RFC4772 日本語訳
4772 Security Implications of Using the Data Encryption Standard(DES). S. Kelly. December 2006. (Format: TXT=68524 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
英語原文
Network Working Group S. Kelly Request for Comments: 4772 Aruba Networks Category: Informational December 2006
コメントを求めるワーキンググループS.ケリー要求をネットワークでつないでください: 4772 アルーバはカテゴリをネットワークでつなぎます: 情報の2006年12月
Security Implications of Using the Data Encryption Standard (DES)
データ暗号化規格を使用するセキュリティ含意(デス)
Status of This Memo
このメモの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The IETF Trust (2006).
IETFが信じる著作権(C)(2006)。
Abstract
要約
The Data Encryption Standard (DES) is susceptible to brute-force attacks, which are well within the reach of a modestly financed adversary. As a result, DES has been deprecated, and replaced by the Advanced Encryption Standard (AES). Nonetheless, many applications continue to rely on DES for security, and designers and implementers continue to support it in new applications. While this is not always inappropriate, it frequently is. This note discusses DES security implications in detail, so that designers and implementers have all the information they need to make judicious decisions regarding its use.
データ暗号化規格(DES)は全数探索法に影響されやすいです。(遠慮深く融資された敵の範囲のかなり中に全数探索法があります)。 その結果、DESを推奨しなく、エー・イー・エス(AES)に取り替えました。 多くのアプリケーションが、それにもかかわらず、セキュリティのためにDESを当てにし続けています、そして、デザイナーとimplementersは新しいアプリケーションでそれをサポートし続けています。 これはいつも不適当であるというわけではありませんが、頻繁にそれは不適当であるというわけではありません。 この注意は詳細にDESセキュリティ含意について議論します、デザイナーとimplementersには彼らが使用に関する思慮深い決定をするように必要とするすべての情報があるように。
Kelly Informational [Page 1] RFC 4772 DES Security Implications December 2006
[1ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
Table of Contents
目次
1. Introduction ....................................................3
1.1. Executive Summary of Findings and Recommendations ..........4
1.1.1. Recommendation Summary ..............................4
2. Why Use Encryption? .............................................5
3. Real-World Applications and Threats .............................6
4. Attacking DES ...................................................8
4.1. Brute-Force Attacks ........................................9
4.1.1. Parallel and Distributed Attacks ...................10
4.2. Cryptanalytic Attacks .....................................10
4.3. Practical Considerations ..................................12
5. The EFF DES Cracker ............................................12
6. Other DES-Cracking Projects ....................................13
7. Building a DES Cracker Today ...................................14
7.1. FPGAs .....................................................15
7.2. ASICs .....................................................16
7.3. Distributed PCs ...........................................16
7.3.1. Willing Participants ...............................17
7.3.2. Spyware and Viruses and Botnets (oh my!) ...........18
8. Why is DES Still Used? .........................................19
9. Security Considerations ........................................20
10. Acknowledgements ..............................................21
Appendix A. What About 3DES? .....................................22
A.1. Brute-Force Attacks on 3DES ...............................22
A.2. Cryptanalytic Attacks Against 3DES ........................23
A.2.1. Meet-In-The-Middle (MITM) Attacks ..................23
A.2.2. Related Key Attacks ................................24
A.3. 3DES Block Size ...........................................25
Informative References ............................................25
1. 序論…3 1.1. 調査結果と推薦の要約…4 1.1.1. 推薦概要…4 2. なぜ暗号化を使用しますか? .............................................5 3. 本当の世界アプリケーションと脅威…6 4. DESを攻撃します…8 4.1. ブルートフォースは攻撃されます…9 4.1.1. 平行で分配された攻撃…10 4.2. Cryptanalyticは攻撃します…10 4.3. 実用的な問題…12 5. 効率DESクラッカー…12 6. 他のDES-分解は突出しています…13 7. 今日、DESクラッカーを組立てます…14 7.1. FPGAs…15 7.2. ASICs…16 7.3. PCを分配します…16 7.3.1. 望んでいる関係者…17 7.3.2. スパイウェア、Viruses、およびBotnets、(おお、私、)! ...........18 8. DES Still Usedはなぜそうですか? .........................................19 9. セキュリティ問題…20 10. 承認…A. 21付録、3DESはどうですか? .....................................22 A.1。 ブルートフォースは3DESで攻撃されます…22 A.2。 Cryptanalyticは3DESに対して攻撃します…23 A.2.1。 中央で会っている(MITM)は攻撃します…23 A.2.2。 関連キーは攻撃されます…24 A.3。 3DESはサイズを妨げます…25 有益な参照…25
Kelly Informational [Page 2] RFC 4772 DES Security Implications December 2006
[2ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
1. Introduction
1. 序論
The Data Encryption Standard [DES] is the first encryption algorithm approved by the U.S. government for public disclosure. Brute-force attacks became a subject of speculation immediately following the algorithm's release into the public sphere, and a number of researchers published discussions of attack feasibility and explicit brute-force attack methodologies, beginning with [DH77].
データ暗号化規格[DES]はパブリックディスクロージャのために米国政府によって承認された最初の暗号化アルゴリズムです。 すぐに公共の球にアルゴリズムのリリースに続いて、全数探索法は思惑の対象になりました、そして、多くの研究者が攻撃の実行可能性と明白な全数探索法方法論の議論を発行しました、[DH77]と共に始まって。
In the early to mid 1990s, numerous additional papers appeared, including Wiener's "Efficient DES Key Search" [WIEN94], and "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security" [BLAZ96]. While these and various other papers discussed the theoretical aspects of DES-cracking machinery, none described a specific implementation of such a machine. In 1998, the Electronic Frontier Foundation (EFF) went much further, actually building a device and freely publishing the implementation details for public review [EFF98].
前半から半ばの1990年代に、多数の追加書類は現れました、Wienerの「効率的なDES主要な検索」[WIEN94]、および「左右対称の暗号が適切な商業セキュリティを提供する最小量のキー長」[BLAZ96]を含んでいて。 これらと他の様々な論文はDES-分解機械の理論上の局面について議論しましたが、なにもそのようなマシンの特定の実装について説明しませんでした。 1998年に、電子フロンティア財団(EFF)ははるかに遠くに行きました、実際にデバイスを組立てて、自由に公開レビュー[EFF98]のための実装の詳細を発表して。
Despite the fact that the EFF clearly demonstrated that DES could be brute-forced in an average of about 4.5 days with an investment of less than $250,000 in 1998, many continue to rely on this algorithm even now, more than 8 years later. Today, the landscape is significantly different: DES can be broken by a broad range of attackers using technologies that were not available in 1998, including cheap Field Programmable Gate Arrays (FPGAs) and botnets [BOT05]. These and other attack methodologies are described in detail below.
EFFが、DESが25万ドル未満の1998への投資がある獣平均およそ4.5で無理矢理の日であるかもしれないことを明確に示したという事実にもかかわらず、多くが、今でもこのアルゴリズムを当てにし続けています、8年以上後に。 今日、風景はかなり異なっています: 広範囲な攻撃者が1998年に利用可能でなかった技術を使用することでDESを壊すことができます、安いField Programmable Gate Arrays(FPGAs)とbotnets[BOT05]を含んでいて。 これらと他の攻撃方法論は以下で詳細に説明されます。
Given that the Advanced Encryption Standard [AES] has been approved by the U.S. government (under certain usage scenarios) for top-secret applications [AES-NSA], and that triple DES (3DES) is not susceptible to these same attacks, one might wonder: why even bother with DES anymore? Under more ideal circumstances, we might simply dispense with it, but unfortunately, this would not be so simple today. DES has been widely deployed since its release in the 1970s, and many systems rely on it today. Wholesale replacement of such systems would be very costly. A more realistic approach entails gradual replacement of these systems, and this implies a term of backward compatibility support of indefinite duration.
エー・イー・エス[AES]がトップシークレットのアプリケーション[AES-NSA]のために米国政府(ある用法シナリオの下における)によって承認されて、三重のDES(3DES)がこれらの同じ攻撃に影響されやすくないなら、人は不思議に思うかもしれません: なぜそれ以上DESを苦にさえしますか? より理想的な状況で、私たちは単にそれを省くかもしれませんが、残念ながら、これは今日、それほど簡単でないでしょう。 1970年代のリリース以来DESは広く配布されています、そして、多くのシステムが今日、それを当てにします。 そのようなシステムの大量の交換は非常に高価でしょう。 より現実的なアプローチはこれらのシステムのゆるやかな交換を伴います、そして、これは無期限の後方の互換性サポートに関する諸条件を含意します。
In addition to backward compatibility, in isolated instances there may be other valid arguments for continued DES support. Still, reliance upon this deprecated algorithm is a serious error from a security design perspective in many cases. This note aims to clarify the security implications of this choice given the state of technology today, so that developers can make an informed decision as to whether or not to implement this algorithm.
後方の互換性に加えたまれなインスタンスには、継続的なDESサポートのための他の有効な議論があるかもしれません。 それでも、多くの場合、この推奨しないアルゴリズムへの信用はセキュリティデザイン見解からの重大な誤りです。 今日の技術の状態を考えて、この注意は、この選択のセキュリティ含意をはっきりさせることを目指します、開発者がこのアルゴリズムを実装するかどうかに関して十分な情報に基づいた判断を下すことができるように。
Kelly Informational [Page 3] RFC 4772 DES Security Implications December 2006
[3ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
1.1. Executive Summary of Findings and Recommendations
1.1. 調査結果と推薦の要約
For many years now, DES usage has been actively discouraged by the security area of the IETF, but we nevertheless continue to see it in use. Given that there are widely published accounts of real attacks and that we have been vocally discouraging its use, a question arises: why aren't people listening? We can only speculate, but one possibility is that they simply do not understand the extent to which DES has been marginalized by advancing cryptographic science and technology. Another possibility is that we have not yet been appropriately explicit and aggressive about this. With these particular possibilities in mind, this note sets out to dispel any remaining illusions.
何年間も、現在、DES用法はIETFのセキュリティ領域で活発にがっかりしていますが、それにもかかわらず、私たちは、それが使用中であることをずっと見ます。 本当の攻撃の広く発行された話があって、私たちが口頭で使用に水をさしているなら、質問は起こります: 人々はなぜ聴いていませんか? 私たちは推測できるだけですが、1つの可能性は彼らがDESが暗号の科学技術を進めることによって取り残された範囲を絶対に理解していないということです。 別の可能性は私たちがこれに関してまだ適切に明白であって、攻撃的でないということです。 これらの特定の可能性が念頭にある状態で、この注意は、どんな残っている幻想も晴らし始めます。
The depth of background knowledge required to truly understand and fully appreciate the security risks of using DES today is somewhat daunting, and an extensive survey of the literature suggests that there are very few published materials encompassing more than a fraction of the considerations all in one place, with [CURT05] being one notable exception. However, even that work does not gather all of the pieces in such a way as to inform an implementer of the current real-world risks, so here we try to fill in any remaining gaps.
本当に、ほんのわずかな発行された材料が断片以上を取り囲むのに理解して、今日がいくらか威圧していて、文学の大量の調査が示すあるDESを使用することでセキュリティ危険に完全に感謝するのが必要であることで、問題では、1のすべてが入賞するという1つの注目に値する例外である[CURT05]での背景的知識の深さ。 しかしながら、その仕事さえ片のすべてを現在の本当の世界リスクについてimplementerに知らせるくらいにはそのような方法で推測しないので、ここに、私たちはどんな残っている不足にも記入しようとします。
For convenience, the next section contains a brief summary of recommendations. If you don't know the IETF's current position on DES, and all you want is a summary, you may be content to simply read the recommendation summary section, and skip the rest of the document. If you want a more detailed look at the history and current state-of-the-art with respect to attacking DES, you will find that in subsequent sections.
便宜のために、次のセクションは推薦の簡潔な概要を含みます。 あなたがDESの上のIETFの現在の位置を知らないで、あなたが欲しいすべてが概要であるなら、あなたは、単に推薦概要部を読んで、ドキュメントの残りをスキップして、満足しているかもしれません。 DESを攻撃することに関して歴史と芸術の現状への、より詳細な一見が欲しいなら、あなたはその後のセクションでそれを見つけるでしょう。
1.1.1. Recommendation Summary
1.1.1. 推薦概要
There are several ways to attack a cryptographic algorithm, from simple brute force (trying each key until you find the right one) to more subtle cryptanalytic approaches, which take into account the internal structure of the cipher. As noted in the introduction, a dedicated system capable of brute-forcing DES keys in less than 5 days was created in 1998. Current "Moore's Law" estimates suggest that a similar machine could be built today for around $15,000 or less, and for the cost of the original system (~$250,000) we could probably build a machine capable of cracking DES keys in a few hours.
暗号アルゴリズムを攻撃するいくつかの方法があります、簡単な馬鹿力(あなたが正しいものを見つけるまで、各キーを試す)から、より微妙なcryptanalyticアプローチまで。(アプローチは暗号の内部の構造を考慮に入れます)。 序論に述べられるように、5日間未満で獣強制DESキーができる専用システムは1998年に作成されました。 現在の「ムーアの法則」見積りは、今日およそ1万5000ドル以下で同様のマシンを組立てることができるだろうというのを示します、そして、オリジナルのシステム(~25万ドル)の費用で、私たちはたぶん数時間で分解DESキーができるマシンを組立てることができました。
Additionally, there have been a number of successful distributed attacks on DES [CURT05], and with the recent arrival of botnets [BOT05], these results are all the more onerous. Furthermore, there are a number of cryptanalytic attacks against DES, and while some of
さらに、デス[CURT05]に対する多くのうまくいっている分配された攻撃がありました、そして、botnets[BOT05]の新来の人に、これらの結果はひとしお煩わしいです。 その上と、そこでは、DESに対する多くのcryptanalytic攻撃であり、いくつかをゆったり過ごします。
Kelly Informational [Page 4] RFC 4772 DES Security Implications December 2006
[4ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
these remain purely theoretical in nature at present, at least one was recently implemented using a FPGA that can deduce a DES key in 12-15 hours [FPL02]. Clearly, DES cannot be considered a "strong" cryptographic algorithm by today's standards.
