Des
3DES的特例
3DES 使用 EDE,因為它向後兼容單個 DES,但請考慮以下情況 $ K_1 $ = $ K_2 $ = $ K_3 $ 哪個更安全 EDE 或 EEE。
電子電氣設備與 $ K_1 $ = $ K_2 $ = $ K_3 $ 與 EDE 相比,其不安全性明顯降低 $ K_1 $ = $ K_2 $ = $ K_3 $ ,因為前者有 48 輪,而後者減少到只有一個加密 E,因此 16 輪。兩個後果:
- 這使得蠻力需要 3 倍以上的回合,因此增加了大約 $ \log_2(3)\approx 1.58 $ 針對蠻力的實際安全性(以位為單位的安全性隨著計算工作的 base-2 對數而增長);然而,這仍然太低,甚至在 1999 年也是如此。蠻力是針對單個 DES 的典型攻擊,並且可以正常工作,包括具有 3 個相等密鑰的 EEE。
- 這恢復了多達十幾個位的安全性,否則這些安全性可能會因 DES 的加密弱點而失去,超出其低密鑰大小。
關於第二點:假設 $ 2^{42.5} $ 已知的明文和盡可能多的 DES,Mitsuru Matsui 的DES Cipher 的線性密碼分析方法的實現(在EuroCrypt 1993 的程序中)以極好的機率打破 16 輪 DES,並且工作量比蠻力少千倍,但不是 48 輪(我沒有看到秩等於模 16 的子鍵相等可以有很大幫助)。
注意:16 輪單 DES 的線性密碼分析可能是 CTR 或 OFB模式下計算成本最低的攻擊;但在許多其他模式中,正如評論中指出的那樣, $ 2^{42.5} $ 已知明文本身允許恢復相當大一部分的其他明文,因此線性密碼分析是不切實際的。