|
| "DES´e" flere gange efter hinanden med god~ Fra : Rasmus Christiansen |
Dato : 01-04-04 12:13 |
|
Kan man egentlig kryptere med DES flere gange efter hinanden med godt
resultat når man dekrypterer igen ?
F.eks. gælder dette: m = D1(D2(E1(E2(m))))
dvs. man krypterer først meddelelsen to gange med to forskellige
nøgler og derefter dekrypterer man med de samme to nøgler og får den
oprindelig meddelelse ?
Hvis en algoritme har ovenstående egenskab, kalder man det ikke noget
specielt ?
Venlig hilsen Rasmus.
| |
Kasper Dupont (01-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 01-04-04 13:42 |
|
Rasmus Christiansen wrote:
>
> Kan man egentlig kryptere med DES flere gange efter hinanden med godt
> resultat når man dekrypterer igen ?
Hvad mener du med et godt resultat? Ja man kan godt
dekryptere og få det rigtige. Men det bliver ikke
nødvendigvis mere sikkert end DES alene.
>
> F.eks. gælder dette: m = D1(D2(E1(E2(m))))
Nej. Man skal dekryptere i modsat rækkkefølge for
at det virker. Så er det i øvrigt trivielt at indse,
at dekrypteringen giver det rigtige. Hvad der ikke
er trivielt at indse er, hvorfor det ikke giver
nogen ekstra sikkerhed. Man kan lave et
meet-in-the-middle attack, som i princippet ikke
kræver væsentligt mere CPU tid end at bryde DES.
> dvs. man krypterer først meddelelsen to gange med to forskellige
> nøgler og derefter dekrypterer man med de samme to nøgler og får den
> oprindelig meddelelse ?
>
> Hvis en algoritme har ovenstående egenskab, kalder man det ikke noget
> specielt ?
Man kan gøre det tre gange, så hedder det 3-DES.
Faktisk gør man ofte det, at man krypterer to gange
og dekrypterer en gang. Med to eller tre forskellige
nøgler. Grunden til at man dekryptere den ene af
gangene er for at man kan opnå kompatibilitet med
DES ved at bruge samme nøgle alle tre gange.
Ulempen ved 3-DES er, at blokstørrelsen stadig er
for lille. Du får udvidet nøglen fra 56 til 112
eller 168 bits, men blokkene er stadig kun på 64
bits. Med sådan en lille blokstørrelse vil jeg på
det kraftigste anbefale, at man skifter nøgle
minimum en gang for hver 512KB data.
Hvis man vil prøve at lappe på både nøgle og
blokstørrelse ender man nok med noget forfærdeligt
ineffektivt. Så hellere bruge AES som fra start af
er designet til 128-256 bits. 128 bits AES er
faktisk lige så hurtigt som DES (ifølge mine
målinger på cryptoloop).
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Kristian Thy (01-04-2004)
| Kommentar Fra : Kristian Thy |
Dato : 01-04-04 14:42 |
|
Kasper Dupont uttered:
> Ulempen ved 3-DES er, at blokstørrelsen stadig er
> for lille. Du får udvidet nøglen fra 56 til 112
> eller 168 bits, men blokkene er stadig kun på 64
> bits. Med sådan en lille blokstørrelse vil jeg på
> det kraftigste anbefale, at man skifter nøgle
> minimum en gang for hver 512KB data.
Kan det problem ikke overkommes ved at koere 3DES i CBC-mode?
\\kristian
--
"Wars are only carried on, and desperate enterprises carried out,
owing to the lack of imagination amongst the rank and file."
--Ellis Ashmead-Bartlett, at Gallipoli 1915
| |
Kasper Dupont (01-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 01-04-04 22:01 |
|
Kristian Thy wrote:
>
> Kasper Dupont uttered:
> > Ulempen ved 3-DES er, at blokstørrelsen stadig er
> > for lille. Du får udvidet nøglen fra 56 til 112
> > eller 168 bits, men blokkene er stadig kun på 64
> > bits. Med sådan en lille blokstørrelse vil jeg på
> > det kraftigste anbefale, at man skifter nøgle
> > minimum en gang for hver 512KB data.
>
> Kan det problem ikke overkommes ved at koere 3DES i CBC-mode?
Nej.
De 512KB jeg anbefalede som det maksimale med en 3DES
nøgle var under antagelse af, at der blev brugt CBC
eller en anden mode med tilsvarende sikkerhed. F.eks.
er CFB mode nøjagtig lige så god som CBC mode.
ECB mode kan (afhængigt af dine data) være usikker
allerede efter en enkelt KB.
Der findes andre modes, men jeg tror ikke nogen af
dem kan kompensere for risikoen for kollisioner. Så
det kan forsvares at bruge en 3DES nøgle gennem
længere tid.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Kristian Thy (01-04-2004)
| Kommentar Fra : Kristian Thy |
Dato : 01-04-04 22:10 |
|
Kasper Dupont uttered:
> Der findes andre modes, men jeg tror ikke nogen af
> dem kan kompensere for risikoen for kollisioner. Så
> det kan forsvares at bruge en 3DES nøgle gennem
> længere tid.
Der mangler et ikke, ikke?
\\kristian
--
To err is human. To moo, bovine.
| |
Kasper Dupont (02-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 02-04-04 08:18 |
|
Kristian Thy wrote:
>
> Kasper Dupont uttered:
> > Der findes andre modes, men jeg tror ikke nogen af
> > dem kan kompensere for risikoen for kollisioner. Så
> > det kan forsvares at bruge en 3DES nøgle gennem
> > længere tid.
>
> Der mangler et ikke, ikke?
Det jeg prøvede at sige var, at for at det kan
forsvares at bruge en nøgle gennem længere tid, skal
man undgå kollisioner. Og det tror jeg ikke nogen
mode kan sikre, når blokkene er så små.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
|
|