現在のところの自然における純粋に理論上のこれらの残り、少なくとも1つは、最近、12〜15時間[FPL02]主要なDESを推論できるFPGAを使用することで実装されました。 明確に、今日の規格で「強い」暗号アルゴリズムであるとDESを考えることができません。
To summarize current recommendations on using DES, the simple answer is "don't use it - it's not safe." While there may be use cases for which the security of DES would be sufficient, it typically requires a security expert to determine when this is true. Also, there are much more secure algorithms available today (e.g., 3DES, AES) that are much safer choices. The only general case in which DES should still be supported is when it is strictly required for backward compatibility, and when the cost of upgrading outweighs the risk of exposure. However, even in these cases, recommendations should probably be made to phase out such systems.
DESを使用するときの現在の推薦をまとめるために、簡単な答えは「それを使用しないでください--それは安全でない」ということです。 あるかもしれない間、DESのセキュリティが十分である場合を使用してください、とこれが本当であるときに、決定するのが安全保障専門家を通常必要とします。 また、はるかに安全な選択である今日利用可能なはるかに安全なアルゴリズム(例えば、3DES、AES)があります。 DESがまだサポートされているべきである唯一の一般的な場合はそれがいつ後方の互換性に厳密に必要であるか、そして、アップグレードの費用がいつ暴露のリスクより重いかということです。 しかしながら、これらの場合ではさえ、たぶんそのようなシステムを段階的に廃止するのを推薦状をするべきです。
If you are simply interested in the current recommendations, there you have it: don't use DES. If you are interested in understanding how we arrive at this conclusion, read on.
単に現在の推薦に関心があるなら、そこでは、あなたがそれを持っています: DESを使用しないでください。 私たちがどのようにこの結論に到達するかを理解したいなら、読み続けてください。
2. Why Use Encryption?
2. なぜ暗号化を使用しますか?
In order to assess the security implications of using DES, it is useful and informative to review the basic rationale for using encryption. In general, we encrypt information because we desire confidentiality. That is, we want to limit access to information, to keep something private or secret. In some cases, we want to share the information within a limited group, and in other cases, we may want to be the sole owner of the information in question.
DESを使用するセキュリティ含意を評価するために、暗号化を使用するために基本的な原理を見直すのは、役に立って有益です。 一般に、私たちは、秘密性を望んでいるので、情報を暗号化します。 すなわち、情報入手を制限して、個人的であるか秘密に何かを保ちたいと思います。 いくつかの場合、限られたグループの中で情報を共有したいと思います、そして、他の場合では、問題の情報について単独の持ち主になりたいと思うかもしれません。
Sometimes, the information we want to protect has value only to the individual (e.g., a diary), and a loss of confidentiality, while potentially damaging in some limited ways, would typically not be catastrophic. In other cases, the information might have significant financial implications (e.g., a company's strategic marketing plan). And in yet others, lives could be at stake.
時々、保護したいと思う情報は個人(例えば、日誌)だけに値を持っています、そして、秘密性の損失は潜在的にいくつかの限られた方法で破損している間、通常壊滅的でないでしょう。 他の場合では、情報は重要な財政的な意味(例えば、会社の戦略的マーケティングプラン)を持っているかもしれません。 そして、しかし、他のものでは、寿命は危機にひんしているかもしれません。
In order to gauge our confidentiality requirements in terms of encryption strength, we must assess the value of the information we are trying to protect, both to us and to a potential attacker. There are various metrics we can employ for this purpose:
暗号化の強さに関して私たちの機密保持の要求事項を測るために、私たちが保護しようとしている情報の価値を評価しなければなりません、私たちと、そして、潜在的攻撃者への両方。 私たちがこのために使うことができる様々な測定基準があります:
o Cost of confidentiality loss: What could we lose if an adversary
were to discover our secret? This gives some measure of how much
effort we should be willing to expend to protect the secret.
o 秘密性の損失の費用: 敵が私たちの秘密を発見するなら、私たちは何を失う場合があるでしょうか? これは私たちが秘密を保護するために費やすべきであるどのくらいのある程度の取り組みを与えるか。
Kelly Informational [Page 5] RFC 4772 DES Security Implications December 2006
[5ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
o Value to adversary: What does the attacker have to gain by
discovering our secret? This gives some measure of how much an
adversary might reasonably be willing to spend to learn the
secret.
o 敵への値: 攻撃者は、私たちの秘密を発見することによって、何を獲得しなければなりませんか? これは秘密を学ぶどのくらい費やすかに関する構わない敵が、合理的に思っているかもしれない何らかの測定を与えます。
o Window of opportunity: How long does the information have value to
an adversary? This gives some measure of how acceptable a
weakness might be. For example, if the information is valuable to
an attacker for months and it takes only days to break the
encryption, we probably need much stronger encryption. On the
other hand, if the window of opportunity is measured in seconds,
then an encryption algorithm that takes days to break may be
acceptable.
o 機会の窓: どれくらい長い間、情報は敵に値を持っていますか? これは弱点がどれくらい許容できるかもしれないかに関する何らかの測定を与えます。 例えば、攻撃者にとって、情報が何カ月も貴重であり、暗号化を壊すには何日だけもかかるなら、私たちはたぶんはるかに強い暗号化を必要とします。 他方では、機会の窓が秒に測定されるなら、壊れるには何日もかかる暗号化アルゴリズムは許容できるかもしれません。
There are certainly other factors we would consider in conducting a comprehensive security analysis, but these are enough to give a general sense of important questions to answer when evaluating DES as a candidate encryption algorithm.
私たちが包括的安全保障分析を行う際に考える他の要素が確かにありますが、これらは、候補暗号化アルゴリズムとしてDESを評価するとき重要な質問に答える一般的な感覚を与えるために十分です。
3. Real-World Applications and Threats
3. 本当の世界アプリケーションと脅威
Numerous commonly used applications rely on encryption for confidentiality in today's Internet. To evaluate the sufficiency of a given cryptographic algorithm in this context, we should begin by asking some basic questions: what are the real-world risks to these applications, i.e., how likely is it that an application might actually be attacked, and by whom, and for what reasons?
頻繁な一般的に使用されたアプリケーションは今日のインターネットで秘密性のための暗号化に依存します。 与えられた暗号アルゴリズムの十分を評価するために、このような関係においては、私たちはいくつかの基本的な質問をすることによって、始めるべきです: これらのアプリケーションへの本当の世界リスクは何です、すなわち、利用がそれが実際にどれくらい攻撃される、だれ、および推論することのためのものでありそうであるかもしれませんか?
While it is difficult to come up with one-size-fits-all answers based on general application descriptions, we can easily get some sense of the relative threat to many of these applications. It is important to note that what follows is not an exhaustive enumeration of all likely threats and attacks, but rather, a sampling that illustrates that real threats are more prevalent than intuition might suggest.
一般的適用記述に基づくフリーサイズの答えを思いつくのが難しい間、私たちは容易にこれらのアプリケーションの多くへの相対的な脅威の何らかの感覚を得ることができます。 続くことがすべてのありそうな脅威と攻撃の網羅的列挙ではなく、むしろ本当の脅威が直観が示されるかもしれないより一般的であることを例証する標本抽出であることであることに注意するのは重要です。
Here are some examples of common applications and related threats:
ここに、一般的なアプリケーションと関連する脅威に関するいくつかの例があります:
o Site-to-site VPNs: Often, these are used to connect geographically
separate corporate offices. Data traversing such links is often
business critical, and sometimes highly confidential. The FBI
estimates that every year, billions of U.S. dollars are lost to
foreign competitors who deliberately target economic intelligence
in U.S. industry and technologies [FBI06]. Searching for
'corporate espionage' in Google yields many interesting links,
some of which indicate that foreign competitors are not the only
threat to U.S. businesses. Obviously, this threat can be
generalized to include businesses of any nationality.
o サイトからサイトへのVPNs: しばしば、これらは、地理的に別々の企業のオフィスをつなげるのに使用されます。 そのようなリンクを横断するデータは、しばしばビジネス重要であって、時々非常に秘密です。 FBIは、毎年何十億米ドルが米国産業と技術[FBI06]で故意に経済調査を狙う外国の競合他社に失われていると見積もっています。 Googleで'企業スパイ'を捜し求めると、多くのおもしろいリンクがもたらされています。その或るものは外国の競合他社が米国ビジネスへの唯一の脅威でないことを示します。 明らかに、どんな国籍のビジネスも含むようにこの脅威を一般化できます。
Kelly Informational [Page 6] RFC 4772 DES Security Implications December 2006
[6ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
o Remote network access for business: See previous item.
o ビジネスに、リモートなネットワークアクセス: 前の項目を見てください。
o Webmail/email encryption: See Site-to-site VPNs.
o ウエブメール/メール暗号化: サイトからサイトへのVPNsを見てください。
o Online banking: Currently, the most common threat to online
banking is in the form of "phishing", which does not rely on
breaking session encryption, but instead relies on tricking users
into providing their account information. In general, direct
attacks on session encryption for this application do not scale
well. However, if a particular bank were known to use a weak
encryption algorithm for session security, it might become
worthwhile to develop a broader attack against that bank. Given
that organized criminal elements have been found behind many
phishing attacks, it is not difficult to imagine such scenarios.
o オンラインバンキング: 現在、オンラインバンキングへの最も一般的な脅威は、壊れているセッション暗号化に依存しない「フィッシング詐欺」の形にありますが、ユーザが彼らの会計情報を提供するようにだますのを代わりに当てにします。 一般に、このアプリケーションのためのセッション暗号化の直接攻撃はよく比例しません。 しかしながら、特定の銀行がセッションセキュリティに弱い暗号化アルゴリズムを使用するのが知られているなら、その銀行に対して、より広い攻撃を開発するのは価値があるようになるでしょうに。 組織化された刑事上の要素が多くのフィッシング攻撃の後ろで見つけられたなら、そのようなシナリオを想像するのは難しくはありません。
o Electronic funds transfers (EFTs): The ability to replay or
otherwise modify legitimate EFTs has obvious financial incentives
(and implications). Also, an industrial spy might see a great
deal of intelligence value in the financial transactions of a
target company.
o 電子資金移動(EFTs): 正統のEFTsを再演するか、またはそうでなければ変更する能力には、明白な金銭的誘因(そして、含意)があります。 また、産業スパイは標的企業の金融取引における多くの知性価値を見るかもしれません。
o Online purchases (E-commerce): The FBI has investigated a number
of organized attacks on e-commerce applications [FBI01]. If an
attacker has the ability to monitor e-commerce traffic directed to
a large merchant that relies on weak encryption, the attacker
could harvest a great deal of consumer credit information. This
is the sort of data "phishers" currently harvest on a much smaller
scale, so one can easily imagine the value of such a target.
o オンライン購買(電子商取引): FBIは電子商取引アプリケーション[FBI01]に対する多くの組織化された攻撃を調査しました。 攻撃者に弱い暗号化に依存する大きい商人に向けられた電子商取引トラフィックをモニターする能力があるなら、攻撃者は多くの消費者信用情報を取り入れるかもしれません。 これが「フィッシング詐欺師」が現在はるかにわずかなスケールで取り入れるデータの種類であるので、人は容易にそのような目標の値を想像できます。
o Internet-based VoIP applications (e.g., Skype): While many uses of
this technology are innocuous (e.g., long distance calls to family
members), VoIP technology is also used for business purposes (see
discussion of FBI estimates regarding corporate espionage above).
o インターネットを利用するVoIPアプリケーション(例えば、Skype): また、この技術の多くの用途が無毒である間(例えば、長距離は親族に呼びかけます)、VoIP技術はビジネス目的に使用されます(企業スパイに関するFBI見積りの議論が上であることを見てください)。
o Cellular telephony: Cell phones are very common, and are
frequently used for confidential conversations in business,
medicine, law enforcement, and other applications.
o セル電話: 携帯電話は、非常に一般的であり、ビジネスにおける密談、薬、法施行、および他のアプリケーションに頻繁に使用されます。
o Wireless LAN: Wireless technology is used by many businesses,
including the New York Stock Exchange [NYSE1]. The financial
incentives for an attacker are significant in some cases.
o ワイヤレスのLAN: 無線技術はニューヨーク証券取引所[NYSE1]を含む多くのビジネスによって使用されます。 いくつかの場合、攻撃者のための金銭的誘因は重要です。
o Personal communications (e.g., secure instant messaging): Such
communication may be used for corporate communications (see
industrial espionage discussion above), and may also be used for
financial applications such as stock/securities trading. This has
both corporate/industrial espionage and financial implications.
o 個人的なコミュニケーション(例えば、安全なインスタントメッセージング): そのようなコミュニケーションは、コーポレート・コミュニケーションに使用されて(産業スパイ議論が上であることを見ます)、また、ストック/証券取引などの金融アプリケーションに使用されるかもしれません。 これには、法人の、または、産業のスパイ活動と財政的な含意の両方があります。
Kelly Informational [Page 7] RFC 4772 DES Security Implications December 2006
[7ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
o Laptop hard-drive encryption: See discussion on corporate/
industrial espionage above. Also, consider that stolen and lost
laptops have been cited for some of the more significant losses of
control over sensitive personal information in recent years,
notably the Veterans Affairs data loss [VA1].
o ラップトップハードドライブ暗号化: 法人の、または、産業のスパイ活動についての議論が上であることを見てください。 また、盗まれて無くなっているラップトップが近年著しくVeterans Affairsデータの損失[VA1]機密の個人情報の上でコントロールの、より重要な損失のいくつかで引用されたと考えてください。
There are real-world threats to everyday encryption applications, some of which could be very lucrative to an attacker (and by extension, very costly to the victim). It is important to note that if some of these attacks are infrequent today, it is precisely because the threats are recognized, and appropriately strong cryptographic algorithms are used. If "weak" cryptographic algorithms were to be used instead, the implications are indeed thought-provoking.
