需要 $ 2^{28} $ Judy H. Moore 和 Simmons展示的步驟(付費專區) 。
此外,形成一個組將把 Triple-DES 或更一般的多重加密簡化為單一加密。
DES閉包的學術著作
- 1982 - D. Coppersmith,“為 DES 辯護”,個人交流‡ Don Coppersmith 是第一個提出這個問題的人。他開發了一種方法來證明由 DES 置換生成的子組大小的下限大於 DES 置換的數量,從而提供了 DES 置換集不是封閉的確鑿證據。
- 1988 - Burton S. KaliskiJr.Ronald L. RivestAlan T. Sherman,數據加密標準是一個團體嗎?(DES 上的循環實驗結果)(付費牆)和免費付費牆。他們引入了一種新穎的循環閉合測試,該測試提供了 DES 排列集未閉合的證據。然而,他們在他們的實驗中假設 DES 偽隨機函式。因此,這些說法很難證明。
- 1989 - Jean-Jacques Quisquater, Jean-Paul Delescaille碰撞搜尋有多容易。DES (付費牆)的新結果和應用
- 1989 Jean-Jacques Quisquater, Jean-Paul Delescaille碰撞搜尋有多容易?應用於 DES (付費牆)
- 1992 - Campbell 和 Wiener DES 不是一個組(付費專區)(並且沒有付費專區)。在他們的結論性工作中,他們使用了與 Quisquater 和 Delescaille 工作類似的技術。
‡ 這項工作聲稱在 1992 年 5 月 18 日在 Usenet 新聞上發佈到 sci.crypt 的文章中進行了簡要描述。這需要一個連結!