毎日の暗号化アプリケーションへの本当の世界の脅威があります。攻撃者(そして犠牲者にとって、非常に高価な拡大で)にとって、その或るものは非常に有利であるかもしれません。 これらの攻撃のいくつかが今日珍しいならそれがまさに、脅威が認識されて、適切に強い暗号アルゴリズムが使用されているからである注意するのは重要です。 「弱い」暗号アルゴリズムが代わりに使用されることであったなら、本当に、含意は考えさせられます。
In keeping with the objectives of this document, it is important to note that the U.S. government has never approved the use of DES for anything but unclassified applications. While DES is still approved for unclassified uses until May 19, 2007, the U.S. government clearly sees the need to move to higher ground. For details on the National Institute of Standards and Technology (NIST) DES Transition plan, see [NIST-TP]. Despite this fact, DES is still sometimes chosen to protect some of the applications described above. Below, we discuss why this should, in many cases, be remedied.
このドキュメントの目的で保つのにおいて、米国政府がDESの決して非分類されなかったアプリケーションの使用を一度も承認したことがないことに注意するのは重要です。 DESは非分類された用途のために2007年5月19日までまだ承認されていますが、米国政府は明確に高台に移る必要性を認めます。 米国商務省標準技術局(NIST)DES Transitionプランに関する詳細に関しては、[NIST-TP]を見てください。 この事実にもかかわらず、DESは、上で説明されたアプリケーションのいくつかを保護するためにまだ時々選ばれています。 以下では、私たちが、これがなぜ多くの場合治されるべきであるかと議論します。
4. Attacking DES
4. DESを攻撃します。
DES is a 64-bit block cipher having a key size of 56 bits. The key actually has 64 bits (matching the block size), but 1 bit in each byte has been designated a 'parity' bit, and is not used for cryptographic purposes. For a full discussion of the history of DES along with an accessible description of the algorithm, see [SCHN96].
DESは56ビットの主要なサイズがある64ビットのブロック暗号です。 キーには64ビットが実際にありますが(ブロック・サイズを合わせて)、各バイトにおける1ビットは、'同等'ビットに指定されて、暗号の目的に使用されません。 アルゴリズムのアクセスしやすい記述に伴うDESの歴史の十分な議論に関しては、[SCHN96]を見てください。
A detailed description of the various types of attacks on cryptographic algorithms is beyond the scope of this document, but for clarity, we provide the following brief descriptions. There are two general aspects of attacks we must consider: the form of the inputs/outputs along with how we might influence them, and the internal function of the cryptographic operations themselves.
暗号アルゴリズムにおける様々なタイプの攻撃の詳述はこのドキュメントの範囲を超えていますが、明快ために、私たちは以下の簡単な説明を提供します。 私たちが考えなければならない攻撃の2つの一般的な局面があります: 私たちがどうそれらに影響を及ぼすかもしれないかに伴う入力/出力のフォーム、および暗号の操作自体の内部の機能。
In terms of input/output form, some of the more commonly discussed attack characteristics include the following:
入力/出力フォームに関して、一般的により議論された攻撃の特性のいくつかが以下を含んでいます:
o known plaintext - the attacker knows some of the plaintext
corresponding to some of the ciphertext
o 知られている平文--攻撃者は暗号文のいくつかに対応する平文のいくつかを知っています。
o ciphertext-only - only ciphertext is available to the attacker,
who has little or no information about the plaintext
o 暗号文専用--攻撃者にとって、暗号文だけが利用可能です。(その攻撃者は、まず平文の情報を持っていません)。
Kelly Informational [Page 8] RFC 4772 DES Security Implications December 2006
[8ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
o chosen plaintext - the attacker can choose which plaintext is
encrypted, and obtain the corresponding ciphertext
o 選ばれた平文--攻撃者は、どの平文が暗号化されているかを選んで、対応する暗号文を得ることができます。
o birthday attacks - relies on the fact that for N elements,
collisions can be expected in ~sqrt(N) randomly chosen samples;
for systems using CBC mode with random Initialization Vectors
(IVs), ciphertext collisions can be expected in about 2^28
samples. Such collisions leak information about the corresponding
plaintexts: if the same cryptographic key is used, then the xor of
the IVs is equal to the xor of the plaintexts.
o 誕生日の攻撃--N要素において、サンプルが手当たりしだいに選ばれた~sqrt(N)で衝突を予想できるという事実を当てにします。 無作為の初期設定Vectors(IVs)があるCBCモードを使用するシステムにおいて、およそ2個の^28のサンプルで暗号文衝突を予想できます。 そのような衝突は対応する平文に関して情報を漏らします: 同じ暗号化キーが使用されているなら、IVsのxorは平文のxorと等しいです。
o meet-in-the-middle attacks - leverages birthday characteristic to
precompute potential key collision values
o 中央で会っている攻撃--precomputeの潜在的主要な衝突値へのてこの作用誕生日の特性
Due to the limited scope of this document, these are very brief descriptions of very complex subject matter. For more detailed discussions on these and many related topics, see [SCHN96], [HAC], or [FERG03].
このドキュメントの限られた範囲のために、これらは非常に複雑な対象の件の非常に簡潔な記述です。 これらについての、より詳細な議論と多くの関連した話題に関しては、[SCHN96]、[HAC]、または[FERG03]を見てください。
As for attack characteristics relating to the operational aspects of cipher algorithms, there are essentially two broad classes we consider: cryptanalytic attacks, which exploit some internal structure or function of the cipher algorithm, and brute-force attacks, in which the attacker systematically tries keys until the right one is found. These could alternatively be referred to as white box and black box attacks, respectively. These are discussed further below.
暗号アルゴリズムの操作上の局面に関連する攻撃の特性に関して、私たちが考える2つの広いクラスが本質的にはあります: (攻撃は何らかの内部の構造を利用します)。cryptanalytic攻撃か暗号アルゴリズム、および全数探索法の機能。(そこでは、正しいものが見つけられるまで、攻撃者が系統的にキーを試します)。 あるいはまた、これらをホワイトボックスと呼ぶことができました、そして、ブラックボックスはそれぞれ攻撃されます。 以下でさらにこれらについて議論します。
4.1. Brute-Force Attacks
4.1. 全数探索法
In general, a brute-force attack consists of trying each possible key until the correct key is found. In the worst case, this will require 2^n steps for a key size of n bits, and on average, it will require 2^n-1 steps. For DES, this implies 2^56 encryption operations in the worst case, and 2^55 encryption operations on average, if we assume no shortcuts exist. As it turns out, the complementation property of DES provides an attack that yields a reduction by a factor of 2 for a chosen plaintext attack, so this attack requires an average of 2^54 encryption operations.
一般に、全数探索法は正しいキーが見つけられるまでそれぞれの可能なキーを試すのから成ります。 最悪の場合には、これはnビットの主要なサイズのために2^nステップを必要とするでしょう、そして、平均的に、それは2^n-1ステップを必要とするでしょう。 DESに関しては、これは最悪における56の暗号化操作がケースに入れる2^、および2つの^55暗号化操作を平均的に含意します、私たちが、近道が全く存在しないと思うなら。 結局DESの補足性の特性が2の要素で減少をもたらす攻撃を選ばれた平文攻撃に提供するので、この攻撃は平均2つの^54暗号化操作を必要とします。
Above, we refer to 2^n 'steps'; note that what a 'step' entails depends to some extent on the first attack aspect described above, i.e., what influence and knowledge we have with respect to input/ output forms. Remember, in the worst case, we will be performing 72,057,594,037,927,936 -- over 72 quadrillion -- of these 'steps'. In the most difficult case, we have ciphertext only, and no knowledge of the input, and this is very important.
上に、私たちは2^n'歩'について言及します。 'ステップ'が伴うことを上で説明された最初の攻撃局面にある程度依存して、すなわち、私たちが入力/出力に関してどんな影響と知識を持っているかが形成されることに注意してください。私たちがこれらの実行7京2057兆5940億3792万7936(7京2000兆以上)が'歩'であったならそうするつもりであるのを最悪の場合には覚えていてください。 最も難しい場合では、暗号文しか持っていませんが、私たちは入力に関するどんな知識も持っていません、そして、これは非常に重要です。
Kelly Informational [Page 9] RFC 4772 DES Security Implications December 2006
[9ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
If the input is effectively random, we cannot tell by simply looking at a decrypted block whether we've succeeded or not. We may have to resort to other potentially expensive computation to make this determination. While the effect of any additional computation will be linear across all keys, repeating a large amount of added computation up to 72 quadrillion times could have a significant impact on the cost of a brute-force attack against the algorithm. For example, if it takes 1 additional microsecond per computation, this will add almost 101 days to our worst-case search time, assuming a serial key search.
入力が事実上無作為であるなら、私たちは、成功したかどうか単に解読されたブロックを見ることによって、わかりません。 私たちは、この決断をするように他の潜在的に高価な計算に頼らなければならないかもしれません。 どんな追加計算の効果もすべてのキーの向こう側に直線的になる間、多量の加えられた計算を繰り返して、最大7京2000兆回は全数探索法の費用でアルゴリズムに対して重要な影響を与えるかもしれません。 例えば、1計算あたり追加1マイクロセカンド取るなら、これはおよそ101日間私たちの最悪の場合検索時間に加えるでしょう、連続の主要な検索を仮定して。
On the other hand, if we can control the input to the encryption function (known plaintext), we know precisely what to expect from the decryption function, so detecting that we've found the key is straightforward. Alternatively, even if we don't know the exact input, if we know something about it (e.g., that it's ASCII), with limited additional computation we can infer that we've most likely found a key. Obviously, which of these conditions holds may significantly influence attack time.
他方では、私たちは、暗号化機能(平文を知っている)に入力を制御できるなら、私たちは、復号化機能から正確に何を予想したらよいかを知っています、そう検出していて、キーが簡単であることがわかりました。 それに関して何かを知っているなら私たちが代わりに正確な入力を知らない、(例えば、それはASCIIです)、限られた追加計算で、私たちは、たぶんキーを見つけたと推論できます。 明らかにこれらの状態船倉のどれがアタック・タイムにかなり影響を及ぼすかもしれませんか?
4.1.1. Parallel and Distributed Attacks
4.1.1. 平行で分配された攻撃
Given that a brute-force attack involves systematically trying keys until we find the right one, it is obviously a good candidate for parallelization. If we have N processors, we can find the key roughly N times faster than if we have only 1 processor. This requires some sort of centralized control entity that distributes the work and monitors the search process, but is quite straightforward to implement.
全数探索法が、私たちが正しいものを見つけるまで系統的にキーを試すことを伴うなら、それは明らかに並列化の良い候補です。 Nプロセッサを持っているなら、私たちが、キーがおよそNであることを何倍も、より速く見つけることができる、私たちが1台のプロセッサしか持っていないなら。 これはある種の仕事を広げて、検索プロセスをモニターしていますが、実装するためにかなり簡単な集中制御実体を必要とします。
There are at least two approaches to parallelization of a brute-force attack on a block cipher: the first is to build specialized high- speed hardware that can rapidly cycle through keys while performing the cryptographic and comparison operations, and then replicate that hardware many times, while providing for centralized control. The second involves using many copies of general purpose hardware (e.g., a PC), and distributing the load across these while placing them under the control of one or more central systems. Both of these approaches are discussed further in sections 5 and 6.
全数探索法の並列化への少なくとも2つのアプローチがブロック暗号にあります: 1番目は、集中制御に備えている間、暗号と比較操作を実行している間にキーを通して急速に循環できる専門化している高い速度ハードウェアを組立てて、次に、何回もそのハードウェアを模写することです。 2番目は、多くのコピーの汎用のハードウェア(例えば、PC)を使用して、1台以上の主要なシステムのコントロールの下にそれらを置いている間、これらの向こう側に負荷を分配することを伴います。セクション5と6で、より詳しくこれらのアプローチの両方について議論します。
4.2. Cryptanalytic Attacks
4.2. Cryptanalytic攻撃
Brute-force attacks are so named because they don't require much intelligence in the attack process -- they simply try one key after the other, with little or no intelligent keyspace pruning. Cryptanalytic attacks, on the other hand, rely on application of some intelligence ahead of time, and by doing so, provide for a significant reduction of the search space.
彼らが攻撃の過程による多くの知性を必要としないので、全数探索法はそのように命名されます--彼らは単に次々と1個のキーを試します、ほとんどどんな知的なkeyspace刈り込みでも、そうしません。 他方では、Cryptanalytic攻撃は早めに何らかの知性の適用に依存します、そして、そうすることによって、検索スペースのかなりの減少に備えてください。
Kelly Informational [Page 10] RFC 4772 DES Security Implications December 2006
[10ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
While an in-depth discussion of cryptanalytic techniques and the resulting attacks is well beyond the scope of this document, it is important to briefly touch on this area in order to set the stage for subsequent discussion. It is also important to note that, in general, cryptanalysis can be applied to any cryptographic algorithm with varying degrees of success. However, we confine ourselves here to discussing specific results with respect to DES.
cryptanalyticテクニックと結果として起こる攻撃の徹底的な議論はかなりこのドキュメントの範囲を超えていますが、簡潔にこの領域に触れるのは、その後の議論の必要な準備をするために重要です。 また、一般に、異なった度の成功でどんな暗号アルゴリズムにも暗号文解読術を適用できることに注意するのも重要です。 しかしながら、私たちはここで自分達をDESに関して特定の結果について議論するのに制限します。
Here is a very brief summary of the currently known cryptanalytic attacks on DES:
ここに、DESに対する現在知られているcryptanalytic攻撃の非常に簡潔な概要があります:
o Differential Cryptanalysis - First discussed by Biham and Shamir,
this technique (putting it very simply) analyzes how differences
in plaintext correspond to differences in ciphertext. For more
detail, see [BIH93].
o 特異なCryptanalysis--まず最初に、Bihamとシャミルは議論しています、このテクニック(非常に単にそれを置く)は平文の違いがどう暗号文の違いに対応するかを分析します。 その他の詳細に関しては、[BIH93]を見てください。
o Linear Cryptanalysis - First described by Matsui, this technique
uses linear approximations to describe the internal functions of
DES. For more detail, see [MAT93].
o 直線的なCryptanalysis--まず最初に松井によって説明されていて、このテクニックは、DESの内部の機能について説明するのに直線的な近似を使用します。 その他の詳細に関しては、[MAT93]を見てください。
o Interpolation Attack - This technique represents the S-boxes of
DES with algebraic functions, and then estimates the coefficients
of the functions. For more information, see [JAK97].
o 挿入Attack--このテクニックは代数関数、および次に、見積りがあるDESの機能の係数のS-箱を表します。 詳しくは、[JAK97]を見てください。
o Key Collision Attack - This technique exploits the birthday
paradox to produce key collisions [BIH96].
o 主要なCollision Attack--このテクニックは、主要な衝突[BIH96]を起こすのに誕生日のパラドックスを利用します。
o Differential Fault Analysis - This attack exploits the electrical
characteristics of the encryption device, selectively inducing
faults and comparing the results with uninfluenced outputs. For
more information, see [BIH96-2].
o 特異なFault Analysis--この攻撃は暗号化装置の電気特性を利用します、選択的に欠点を引き起こして、非影響している出力と結果を比べて。 詳しくは、[BIH96-2]を見てください。
Currently, the best publicly known cryptanalytic attacks on DES are linear and differential cryptanalysis. These attacks are not generally considered practical, as they require 2^43 and 2^47 known plaintext/ciphertext pairs, respectively. To get a feel for what this means in practical terms, consider the following:
現在、DESに対する公的に知られている最も良いcryptanalytic攻撃は直線的で特異な暗号文解読術です。 彼らがそれぞれ2^43と2^47知られている平文/暗号文組を必要とするとき、一般に、これらの攻撃は実用的であると考えられません。 これが実際的な言い方をするなら意味することの感じを得るには、以下を考えてください:
o For linear cryptanalysis (the more efficient of the two attacks),
the attacker must pre-compute and store 2^43 ciphertexts; this
requires 8,796,093,022,208 (almost 9 trillion) encryption
operations.
o 線形解読法(2つの攻撃で、より効率的な)のために、攻撃者は、2つの^43暗号文をあらかじめ計算して、格納しなければなりません。 これは8兆7960億9302万2208(およそ9兆)の暗号化操作を必要とします。
o Each ciphertext block is 8 bytes, so the total required storage is
70,368,744,177,664 bytes, or about 70,369 gigabytes of storage.
If the plaintext blocks cannot be automatically derived, they too
must be stored, potentially doubling the storage requirements.
o それぞれの暗号文ブロックが8バイトであるので、総必要な格納は、70兆3687億4417万7664バイトか、格納のおよそ7万369のギガバイトです。 自動的に平文ブロックを引き出すことができないなら、潜在的に格納要件を倍にして、それらも格納しなければなりません。
Kelly Informational [Page 11] RFC 4772 DES Security Implications December 2006
[11ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
o The 2^43 known plaintext blocks must be somehow fed to the device
under attack, and that device must not change the encryption key
during this time.
o どうにか2^43知られている平文ブロックを装置へ攻撃で供給しなければなりません、そして、その装置は今回主要な暗号化を変えてはいけません。
Clearly, there are practical issues with this attack. Still, it is sobering to look at how much more realistic 70,000 gigabytes of storage is today than it must have seemed in 1993, when Matsui first proposed this attack. Today, 400-GB hard drives can be had for around $0.35/gigabyte. If we only needed to store the known ciphertext, this amounts to ~176 hard drives at a cost of less than $25,000. This is probably practical with today's technology for an adversary with significant financial resources, though it was difficult to imagine in 1993. Still, numerous other practical issues remain.
明確に、この攻撃には実用的な問題があります。 それでも、今日格納の現実的な7万のギガバイトがどれほど多いか見るために1993年に見えたに違いないより酔いをさましています、松井が最初にこの攻撃を提案したとき。 今日、およそ0.35/ギガバイトドルで400GBのハードドライブを持つことができます。 私たちが、知られている暗号文を格納する必要があっただけであるなら、これは2万5000ドル未満の費用で~176ハードドライブに達します。 敵には、これはたぶん重要な財源で今日の技術で実用的です、1993年に想像するのが難しかったのですが。 それでも、他の多数の実用的な問題は残っています。
4.3. Practical Considerations
4.3. 実用的な問題
Above, we described several types of attacks on DES, some of which are more practical than others, but it's very important to recognize that brute force represents the very worst case, and cryptanalytic attacks can only improve on this. If a brute-force attack against a given DES application really is feasible, then worrying about the practicality of the other theoretical attack modes is just a distraction. The bottom line is this: if DES can be brute-forced at a cost the attacker can stomach today, this cost will invariably come down as technology advances.
上では、私たちがいくつかのタイプの攻撃をDESに説明しましたが、馬鹿力が非常に最も悪いケースを表して、cryptanalytic攻撃がこれを改良できるだけであると認めるのは非常に重要です。その或るものは他のものより実用的です。 与えられたDESアプリケーションに対する全数探索法が本当に可能であるなら、他の理論上の臨戦態勢の実用性を心配するのは、ただ注意散漫です。 結論はこれです: DESが獣が無理矢理場合があるなら、費用では、攻撃者は今日この費用が技術進歩として不変的に来させる胃をそうすることができます。
5. The EFF DES Cracker
5. 効率DESクラッカー
On the question as to whether DES is susceptible to brute-force attack from a practical perspective, the answer is a resounding and unequivocal "yes". In 1998, the Electronic Frontier Foundation financed the construction of a "DES Cracker", and subsequently published "Cracking DES" [EFF98]. For a cost of less than $250,000, this system can find a 56-bit DES key in the worst-case time of around 9 days, and in 4.5 days on average.
DESがそうであるかどうかに関して実用的な見解からの全数探索法に影響されやすい質問では、答えは徹底的ではっきりしている「はい」です。 1998年に、電子フロンティア財団は「DESクラッカー」、および次に発行された「分解DES」[EFF98]の工事を融資しました。 25万ドル未満の費用に関しては、このシステムは、およそ9日間の最悪の場合回、および4.5日間で56ビットのDESが主要であることを平均的に見つけることができます。
Quoting from [EFF98],
[EFF98]から、引用します。
"The design of the EFF DES Cracker is simple in concept. It consists of an ordinary personal computer connected with a large array of custom chips. Software in the personal computer instructs the custom chips to begin searching, and interacts with the user. The chips run without further help from the software until they find a potentially interesting key, or need to be directed to search a new part of the key space. The software periodically polls the chips to find any potentially interesting keys that they have turned up.
「EFF DES Crackerのデザインは概念で簡単です。」 それはカスタムチップの大きいアレイに接続された普通のパーソナルコンピュータから成ります。 パーソナルコンピュータのソフトウェアは、探し始めるようカスタムチップに命令して、ユーザと対話します。 主要なスペースの新しい地域を捜すのに潜在的におもしろいキーを見つけるか、または指示されるのが必要になるまで、チップはソフトウェアからさらなる助けなしで動きます。 ソフトウェアは、それらが捜しあてたどんな潜在的におもしろいキーも見つけるために定期的にチップに投票します。
Kelly Informational [Page 12] RFC 4772 DES Security Implications December 2006
[12ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
The hardware's job isn't to find the answer. but rather to eliminate most of the answers that are incorrect. Software is then fast enough to search the remaining potentially-correct keys, winnowing the false positives from the real answer. The strength of the machine is that it replicates a simple but useful search circuit thousands of times, allowing the software to find the answer by searching only a tiny fraction of the key space.
ハードウェアの仕事は答を見つけないことです。. むしろ不正確な答えの大部分を排除するために。 そして、本当の答えから無病誤診を選び出して、ソフトウェアは残っている潜在的に正しいキーを捜すほど速いです。 マシンの強さは何千回も簡単な、しかし、役に立つ検索サーキットを模写するということです、ソフトウェアが主要なスペースの小さい部分だけを捜すことによって答を見つけるのを許容して。
As long as there is a small bit of software to coordinate the effort, the problem of searching for a DES key is 'highly parallelizable'. This means the problem can be usefully solved by many machines working in parallel, simultaneously. For example, a single DES- Cracker chip could find a key by searching for many years. A thousand DES-Cracker chips can solve the same problem in one thousandth of the time. A million DES-Cracker chips could theoretically solve the same problem in about a millionth of the time, though the overhead of starting each chip would become visible in the time required. The actual machine we built contains 1536 chips."
努力を調整するためにソフトウェアのわずかなビットがある限り、DESキーを捜し求めるという問題は'非常にparallelizableです'。 これは、平行と、同時に動作する多くのマシンで有効に問題を解決できることを意味します。 例えば、何年間も探すことによって、単一のDESクラッカーチップはキーに当たるかもしれません。 1,000個のDES-クラッカーチップが現代の1000第年に同じ問題を解決できます。 100万個のDES-クラッカーチップが中で現代の100万番目に関して理論的に同じ問題を解決するかもしれません、各チップを始動するオーバーヘッドは時間が必要とした目に見えるコネになるでしょうが。 「私たちが組立てた実際のマシンは1536個のチップを含んでいます。」
This project clearly demonstrated that a practical system for brute force DES attacks was well within reach of many more than previously assumed. Practically any government in the world could easily produce such a machine, and in fact, so could many businesses. And that was in 1998; the technological advances since then have greatly reduced the cost of such a device. This is discussed further below.
このプロジェクトは、ずっと多くの範囲のかなり中に獣の力のDES攻撃の実用的なシステムが以前に想定されるよりあったのを明確に示しました。 世界の実際にどんな政府も容易にそのようなマシンを生産できました、そして、事実上、多くのビジネスもそうすることができました。 そして、1998年に、それはいました。 技術的進歩はそれ以来、そのような装置のコストを大いに削減しています。 以下でさらにこれについて議論します。
6. Other DES-Cracking Projects
6. 他のDES-分解プロジェクト
In the mid-1990s, many were interested in whether or not DES was breakable in a practical sense. RSA sponsored a series of DES Challenges over a 3-year period beginning January of 1997. These challenges were created in order to help underscore the point that cryptographic strength limitations imposed by the U.S. government's export policies were far too modest to meet the security requirements of many users.
1990年代の半ば、多くがDESが実際には壊れやすかったかどうか興味を持っていました。 RSAは、3年の期間、1997年1月に始まりながら、一連のDES Challengesを後援しました。 これらの挑戦は、米国政府の輸出方針で課された暗号の強さ制限が多くのユーザのセキュリティ必要条件を満たすことができないくらい穏やかであったというポイントを強調するのを助けるために作成されました。
The first DES challenge was solved by the DESCHALL group, led by Rocke Verser, Matt Curtin, and Justin Dolske [CURT05][RSA1]. They created a loosely-knit distributed effort staffed by volunteers and backed by Universities and corporations all over the world who donated their unused CPU cycles to the effort. They found the key in 90 days.
最初のDES挑戦はRocke Verser、マット・カーティン、およびジャスティンDolske[CURT05][RSA1]によって率いられたDESCHALLグループによって解決されました。 彼らはボランティアによって配置された緩く編み物している分配された努力を作成しました、そして、大学と会社によって世界中に支持されて、だれがそれらの未使用のCPUを寄贈したかが努力に循環します。 彼らは90日間でキーを見つけました。
The second DES challenge was announced on December 19, 1997 [RSA2][CURT05], and on February 26, 1998, RSA announced a winner. This time, the challenge was solved by group called distributed.net
2番目のDES挑戦は1997年12月19日[RSA2][CURT05]に発表されました、そして、1998年2月26日に、RSAは勝者を発表しました。 今回、挑戦はdistributed.netと呼ばれるグループによって解決されました。
Kelly Informational [Page 13] RFC 4772 DES Security Implications December 2006
[13ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
working together with the EFF, in a total of 39 days [RSA3] [CURT05]. This group coordinated 22,000 participants and over 50,000 CPUs.
合計39日間[RSA3][CURT05]後にEFFと共に働いています。 このグループは2万2000人の関係者と5万個以上のCPUを調整しました。
The third DES challenge was announced on December 22, 1998 [RSA4][CURT05], and on January 19, 1999, RSA announced the winner. This time, the challenge was again solved by distributed.net working together with the EFF, in a total of 22 hours [RSA5]. This was a dramatic improvement over the second challenge, and should give some idea of where we're headed with respect to DES.
3番目のDES挑戦は1998年12月22日[RSA4][CURT05]に発表されました、そして、1999年1月19日に、RSAは勝者を告げました。 今回、挑戦は再びEFFと共にdistributed.net workingによって解決されました、合計22時間[RSA5]後に。 これは、2番目の挑戦の上の劇的な改良であり、私たちがDESに関して率いられるところに関する何らかの考えを与えるべきです。
7. Building a DES Cracker Today
7. 今日、DESクラッカーを組立てます。
We've seen what was done in the late 1990s -- what about today? A survey of the literature might lead one to conclude that this topic is no longer interesting to cryptographers. Hence, we are left to infer the possibilities based on currently available technologies. One way to derive an approximation is to apply a variation on "Moore's Law": assume that the cost of a device comparable to the one built by the EFF would be halved roughly every N months. If we take N=18, then for a device costing $250,000 at the end of 1998, this would predict the following cost curve:
私たちは1990年代後半に行われたことを見ました--今日はどうですか? 文学の調査は、人が、暗号使用者には、この話題がもうおもしろくないと結論を下すように導くかもしれません。 したがって、私たちが現在利用可能な技術に基づく可能性を推論するのが残されます。 近似を引き出す1つの方法は「ムーアの法則」の変化を適用することです: EFFによって築き上げられたものに匹敵する装置の費用が乱暴に半分にされると仮定してください、あらゆる、Nカ月。 私たちがN=18を取るなら、1998年の終わりで25万ドルかかる装置に関してこれは以下の費用曲線を予測するでしょう:
o mid-2000............: $125,000
o 2000年中頃…: $125,000
o beginning of 2002...: $62,500
o 2002年の始まり…: $62,500
o mid-2003............: $31,250
o 2003年中頃…: $31,250
o beginning of 2006...: $15,625
o 2006年の始まり…: $15,625
It's important to note that strictly speaking, "Moore's Law" is more an informal approximation than a law, although it has proven to be uncannily accurate over the last 40 years or so. Also, some would disagree with the use of an 18-month interval, preferring a more conservative 24 months instead. So, these figures should be taken with the proverbial grain of salt. Still, it's important to recognize that this is the cost needed not to crack one key, but to get into the key-cracking business. Offering key-cracking services and keeping the machine relatively busy would dramatically decrease the cost to a few hundred dollars per unit or less.
それは、不思議に正確であると判明しましたが、厳密に言うと、「ムーアの法則」が法より非公式の近似であることに注意するためにここおよそ40年間重要です。 また、より保守的な24カ月が代わりに都合がよくて、或るものは18カ月の間隔の使用と意見を異にするでしょう。 それで、塩のことわざの粒でこれらの数字を取るべきです。 それでも、これが1個のキーを割るのではなく、主要な分解ビジネスに入るのに必要である費用であると認めるのは重要です。 サービスと比較的忙しくマシンを保つと数100ドルへの1ユニットあたりの費用に劇的に静まる主要な分解か以下を提供します。
Given that such calculations roughly hold for other computing technologies over the same time interval, the estimate above does not seem too unreasonable, and is probably within a factor of two of today's costs. Clearly, this would seem to indicate that DES- cracking hardware is within reach of a much broader group than in 1998, and it is important to note that this assumes no design or algorithm improvements since then.
そのような計算が同じ時間間隔の間の他のコンピューティング技術におよそ当てはまるなら、上の見積りは、あまりに無理に思えないで、たぶん今日の2つのコストの要素の中にあります。 明確に、これは1998年よりはるかに広いグループの範囲の中にDES分解ハードウェアがあるのを示すように思えて、これが、それ以来デザインかどんなアルゴリズムも改良でないと仮定することに注意するのは重要です。
Kelly Informational [Page 14] RFC 4772 DES Security Implications December 2006
[14ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
To put this in a slightly different light, let's consider the typical rendition of Moore's Law for such discussions. Rather than considering shrinking cost for the same capability, consider instead increasing capability for the same cost (i.e., doubling circuit densities every N months). Again choosing N=18, our DES-cracking capability (in worst-case time per key) could be expected to have approximately followed this performance curve over the last 7 or so years:
わずかに異なった光にこれを入れるために、そのような議論のためにムーアの法則の典型的な表現を考えましょう。 同じ能力のために費用を減らせると考えるよりむしろ、代わりに同じ費用で能力を高めると考えてください、(すなわち、回路密度を倍にする、あらゆる、Nカ月) 再びN=18を選んで、私たちのDES-分解能力(1キーあたりの最悪の場合時間の)がここおよそ7年間周囲でこの性能曲線に続いていると予想できました:
o 1998................: 9 days
o 1998................: 9日間
o mid-2000............: 4.5 days
o 2000年中頃…: 4.5日間
o beginning of 2002...: 2.25 days
o 2002年の始まり…: 2.25日間
o mid-2003............: 1.125 days
o 2003年中頃…: 1.125日間
o beginning of 2006...: 0.5625 days
o 2006年の始まり…: 0.5625日間
That's just over a half-day in the worst case for 2006, and under 7 hours on average. And this, for an investment of less than $250,000. It's also very important to note that we are talking about worst-case and average times here - sometimes, keys will be found much more quickly. For example, using such a machine, 1/4 of all possible DES keys will be found within 3.375 hours. 1/8 of the keys will be found in less than 1 hour and 42 minutes. And this assumes no algorithmic improvements have occurred. And again, this is an estimate; your actual mileage may vary, but the estimate is probably not far from reality.
それはまさしく半日の間、平均的に最悪の場合には2006、および7時間未満います。 25万ドル未満の投資のためのこれ。 また、私たちがここで最も悪いケースの、そして、平均した回に関して話していることに注意するのも非常に重要です--時々、キーははるかにすぐに見つけられるでしょう。 例えば、そのようなマシンを使用して、すべての1/4個の可能なDESキーが3.375時間以内に見つけられるでしょう。 1/8個のキーが1時間未満と42分後に見つけられるでしょう。 そして、これは、どんなアルゴリズムの改良も起こっていないと仮定します。 そして、一方、これは見積りです。 あなたの実際のマイル数は異なるかもしれませんが、見積りはたぶん現実から遠くはありません。
7.1. FPGAs
7.1. FPGAs
Since the EFF device first appeared, Field Programmable Gate Arrays (FPGAs) have become quite common, and far less costly than they were in 1998. These devices allow low-level logic programming, and are frequently used to prototype new logic designs prior to the creation of more expensive custom chips (also known as Application Specific Integrated Circuits, or ASICs). They are also frequently used in place of ASICs due to their lower cost and/or flexibility. In fact, a number of embedded systems implementing cryptography have employed FPGAs for this purpose.
EFF装置が最初に現れて以来、Field Programmable Gate Arrays(FPGAs)は全く一般的で、1998年に彼らよりはるかに高価でなくなっています。 これらの装置は、低レベル論理にプログラミングを許容して、より高価なカスタムチップ(また、Application Specific Integrated Circuits、またはASICsとして、知られている)の創造の前に頻繁に原型の新しい論理設計に使用されます。 また、それらは彼らの低い費用、そして/または、柔軟性によるASICsに代わって頻繁に使用されます。 事実上、暗号を実行する多くの組込み型システムがこのためにFPGAsを使いました。
Due to their generalized nature, FPGAs are naturally slower than ASICs. While the speed difference varies based on many factors, it is reasonable for purposes of this discussion to say that well- designed FPGA implementations typically perform cryptographic
彼らの一般化された本質のために、FPGAsはASICsより自然に遅いです。 速度差が多くの要素に基づいて異なりますが、この議論の目的が、よく設計されたFPGA実現が通常働くと言うのが、妥当である、暗号
Kelly Informational [Page 15] RFC 4772 DES Security Implications December 2006
[15ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
operations at perhaps 1/4 the speed of well-designed ASICs performing the same operations, and sometimes much slower than that. The significance of this comparison will become obvious shortly.
操作、恐らく1/4、同じ操作で、それよりはるかに時々遅い状態で働くよく設計されたASICsの速度。 この比較の意味はまもなく、明白になるでしょう。
In our Moore's Law estimate above, we noted that the cost
extrapolation assumes no design or algorithm improvements since 1998.
It also implies that we are still talking about a brute-force attack.
In section 4 ("Attacking DES"), we discussed several cryptanalytic
attacks, including an attack that employs linear cryptanalysis
[MAT93]. In general, this attack has been considered impractical,
but in 2002, a group at Universite Catholique de Louvain in Belgium
built a DES cracker based on linear cryptanalysis, which, employing a
single FPGA, returns a DES key in 12-15 hours [FPL02].
ムーアの法則見積りでは、上では、1998年以来私たちが、費用推定が、デザインかどんなアルゴリズムも改良でないと仮定することに注意しました。 また、それは、私たちが全数探索法に関してまだ話しているのを含意します。 セクション4(「DESを攻撃する」)で、私たちは線形解読法[MAT93]を使う攻撃を含むいくつかのcryptanalytic攻撃について議論しました。 一般に、この攻撃は非実用的であると考えられましたが、2002年に、ベルギーのUniversite Catholique deルーバンのグループは線形解読法に基づくDESクラッカーを組立てました。独身のFPGAを使って、線形解読法は12〜15時間[FPL02]主要なDESを返します。
While there are still some issues of practicality in terms of applying this attack in the real world (i.e., the required number of known plaintext-ciphertext pairs), this gives a glimpse of where technology is taking us with respect to DES attack capabilities.
本当の世界(すなわち、知られている平文暗号文組の必要数)でこの攻撃を適用することに関して実用性のいくつかの問題がまだありますが、これは技術がDES攻撃能力に関して私たちを連れて行くことであるところに関する一瞥を与えます。
7.2. ASICs
7.2. ASICs
Application Specific Integrated Circuits are specialized chips, typically optimized for a particular set of operations (e.g., encryption). There are a number of companies that are in the business of designing and selling cryptographic ASICs, and such chips can be had for as little as $15 each at the low end. But while these chips are potentially much faster than FPGAs, they usually do not represent a proportionally higher threat when it comes to DES-cracking system construction.
アプリケーションSpecific Integrated Circuitsは特定の操作(例えば、暗号化)のために通常最適化された専門化しているチップです。 暗号のASICsを設計して、販売するビジネスにはある多くの会社があります、そして、それぞれローエンドの最小15ドルでそのようなチップを持つことができます。 しかし、DES-分解システム設定のこととなる場合、これらのチップがFPGAsよりはるかに潜在的に速い間、通常、彼らは比例して高い脅威を表しません。
The primary reason for this is cost: it currently costs more than $1,000,000 to produce an ASIC. There is no broad commercial market for crypto-cracking ASICs, so the number a manufacturer could expect to sell is probably small. Likewise, a single attacker is not likely to require more than a few of these. The bottom line: per-chip costs would be very high; when compared to the costs of FPGAs capable of similar performance, the FPGAs are clear winners. This doesn't mean such ASICs have never been built, but the return is probably not worth the investment for the average attacker today, given the other available options.
この第一の理由は費用です: ASICを生産するのは現在、100万ドル以上かかります。 暗号を解読するASICsのどんな広い商業市場もないので、メーカーが販売すると予想できた数はたぶん少ないです。 同様..単一..攻撃者..ありそう..必要 結論: 1チップあたりのコストは非常に高いでしょう。 同様の性能ができるFPGAsのコストと比べると、FPGAsは完勝者です。 これは、そのようなASICsが一度も造られたことがないことを意味しませんが、普通の攻撃者にとって、収益は今日たぶん投資の価値がありません、他の利用可能なオプションを考えて。
7.3. Distributed PCs
7.3. 分配されたPC
Parallel processing is a powerful tool for conducting brute-force attacks against a block cipher. Since each key can be tested independently, the keyspace can easily be carved up and distributed across an arbitrary number of processors, all of which are running identical code. A central "control" processor is required for
並列処理は、ブロック暗号に対して全数探索法を行うための強力な道具です。 独自に各キーを検査できるので、プロセッサの特殊活字の数字の向こう側に容易にkeyspaceを分割して、分配できます。それのすべてが特殊活字の数字のために同じコードを走らせています。 プロセッサが必要である中央の「コントロール」
Kelly Informational [Page 16] RFC 4772 DES Security Implications December 2006
[16ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
distributing tasks and evaluating results, but this is straightforward to implement, and this paradigm has been applied to many computing problems.
これは実行するために簡単です、そして、タスクと評価を分配するのは結果として生じますが、このパラダイムは多くのコンピューティング問題に適用されました。
While the EFF demonstrated that a purpose-built system is far superior to general purpose PCs when applied to cracking DES, the DESCHALL effort [CURT05][RSA1] aptly demonstrated that the idle cycles of everyday users' PCs could be efficiently applied to this problem. As noted above, distributed.net teamed with the EFF group to solve the third RSA DES Challenge using a combination of PCs and the EFF's "Deep Crack" machine to find a DES key in 22 hours. And that was using 1999 technologies.
EFFは、分解DESに適用されると特注のシステムが汎用のPCよりはるかに優れているのを示しましたが、DESCHALLの努力[CURT05][RSA1]は、効率的に毎日のユーザの暇なサイクルのPCをこの問題に適用できるのを適切に示しました。 上で述べたように、distributed.netは、22時間後にDESが主要であることがわかるのにPCとEFFの「深いひび」マシンの組み合わせを使用することで第3RSA DES Challengeを解決するためにEFFグループと共に組になりました。 そして、それは1999の技術を使用していました。
Clearly, PCs have improved dramatically since 1999. At that time, state-of-the-art desktops ran at around 800MHz. Today, desktop PCs commonly run at 3-4 times that speed, and supporting technologies (memory, cache, storage) offer far higher performance as well. Since the distributed.net effort used a broad spectrum of computers (from early 1990s desktops to state-of-the-art (in 1999) multiprocessors, according to [DIST99]), it is difficult to do a direct comparison with today's technologies. Still, we know that performance has, in general, followed the prediction of Moore's Law, so we should expect an improvement on the order of a factor of 8-16 by now, even with no algorithmic improvements
明確に、1999年以来PCは劇的に向上しています。 その時、最先端のデスクトップはおよそ800MHzで稼働しました。 今日、デスクトップパソコンは3-4 その速度の倍、およびまた、技術(メモリ、キャッシュ、格納)がはるかに高い性能を提供する支持のときに一般的に走ります。 distributed.netの努力がコンピュータ([DIST99]に従った最先端(1999年の)のマルチプロセッサへの1990年代前半のデスクトップからの)の広いスペクトルを使用したので、今日の技術で直接比較をするのは難しいです。 それでも、私たちは、性能が一般にムーアの法則の予測に続いたので今ごろ8-16の要素の注文より改良を予想するべきであるのを知っています、アルゴリズムの改良がなくても
7.3.1. Willing Participants
7.3.1. 望んでいる関係者
It is important to note that the distributed.net efforts have relied upon willing participants. That is, participants must explicitly and voluntarily join the effort. It is equally important to note that only the idle cycles of the enrolled systems are used. Depending on the way in which "idle" is defined, along with the user's habits and computing requirements, this could have a significant effect on the contribution level of a given system.
distributed.netの努力が望んでいる関係者を当てにされたことに注意するのは重要です。 すなわち、関係者は明らかに自発的に努力に参加しなければなりません。 登録されたシステムの暇なサイクルだけが使用されていることに注意するのは等しく重要です。 どれが「怠けるか」の途中でよるのはユーザの習慣と共に定義されます、そして、要件を計算して、これは与えられたシステムの貢献レベルに重要な影響を与えるかもしれません。
These factors impose significant limitations in terms of scale. While distributed.net was able to enlist over 100,000 computers from around the world for the third RSA DES Challenge, this is actually a rather small number when compared to 2^56 (over 72 quadrillion) possible DES keys. And when you consider the goal (i.e., to prove DES can be cracked), it seems reasonable to assume these same participants would not willingly offer up their compute cycles for a more nefarious use (like attacking the keys used to encrypt your online banking session). Hence, this particular model does not appear to pose a significant threat to most uses of encryption today. However, below, we discuss a variation on this approach that does pose an immediate threat.
これらの要素はスケールに関して重要な制限を課します。 distributed.netは第3RSA DES Challengeのために世界中から10万台以上のコンピュータの協力を得ることができましたが、2^56個(7京2000兆以上)の可能なDESキーと比べると、これは実際にかなり少ない数です。 そして、あなたが目標を考えるとき(すなわち、DESを立証するのを割ることができます)同じ関係者が進んで捧げないこれらを仮定するのが妥当に思える、彼ら、 より邪悪な使用(キーがあなたのオンラインバンキングセッションをコード化するのに使用した同様の攻撃)のためにサイクルを計算してください。 したがって、この特定のモデルは、今日暗号化のほとんどの用途への多大なる脅威を引き起こすように見えません。 しかしながら、以下では、私たちが身近な脅威を引き起こすこのアプローチの変化について議論します。
Kelly Informational [Page 17] RFC 4772 DES Security Implications December 2006
[17ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
7.3.2. Spyware and Viruses and Botnets (oh my!)
7.3.2. スパイウェア、ウイルス、およびBotnets(おお、私、)!
"Spyware" is a popular topic in security newsfeeds these days. Most of these applications are intended to display context-sensitive advertisements to users, and some actually modify a user's web browsing experience, directing them to sites of the distributor's choice in an effort to generate revenue. There are many names for this type of software, but for our purposes, we will refer to it simply as "spyware". And while there are some instances in which rogue software actually does spy on hapless users and report things back to the issuer, we do not focus here on such distinctions.
最近、「スパイウェア」はセキュリティnewsfeedsのポピュラーな話題です。 これらのアプリケーションの大部分が文脈依存広告をユーザに表示することを意図して、或るものは実際にユーザのウェブ閲覧経験を変更します、収入を発生させるための努力におけるディストリビュータの選択の場所に彼らを向けて。 このタイプのソフトウェアのための多くの名前がありますが、私たちの目的について、私たちは単に「スパイウェア」とそれを呼ぶつもりです。 そして、発行人への凶暴なソフトウェアが実際に不運なユーザを見張るいくつかの例とレポートものがある間、私たちはここ、そのような区別に集中しません。
Indeed, what we are more interested in is the broader modality in which this software functions: it is typically installed without the explicit knowledge and/or understanding of the user, and typically runs without the user's knowledge, sometimes slowing the user's PC to a crawl. One might note that such behavior seems quite surprising in view of the fact that displaying ads to users is actually a light- weight task, and wonder what this software is actually doing with all those compute cycles.
本当に、私たちが何にさらに興味を持つかは、このソフトウェアが機能するより広い様式です: それは、ユーザの形式知、そして/または、理解なしで通常インストールされて、ユーザの知識なしで通常走ります、時々ユーザのPCを徐行に遅くして。 人は、そのような振舞いが、事実から見てユーザに広告を表示するのが、実際に光の重さのタスクと、驚きであるのにかなり驚いていて、このソフトウェアが実際にものが計算するすべてでしていることが循環するように思えることに注意するかもしれません。
Worms and viruses are also very interesting: like spyware, these are installed without the user's knowledge or consent, and they use the computer in ways the user would not voluntarily allow. And unlike the spyware that is most common today, this malware usually contains explicit propagation technology by which it automatically spreads. It is not difficult to imagine where we are going with this: if you combine these techniques, forcible induction of user machines into an "army" of systems becomes possible. This approach was alluded to in [CURT98] and, in fact, is being done today.
また、虫とウイルスも非常におもしろいです: スパイウェアのように、これらはユーザの知識も同意なしでインストールされます、そして、彼らはユーザが自発的に許さない方法でコンピュータを使用します。 そして、今日最も一般的なスパイウェアと異なって、通常、このマルウェアはそれが自動的に広まる明白な伝播技術を含んでいます。 私たちがこれをどこに伴っているかを想像するのは難しくはありません: あなたがこれらのテクニックを結合するなら、システムの「軍隊」へのユーザマシンの力ずくの誘導は可能になります。 このアプローチを[CURT98]で暗示して、事実上、今日、しています。
Botnets [BOT05] represent a relatively recent phenomena. Using various propagation techniques, malware is distributed across a range of systems, where it lies in wait for a trigger of some sort. These "triggers" may be implemented through periodic polling of a centralized authority, the arrival of a particular date, or any of a large number of other events. Upon triggering, the malware executes its task, which may involve participating in a Distributed Denial of Service (DDoS) attack, or some other type of activity.
Botnets[BOT05]は比較的最近の現象を表します。 様々な伝播のテクニックを使用して、マルウェアはさまざまなシステムの向こう側に分配されます。そこでは、それがある種の引き金のための待ちで横たわります。 これらの「引き金」は集結された権威の周期的な世論調査、特定の期日の到着、または他の多くの出来事のいずれでも実行されるかもしれません。 引き金となるときに、マルウェアは分散型サービス妨害(DDoS)攻撃に参加することを伴うかもしれないタスクかある他のタイプの活動を実行します。
Criminal groups are currently renting out botnets for various uses [CERT01]. While reported occurrences have typically involved using these rogue networks for DDoS attacks, we would be naive to think other uses (e.g., breaking encryption keys) have not been considered. Botnets greatly mitigate the scaling problem faced by distributed.net: it is no longer a volunteer-only effort, and user activity no longer significantly impedes the application's progress. This should give us pause.
犯人グループは現在、様々な用途[CERT01]のためにbotnetsを賃貸しています。 報告された発生が、DDoS攻撃にこれらの違法のネットワークを使用することを通常伴った間、私たちは、他の用途(例えば、壊れている暗号化キー)が考えられていないと思うためにナイーブでしょう。 Botnetsはdistributed.netによって直面されていたスケーリング問題を大いに緩和します: それはもうボランティアだけの努力ではありません、そして、ユーザ活動はもうアプリケーションの進歩をかなり妨害しません。 これは私たちをちゅうちょさせるべきです。
Kelly Informational [Page 18] RFC 4772 DES Security Implications December 2006
[18ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
It is very important to clearly recognize the implications of this: botnets are cheap, and there are lots of PCs out there. You don't need the $15,625 that we speculated would be enough to build a copy of the EFF system today -- you only need a commodity PC on which to develop the malware, and the requisite skills. Or, you need access to someone with those things, and a relatively modest sum of cash. The game has changed dramatically.
明確にこの含意を認識するのは非常に重要です: botnetsは安いです、そして、多くのPCがむこうにあります。 あなたは今日のEFFシステムの建てることができるくらいのコピーであったなら私たちが推測した1万5625ドルを必要としません--あなたはマルウェア、および必要な技能を見いだす商品PCを必要とするだけです。 または、あなたはそれらのものをもっているだれかへのアクセス、および現金の比較的穏やかな合計を必要とします。 ゲームは劇的に変化しました。
8. Why is DES Still Used?
8. DES Still Usedはなぜそうですか?
Obviously, DES is not secure by most measures -- why is it still used today? There are probably many reasons, but here are perhaps the most common:
明らかに、DESはほとんどの測定で安全ではありません--それはなぜ今日、まだ使用されていますか? 多くの理由がたぶんありますが、ここに、一般的な大部分が恐らくあります:
o Backward compatibility - Numerous deployed systems support DES,
and rather than replace those systems, new systems are implemented
with compatibility in mind.
o 後方の互換性--多数の配備されたシステムがDESを支持して、むしろ、新しいシステムはそれらのシステムを置き換えるより念頭で互換性で導入されます。
o Performance - Many early VPN clients provided DES as the default
cryptographic algorithm, because PCs of the day suffered a
noticeable performance hit when applying stronger cryptography
(e.g., 3DES).
o パフォーマンス--多くの初期のVPNクライアントがデフォルト暗号アルゴリズムとしてDESを提供しました、1日のPCが、より強い暗号(例えば、3DES)を適用するとき打たれためぼしい性能を受けたので。
o Ignorance - People simply do not understand that DES is no longer
secure for most uses.
o 無知--人々は、ほとんどの用途には、DESがもう安全でないことを絶対に理解していません。
While there are probably other reasons, these are the most frequently cited.
他の理由がたぶんある間、これらは最も頻繁に引用されます。
Performance arguments are easily dispensed with today. PCs have more than ample power to implement stronger cryptography with no noticeable performance impact, and for systems that are resource constrained, there are strong algorithms that are far better performers than DES (e.g., AES-128). And while backward compatibility is sometimes a valid argument, this must be weighed carefully. At the point where the risk is higher than the cost of replacement, legacy systems should be abandoned.
パフォーマンス議論は今日、容易に省かれます。 PCはシステムのためにめぼしい性能衝撃なしでリソースであるより強い暗号を実行する十分なパワー以上を抑制させて、DES(例えば、AES-128)よりはるかに良いパフォーマーである強いアルゴリズムがあります。 そして、時々後方の互換性が有効な議論である間、これは慎重に重さがなければなりません。 リスクが取替原価より高いポイントでは、遺産システムはやめられるべきです。
With respect to the third reason (ignorance), this note attempts to address this, and we should continue to make every effort to get the word out. DES is no longer secure for most uses, and it requires significant security expertise to evaluate those small number of cases in which it might be acceptable. Technologies exist that put DES-cracking capability within reach of a modestly financed or modestly skilled motivated attacker. There are stronger, cheaper, faster encryption algorithms available. It is time to move on.
3番目の理由(無知)に関して、この注意は、これを記述するのを試みます、そして、私たちは言葉を口に出すためのあらゆる努力をし続けるべきです。 ほとんどの用途には、DESはもう安全ではありません、そして、それが許容できるかもしれないそれらのわずかな件数を評価するのが重要なセキュリティ専門的技術を必要とします。 遠慮深く融資されたか、遠慮深く熟練した動機づけられた攻撃者の範囲の中にDES-分解能力を置く技術が存在しています。 利用可能なより強くて、より安くて、より速い暗号化アルゴリズムがあります。 もう移動するべき時間です。
Kelly Informational [Page 19] RFC 4772 DES Security Implications December 2006
[19ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
9. Security Considerations
9. セキュリティ問題
This entire document deals with security considerations. Still, it makes sense to summarize a few key points here. It should be clear by now that the DES algorithm offers little deterrence for a determined adversary. While it might have cost $250,000 to build a dedicated DES cracker in 1998, nowadays it can be done for considerably less. Indeed, botnets are arguably free, if you don't count the malware author's time in your cost computation.
この全体のドキュメントはセキュリティ問題に対処します。 それでも、それはいくつかの要点をここへまとめる意味になります。 DESアルゴリズムが断固とした敵のためにほとんど抑止を提供しないのは、今ごろ、明確であるはずです。 1998年に専用DESクラッカーを組立てるのが25万ドルかかったかもしれませんが、この頃は、それのために、かなりすることができません。 本当に、あなたが費用計算でマルウェア作者の時間を数えないなら、botnetsは論証上無料です。
Does this mean DES should never be used? Well, no - but it does mean that if it is used at all, it should be used with extreme care. It is important to carefully evaluate the value of the information being protected, both to its owner and to an attacker, and to fully grasp the potential risks. In some cases, DES may still provide an acceptable level of security, e.g., when you want to encrypt a file on the family PC, and there are no real threats in your household.
これは、DESが決して使用されるべきでないことを意味しますか? さて、いいえ--それは、少しでも使用されるなら、極端な注意と共に使用されるべきであることを意味します。 慎重に所有者と、そして、攻撃者に保護される情報の価値を評価して、潜在的危険を完全に理解するのは重要です。 いくつかの場合、DESはまだ合格水準のセキュリティを提供しているかもしれません、例えば、あなたが家族PCのファイルをコード化したがっていて、本当の脅威が全くあなたの家庭にないとき。
However, it is important to recognize that, in such cases, DES is much like a cheap suitcase lock: it usually helps honest people remain honest, but it won't stop a determined thief. Given that strong, more efficient cryptographic algorithms (e.g., AES) are available, it seems the only rational reason to continue using DES today is for compulsory backward compatibility. In such cases, if there is no plan for gradually phasing out such products, then, as a security implementer, you can do the following:
しかしながら、DESがそのような場合で安いスーツケース錠に似ていると認めるのは重要です: 正直な人々が正直なままであることが通常助けますが、それは断固とした泥棒を止めないでしょう。 そんなに強くて、より効率的な暗号アルゴリズムを考えて、(例えば、AES)が利用可能である、今日DESを使用し続ける唯一の合理的な理由が強制的な後方の互換性のためのものであるように思えます。 そのような場合、次に、セキュリティimplementerとして徐々にそのような製品を段階的に廃止するためのプランが全くなければ、あなたは以下ができます:
o Recommend a phased upgrade approach.
o 段階的なアップグレードアプローチを推薦してください。
o If possible, use 3DES rather than DES (and in any case, DO NOT
make DES the default algorithm!).
o できれば、DESよりむしろ3DESを使用してください(どのような場合でも、DESをデフォルトアルゴリズムにしないでください!)。
o Replace keys before exceeding 2^32 blocks per key (to avoid
various cryptanalytic attacks).
o キー(様々なcryptanalytic攻撃を避ける)あたり2^32ブロックを超える前に、キーを取り替えてください。
o If there is a user interface, make users aware of the fact that
the cryptography in use is not strong, and for your particular
application, make appropriate recommendations in this regard.
o ユーザーインタフェースがあれば、ユーザを使用中の暗号が強くないという事実を知るようにしてください、そして、特定用途のために、この点で適切な推薦状をしてください。
The bottom line: it is simpler to not use this algorithm than it is to come up with narrow scenarios in which it might be okay. If you have legacy systems relying on DES, it makes sense to begin phasing them out as soon as possible.
結論: それはこのアルゴリズムを使用しないのがそれがオーケーであるかもしれない狭いシナリオを思いつくことになっているより簡単です。 あなたが遺産システムにDESを当てにさせるなら、それはできるだけ早く彼らを段階的に廃止し始める意味になります。
Kelly Informational [Page 20] RFC 4772 DES Security Implications December 2006
[20ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
10. Acknowledgements
10. 承認
The author gratefully acknowledges the contributions of Doug Whiting, Matt Curtin, Eric Rescorla, Bob Baldwin, and Yoav Nir. Their reviews, comments, and advice immeasurably improved this note. And of course, we all have the EFF and all those involved with the "Deep Crack", DESCHALL, and distributed.net efforts to thank for their pioneering research and implementations in this area.
作者は感謝してダグ・ホワイティング、マット・カーティン、エリック・レスコラ、ボブ・ボールドウィン、およびYoavニールの貢献を承諾します。 彼らのレビュー、コメント、およびアドバイスは測り知れないときにこの注意を改良しました。 もちろん、そして、私たちには皆、「深いひび」、DESCHALL、彼らの先駆けている調査について感謝するためのdistributed.netの努力、および実現がこの領域にある状態で、EFFとすべての関係者があります。
Kelly Informational [Page 21] RFC 4772 DES Security Implications December 2006
[21ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
Appendix A. What About 3DES?
A. 付録、3DESはどうですか?
It seems reasonable, given that we recommend avoiding DES, to ask: how about 3DES? Is it still safe? Thankfully, most of the discussion above does not apply to 3DES, and it is still "safe" in general. Below, we briefly explain why this is true, and what caveats currently exist.
私たちが、尋ねるためにDESを避けることを勧めるなら、それは妥当に思えます: 3DESはどうですか? それでも、それは金庫ですか? 幸い、上の議論の大部分は3DESに適用されません、そして、一般に、それはまだ「安全です」。 以下で、私たちはこれがなぜ本当であるか、そして、どんな警告が現在存在するかを簡潔に説明します。
A.1. Brute-Force Attacks on 3DES
A.1。 3DESの上の全数探索法
Recall that for DES there are 2^56 possible keys, and that a brute- force attack consists of trying each key until the right one is found. Since we are equally likely to find the key on the first, second, or even last try, on average we expect to find the key after trying half (2^55) of the keys, or after 36,028,797,018,963,968 decryptions. This doesn't seem completely impossible given current processor speeds, and as we saw above, we can expect with today's technology that such an attack could almost certainly be carried out in around half a day.
DESのために、2個の^の56の可能なキーがあって、獣の力の攻撃が正しいものが見つけられるまで各キーを試すのから成ったと思い出してください。 1日に2番目に、キーを見つけそうであるか、または最後に等しく試みさえしそうであるので、平均的に、私たちは、半分のキー(2^55)を試した後、または3京6028兆7970億1896万3968の復号化の後にキーを見つけると予想します。 現在のプロセッサ速度が与えられて、私たちが、上では、半日頃にほぼ確実にそのような攻撃を行うことができたと今日の技術で予想できるのを見たとき、これが完全に不可能に思えません。
For a brute-force attack on 3DES, however, the outlook is far less optimistic. Consider the problem: we know C (and possibly p), and we are trying to guess k1, k2, and k3 in the following relation:
しかしながら、3DESの上の全数探索法のに対し、見通しははるかにより楽観的ではありません。 問題を考えてください: 私たちはC(そして、ことによるとp)を知っています、そして、以下の関係でk1、k2、およびk3を推測しようとしています:
C = E_k3(D_k2(E_k1(p)))
CはE_k3と等しいです。(D_k2(E_k1(p)))
In order to guess the keys, we must execute something like the following (assuming k1, k2, and k3 are 64-bit values, as are Ci and p):
キーを推測するために、私たちは以下のように何かを実行しなければなりません(k1を仮定する、k2、およびk3は64ビットの値です、Ciとpのように):
for ( k3 = 0 to 2^56 step 1 )
compute C2 = D_k3(C1)
for ( k2 = 0 to 2^56 step 1 )
compute C3 = E_k2(C2)
for ( k1 = 0 to 2^56 step 1 )
begin
compute p = D_k1(C3) xor IV
if ( p equals p-expected )
exit loop; we found the keys
end
(k3=0、(0〜2^56k2=ステップ1)が(0〜2^56k1=ステップ1)への(C2)が始めるC3=E_k2を計算するので56ステップ1)が計算する2^に、_C2=D k3(C1)がp=D_k1(C3)xor IVを計算する、(p同輩がpで予想した、)、輪を出てください。 私たちはキー端を見つけました。
Note that in the worst case the correct key combination will be the last one we try, meaning we will have tried 2^168 crypto operations. If we assume that each 3DES decryption (2 decryptions plus one encryption) takes a single microsecond, this would amount to 1.19 x 10^37 years. That's FAR longer than scientists currently estimate our universe to have been in existence.
最悪の場合には正しい主要な組み合わせるのが私たちが試みる最後のものになることに注意してください、私たちが2つの^168暗号操作を試みてしまうだろうことを意味して。 私たちが、それぞれの3DES復号化(2つの復号化と1つの暗号化)が1マイクロセカンド取ると思うなら、これは37年間1.19x10^に達するでしょう。 科学者が、現在私たちの宇宙が現存していると見積もっているより長い間、それはFARです。
Kelly Informational [Page 22] RFC 4772 DES Security Implications December 2006
[22ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
While it is important to note that we could slightly prune the key space by assuming that two equal keys would never be used (i.e., k1 != k2, k2 != k3, k1 != k3), this does not result in a significant work reduction when you consider the magnitude of the numbers we're dealing with. And what if we instead assumed that technological advances allow us to apply DES far more quickly?
あなたが私たちが対処している数の大きさを考えるとき、2個の等しいキーが決して使用されないと仮定することによって私たちが主要なスペースをわずかに剪定できるだろうことに注意するのが重要である間(すなわち、k1!はk2と等しいです、k2!=k3、k1!=k3)、これはかなりの仕事減少をもたらしません。 そして、私たちが、技術的進歩ではるかにはやくDESを適用できると代わりに思ったなら、どうなるでしょうか?
Today, commercial 3DES chips capable of 10-Gbps encryption are widely available, and this translates to 15,625,000 DES blocks per second. The estimate given above assumed 1,000,000 DES blocks/second, so 10-Gbps hardware is 15 times as fast. This means in the worst case it would take 7.6 x 10^35 years -- not much faster in the larger scheme of things.
今日、10-Gbps暗号化ができる市販の3DESチップは広く利用可能です、そして、これは1秒あたり1562万5000DESブロックに翻訳されます。 上に与えられた見積りが、100万DESがブロック/秒であると仮定したので、10-Gbpsハードウェアは15倍速いです。 これは、7.6x10^によるそれには35年かかることを最悪の場合には意味します--ものの、より大きい計画ではるかに速くはありません。
Even if we consider hardware that is 1,000,000 times faster, this would still require 7.6 x 10^29 years - still FAR longer than the universe has been around. Obviously, we're getting nowhere fast here. 3DES, for all practical purposes, is probably safe from brute- force attacks for the foreseeable future.
私たちが100万倍より速いハードウェアを考えても、これはまだ7.6x10^を29年必要としているでしょう--それでも、宇宙が周囲に行ったことがあるより長いFAR。 明らかに、私たちはここで速く途方に暮れています。 3DESは予見できる未来の獣の力の攻撃によってたぶん実際上は安全です。
A.2. Cryptanalytic Attacks Against 3DES
A.2。 3DESに対するCryptanalytic攻撃
Unlike DES, there are only a few known cryptanalytic attacks against 3DES. Below, we describe those attacks that are currently discussed in the literature.
DESと異なって、ほんのいくつかの知られているcryptanalytic攻撃が3DESに反対しています。 以下で、私たちは現在文学で議論するそれらの攻撃について説明します。
A.2.1. Meet-In-The-Middle (MITM) Attacks
A.2.1。 中央で会っている(MITM)攻撃
The most commonly described 3DES attack is MITM, described in [HAC] and elsewhere. It works like this: take a ciphertext value 'C' (with corresponding known plaintext value 'p'), and compute the values of Cx = D_kx(C) for all possible (2^56) keys. Store each Cx,kx pair in a table indexed by Cx.
最も一般的に説明された3DES攻撃は[HAC]とほかの場所で説明されたMITMです。 それはこのように働いています: 暗号文値'C'(対応する知られている平文値'p'がある)を取ってください、そして、すべての(2^56)可能なキーのためにCx=D_kx(C)の値を計算してください。 Cxによって索引をつけられたテーブルに各Cx、kx組を格納してください。
Now, compute the values of Cy = D_ki(E_kj(p)) in a nested loop, as illustrated above in our brute-force exercise. For each Cy, do a lookup on the table of Cx's. For each match found, test the triple of keys. It is important to note that a match does not imply you have the right keys - you must test this against additional ciphertext/plaintext pairs to be certain (~3 pairs for a strong measure of certainty with 3DES). Ultimately, there will be exactly one correct key triplet.
今度は、上で私たちの馬鹿力運動で例証されるように入れ子にされた輪のサイ=D_気(E_kj(p))の値を計算してください。 各サイに関しては、Cxのテーブルでルックアップをしてください。 見つけられた各マッチがないかどうかキーの三重をテストしてください。 マッチが、あなたが右のキーを持っているのを含意しないことに注意するのは重要です--あなたは、確かになるように追加暗号文/平文組に対してこれをテストしなければなりません(~3、は確実性の強い基準のために3DESと対にされます)。 結局、1人の正しい主要な三つ子がまさにいるでしょう。
Note that computing the initial table of Cx,kx pairs requires 2^56 encryptions and 2^56 blocks of storage (about 576 gigabytes). Computing the lookup elements requires at most 2^112 cryptographic
Cxの初期のテーブルを計算して、kx組が2^56の暗号化と2^56ブロックの格納(およそ576のギガバイト)を必要とすることに注意してください。 ほとんどの2^112で暗号で要素が必要とするルックアップを計算します。
Kelly Informational [Page 23] RFC 4772 DES Security Implications December 2006
[23ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
operations (table lookups are negligible by comparison), and 2^111 operations on average. Lucks [LUCKS] has come up with optimizations that reduce this to about 2^108.
操作(索表は比較で取るにたらない)、および平均の2^111の操作。 つき[LUCKS]はこれをおよそ2^108に変える最適化を思いつきました。
3DES, even at a strength of 2^108, is still very strong. If we use our brute-force limits from above (15,625,000 blocks per second), this attack will take on the order of 6.586 x 10^17 years to carry out. Make the machine 1 million times faster, and you still need more than 658 BILLION years. We are probably safe from MITM attacks on 3DES for the foreseeable future.
2^108の強さでさえ、3DESはまだ非常に強いです。 私たちが上から(1秒あたり1562万5000ブロック)、この攻撃が行うために17年間6.586x10^の注文を帯びる馬鹿力限界を使用するなら。 マシンを100万倍より速くしてください。そうすれば、あなたはまだ658BILLION年以上を必要とします。 私たちは予見できる未来の3DESに対するMITM攻撃によってたぶん安全です。
A.2.2. Related Key Attacks
A.2.2。 関連主要な攻撃
For a detailed description of related key attacks against 3DES (and other algorithms), see [KELSEY]. In a nutshell, for this approach the attacker knows the encryption of given plaintext under the original key K, and some related keys K'_i. There are attacks where the attacker chooses how the key is to be changed, and attacks in which the difference is known, but not controlled, by the attacker.
3DES(そして、他のアルゴリズム)に対する関連する主要な攻撃の詳述に関しては、[ケルシー]を見てください。 'このアプローチによって、殻では、攻撃者はオリジナルの主要なKの下で与えられた平文の暗号化を知っています、そして、或るものはキーK'_iを関係づけました。 攻撃が攻撃者がキーがどう変えられることになっているか、そして、および違いが知られていますが、制御されない攻撃を選ぶところにあります、攻撃者で。
Here's how it works. Assume the following cryptographic relation:
ここに、どう働いているかがあります。 ↓これが暗号の関係であると仮定してください:
C = E_k3(D_k2(E_k1(p)))
CはE_k3と等しいです。(D_k2(E_k1(p)))
Then, the following defines the key relation:
次に、以下は主要な関係を定義します:
K = (k1,k2,k3) and K' = (k1 + d,k2,k3)
'K=(k1、k2、k3)とK'=(k1+d、k2、k3)
with d being a fixed constant. Knowing p and C, we need to decrypt C under K' as follows:
固定定数であるdで。 'pを知って、C、私たちは以下のK'の下でCを解読する必要があります:
Let kx = k1 + d (note: '+' represents xor)
kxをk1+dとの等しさにしてください。(注意: '+'はxorを表します)
and
そして
p' = D_kx(E_k1(p))
'p'はD_kxと等しいです。(E_k1(p))
Once we have p', we can find kx by exhaustively trying each key until we find a match (2^56 encryptions, worst case). Once we find kx, we can conduct a double-DES MITM attack to find k2 and k3, which requires between 2^56 and 2^72 trial offline encryptions.
'一度、私たちには、pがある'とき、私たちは、私たちが、マッチが(2つの^56暗号化、最も悪いケース)であることがわかるまで各キーを徹底的に試すことによって、kxを見つけることができます。 いったんkxを見つけると、私たちは、k2とk3を見つけるために二重DES MITM攻撃を行うことができます。(k3は2^56〜2^72のトライアルのオフライン暗号化を必要とします)。
From a practical standpoint, it's very important to recognize the "what-if" nature of this attack: the adversary must know the plaintext/ciphertext pair, he must be able to influence a subsequent encryption key in a highly controlled fashion (or at least, know
実用的な見地から、この攻撃の“what-if"本質を認識するのは非常に重要です: 敵が平文/暗号文組を知らなければならなくて、彼が非常に制御されたファッションで主要なその後の暗号化に影響を及ぼすことができなければならない、(少なくとも、知ってください。
Kelly Informational [Page 24] RFC 4772 DES Security Implications December 2006
[24ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
exactly how the key changes), and then have the cryptographic cooperation required to compute p'. This is clearly a very difficult attack in the real world.
'、キーはちょうどどう変化するか)、そして、暗号の協力を必要とさせて、p'を計算してください。 これは明確に本当の世界での非常に難しい攻撃です。
A.3. 3DES Block Size
A.3。 3DESブロック・サイズ
While the effective key length for 3DES is clearly much larger than for DES, the block size is, unfortunately, still only 64 bits. For CBC mode (the most commonly deployed mode in Internet security protocols), this means that, due to the birthday paradox, information about the plaintext begins to leak after around 2^32 blocks have been encrypted. For this reason, 3DES may not be the best choice for high-throughput links, or other high-density encryption applications. At minimum, care should be taken to refresh keys frequently enough to minimize ciphertext collisions in such scenarios.
3DESに、有効なキー長はDESよりはるかに明確に大きいのですが、それでも、残念ながら、ブロック・サイズは64ビットにすぎません。 CBCモード(インターネットセキュリティプロトコルの最も一般的に配備されたモード)のために、これは、誕生日のパラドックスのため、およそ2^32ブロックがコード化された後に、平文の情報が漏れ始めることを意味します。 この理由で、3DESは高生産性リンクのための最も良い選択、または他の高密度な暗号化アプリケーションでないかもしれません。 最小限では、そのようなシナリオにおける暗号文衝突を最小にすることができるくらいの頻繁にキーをリフレッシュするために注意するべきです。
Informative References
有益な参照
[AES] "The Advanced Encryption Standard", November 2001,
<http://csrc.nist.gov/publications/fips/fips197/
fips-197.pdf>.
[AES] 「エー・イー・エス」、2001年11月、<http://csrc.nist.gov/刊行物/fips/fips197/fips-197.pdf>。
[AES-NSA] "CNSS Policy No. 15, Fact Sheet No. 1", June 2003,
<http://csrc.nist.gov/cryptval/CNSS15FS.pdf>.
[AES-NSA] 「CNSS方針No.15、データ表No.1インチ2003年6月、<http://csrc.nist.gov/cryptval/CNSS15FS.pdf>。」
[BIH93] Biham, E. and A. Shamir, "Differential Cryptanalysis of
the Data Encryption Standard", 1993.
[BIH93]Biham、E.とA.シャミル、「データ暗号化規格の差分解読法」1993。
[BIH96] Biham, E., "How to Forge DES-Encrypted Messages in 2^28
Steps", 1996.
[BIH96]Biham、E.、「どう2^28ステップにおけるDES-暗号化メッセージを作り出します」1996の。
[BIH96-2] Biham, E. and A. Shamir, "A New Cryptanalytic Attack on
DES", 1996.
[BIH96-2] BihamとE.とA.シャミル、「DESに対する新しいCryptanalytic攻撃」1996。
[BLAZ96] Blaze, M., Diffie, W., Rivest, R., Schneier, B.,
Shimomura, T., Thompson, E., and M. Wiener, "Minimal Key
Lengths for Symmetric Ciphers to Provide Adequate
Commercial Security", January 1996.
[BLAZ96]は輝きます、M.、ディフィー、W.、Rivest、R.、シュナイアー、B.、Shimomura、T.、トンプソン、E.とM.ウインナソーセージ、「左右対称の暗号が適切な商業セキュリティを提供する最小量のキー長」1996年1月。
[BOT05] "Know Your Enemy: Tracking Botnets", March 2005,
<http://www.honeynet.org/papers/bots/>.
[BOT05] 「敵を知ってください」 「追跡Botnets」、2005年3月、<http://www.honeynet.org/papers/bots/>。
[CERT01] Ianelli, N. and A. Hackworth, "Botnets as a Vehicle for
Online Crime", December 2005,
<http://www.cert.org/archive/pdb/Botnets.pdf>.
[CERT01] IanelliとN.とA.ハックワース、「オンライン犯罪のための手段としてのBotnets」、2005年12月、<http://www.cert.org/アーカイブ/pdb/Botnets.pdf>。
[CURT05] Curtin, M., "Brute Force: Cracking the Data Encryption
Standard", 2005.
[CURT05] カーティン、M.、「獣は以下を強制します」。 2005の「データ暗号化規格を解きます」
Kelly Informational [Page 25] RFC 4772 DES Security Implications December 2006
[25ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
[CURT98] Curtin, M. and J. Dolske, "A Brute Force Search of DES
Keyspace", 1998,
<http://www.interhack.net/pubs/des-key-crack/>.
[CURT98] カーティンとM.とJ.Dolske、「DES Keyspaceの獣の力の検索」、1998、<のdesの主要なhttp://www.interhack.net/パブ/ひび/>。
[DES] "Data Encryption Standard", January 1977,
<http://www.nist.gov>.
[DES]「データ暗号化規格」、1977年1月、<http://www.nist.gov>。
[DH77] Hellman, M. and W. Diffie, "Exhaustive Cryptanalysis of
the NBS Data Encryption Standard", June 1977.
[DH77]ヘルマンとM.とW.ディフィー、「NBSデータ暗号化規格の徹底的な暗号文解読術」、1977年6月。
[DIST99] Press Release, distributed., "US GOVERNMENT'S ENCRYPTION
STANDARD BROKEN IN LESS THAN A DAY", 1999,
<http://www1.distributed.net/des/release-desiii.txt>.
分配されて、[DIST99]がReleaseを押す、「米国政府の1日未満で壊れている暗号化規格」、1999、<リリースhttp://www1.distributed.net/des/desiii.txt>。
[EFF98] EFF, "Cracking DES", July 1998.
[EFF98]効率、「分解DES」1998年7月。
[FBI01] "NIPC Advisory 01-003", March 2001,
<http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>.
[FBI01]、「NIPC状況報告、013インチ、2001年3月、<http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>、」
[FBI06] "FBI Webpage: Focus on Economic Espionage", January 2006,
<http://www.fbi.gov/hq/ci/economic.htm>.
[FBI06]、「FBIウェブページ:」 「経済スパイ活動での焦点」、2006年1月、<http://www.fbi.gov/hq/ci/economic.htm>。
[FERG03] Ferguson, N. and B. Schneier, "Practical Cryptography",
2003.
[FERG03] ファーガソンとN.とB.シュナイアー、「実際的な暗号」、2003
[FPL02] Koeune, F., Rouvroy, G., Standaert, F., Quisquater, J.,
David, J., and J. Legat, "An FPGA Implementation of the
Linear Cryptanalysis", FPL 2002, Volume 2438 of Lecture
Notes in Computer Science, pages 846-852, Spriger-Verlag,
September 2002.
[FPL02] コンピュータScience、846-852ページ、Spriger-Verlag(2002年9月)のクーヌ、F.、Rouvroy、G.、Standaert、F.、Quisquater、J.、デヴィッド、J.、およびJ.レガート、「線形解読法のFPGA実現」、FPL2002、Lecture NotesのVolume2438。
[HAC] Menezes, A., van Oorschot, P., and S. Vanstone, "Handbook
of Applied Cryptography", 1997.
[HAC]メネゼス、A.とバンOorschot、P.とS.Vanstone、「適用された暗号のハンドブック」1997。
[JAK97] Jakobsen, T. and L. Knudsen, "The Interpolation Attack on
Block Ciphers", 1997.
[JAK97] JakobsenとT.とL.クヌーセン、「ブロック暗号に対する挿入攻撃」1997。
[KELSEY] Kelsey, J., Schneier, B., and D. Wagner, "Key-Schedule
Cryptanalysis of 3-WAY, IDEA, G-DES, RC4, SAFER, and
Triple-DES", 1996.
[ケルシー]ケルシー、J.、シュナイアー、B.、およびD.ワグナー、「3ウェイの主要なスケジュール暗号文解読術、考え、G-デス、より安全で、三重のDESのRC4」1996。
[LUCKS] Lucks, S., "Attacking Triple Encryption", 1998.
[運よくうまくいきます] S. つき、「三重の暗号化を攻撃すること」での1998。
[MAT93] Matsui, M., "Linear Cryptanalysis Method for DES Cipher",
1993.
[MAT93] 松井、M.、「DES暗号のための線形解読法方法」、1993。
[NIST-TP] "DES Transition Plan", May 2005,
<http://csrc.nist.gov/cryptval/DESTranPlan.pdf>.
[NIST-TP]「DES変遷プラン」は2005、<http://csrc.nist.gov/cryptval/DESTranPlan.pdf>がそうするかもしれません。
Kelly Informational [Page 26] RFC 4772 DES Security Implications December 2006
[26ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
[NYSE1] "Extreme availability: New York Stock Exchange's new IT
infrastructure puts hand-held wireless terminals in
brokers' hands.", June 2005.
[NYSE1]、「極端な有用性:」 「ニューヨーク証券取引所の新しいITインフラストラクチャは携帯用の無線の端末をブローカーの手に入れる」、6月2005日
[RSA1] Press Release, RSA., "Team of Universities, Companies and
Individual Computer Users Linked Over the Internet Crack
RSA's 56-Bit DES Challenge", 1997, <http://
www.rsasecurity.com/press_release.asp?doc_id=661&id=1034>.
[RSA1]プレスRelease(RSA)、「大学チーム、会社、および個々のコンピュータユーザはインターネットの上でひびRSAの56ビットのDES挑戦をリンクしました」、1034<http://www.rsasecurity.com/プレス_release.asp?1997、doc_イド=661とイド=>。
[RSA2] Press Release, RSA., "RSA to Launch "DES Challenge II" at
Data Security Conference", 1998, <http://
www.rsasecurity.com/press_release.asp?doc_id=729&id=1034>.
[RSA2]がRelease、RSAを押す、「Data Securityコンファレンスで「DES挑戦II」を始めるRSA」、1998、<は_://www.rsasecurity.com/プレスrelease.aspをhttpします--1034doc_イド=729とイド=>。
[RSA3] Press Release, RSA., "Distributed Team Collaborates to
Solve Secret-Key Challenge", 1998, <http://
www.rsasecurity.com/press_release.asp?doc_id=558&id=1034>.
[RSA3]がRelease、RSAを押す、「分配されたチームは秘密鍵挑戦を解決するために共同する」1998、<は_://www.rsasecurity.com/プレスrelease.aspをhttpします--1034doc_イド=558とイド=>。
[RSA4] Press Release, RSA., "RSA to Launch DES Challenge III
Contest at 1999 Data Security Conference", 1998, <http://
www.rsasecurity.com/press_release.asp?doc_id=627&id=1034>.
[RSA4]がRelease、RSAを押す、「1999年のデータ機密保護コンファレンスでDES挑戦IIIコンテストを始めるRSA」、1998、<は_://www.rsasecurity.com/プレスrelease.aspをhttpします--1034doc_イド=627とイド=>。
[RSA5] Press Release, RSA., "RSA Code-Breaking Contest Again Won
by Distributed.Net and Electronic Frontier Foundation",
1999, <http://www.rsasecurity.com/
press_release.asp?doc_id=462&id=1034>.
[RSA5]はRelease、RSAを押します。<http://www.rsasecurity.com/プレス_release.asp?「RSAはDistributed.Netが再び優勝したコンテストと電子フロンティア財団をコードで壊す」1999、doc_イド=462とイドは1034>と等しいです。
[SCHN96] Schneier, B., "Applied Cryptography, Second Ed.", 1996.
[SCHN96]シュナイアー(B.)が「暗号、第2エドを適用した」、1996
[VA1] "Review of Issues Related to the Loss of VA Information
Involving the Identities of Millions of Veterans (Report
#06-02238-163)", July 2006, <http://www.va.gov/oig/51/
FY2006rpts/VAOIG-06-02238-163.pdf>.
[VA1] 「問題のレビューは何百万人ものベテラン(レポート#06-02238-163)のアイデンティティにかかわるヴァージニア情報の損失に関連しました」、2006年7月、<http://www.va.gov/oig/51/FY2006rpts/VAOIG-06-02238-163.pdf>。
[WIEN94] Wiener, M., "Efficient DES Key Search", August 1993.
[WIEN94] ウインナソーセージ、M.、「効率的なDES主要な検索」、1993年8月。
Author's Address
作者のアドレス
Scott G. Kelly Aruba Networks 1322 Crossman Ave Sunnyvale, CA 94089 US
スコット・G.ケリー・アルーバは米国で1322クロスマン・Aveサニーベル、カリフォルニア 94089をネットワークでつなぎます。
EMail: scott@hyperthought.com
メール: scott@hyperthought.com
Kelly Informational [Page 27] RFC 4772 DES Security Implications December 2006
[27ページ]RFC4772DESセキュリティ含意2006年12月の情報のケリー
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The IETF Trust (2006).
IETFが信じる著作権(C)(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST, AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれた情報はその人が代理をするか、または(もしあれば)後援される組織、インターネットの振興発展を目的とする組織、IETF信用、「そのままで」という基礎と貢献者の上で提供していて、そして、インターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、急行である、または暗示していて、他を含んでいて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるということであるかいずれが市場性か特定目的への適合性の黙示的な保証です。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実現に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するためのどんな独立している努力もしました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実行するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を記述してください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Kelly Informational [Page 28]
ケリーInformationalです。[28ページ]
一覧
スポンサーリンク
