Network Working Group S. Kelly
Request for Comments: 4772 Aruba Networks
Category: Informational December 2006
Security Implications of Using the Data Encryption Standard (DES)
データ暗号化規格を使用しての安全保障への影響(DES)
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2006).
著作権(C)IETFトラスト(2006)。
Abstract
抽象
The Data Encryption Standard (DES) is susceptible to brute-force attacks, which are well within the reach of a modestly financed adversary. As a result, DES has been deprecated, and replaced by the Advanced Encryption Standard (AES). Nonetheless, many applications continue to rely on DES for security, and designers and implementers continue to support it in new applications. While this is not always inappropriate, it frequently is. This note discusses DES security implications in detail, so that designers and implementers have all the information they need to make judicious decisions regarding its use.
データ暗号化標準(DES)が適度資金敵対者の手の届く範囲内であるブルートフォース攻撃を受けやすいです。その結果、DESは廃止されました、とのAdvanced Encryption Standard(AES)に置き換えられました。それにもかかわらず、多くのアプリケーションは、セキュリティのためDESに依存し続けると、デザイナーや実装は、新しいアプリケーションでそれをサポートし続けています。これは常に不適切ではないですが、それが頻繁にあります。設計者と実装者は、彼らがその使用に関して賢明な意思決定を行うために必要なすべての情報を持っているように、このノートでは、詳細にDESのセキュリティへの影響について説明します。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Executive Summary of Findings and Recommendations ..........4
1.1.1. Recommendation Summary ..............................4
2. Why Use Encryption? .............................................5
3. Real-World Applications and Threats .............................6
4. Attacking DES ...................................................8
4.1. Brute-Force Attacks ........................................9
4.1.1. Parallel and Distributed Attacks ...................10
4.2. Cryptanalytic Attacks .....................................10
4.3. Practical Considerations ..................................12
5. The EFF DES Cracker ............................................12
6. Other DES-Cracking Projects ....................................13
7. Building a DES Cracker Today ...................................14
7.1. FPGAs .....................................................15
7.2. ASICs .....................................................16
7.3. Distributed PCs ...........................................16
7.3.1. Willing Participants ...............................17
7.3.2. Spyware and Viruses and Botnets (oh my!) ...........18
8. Why is DES Still Used? .........................................19
9. Security Considerations ........................................20
10. Acknowledgements ..............................................21
Appendix A. What About 3DES? .....................................22
A.1. Brute-Force Attacks on 3DES ...............................22
A.2. Cryptanalytic Attacks Against 3DES ........................23
A.2.1. Meet-In-The-Middle (MITM) Attacks ..................23
A.2.2. Related Key Attacks ................................24
A.3. 3DES Block Size ...........................................25
Informative References ............................................25
The Data Encryption Standard [DES] is the first encryption algorithm approved by the U.S. government for public disclosure. Brute-force attacks became a subject of speculation immediately following the algorithm's release into the public sphere, and a number of researchers published discussions of attack feasibility and explicit brute-force attack methodologies, beginning with [DH77].
データ暗号化規格[DES]は情報公開のために米国政府によって承認された最初の暗号化アルゴリズムです。ブルートフォース攻撃は、公共圏へのアルゴリズムのリリース直後に投機の対象となった、と研究者の数は、[DH77]で始まる、攻撃の可能性と明示的なブルートフォース攻撃の方法論の議論を発表しました。
In the early to mid 1990s, numerous additional papers appeared, including Wiener's "Efficient DES Key Search" [WIEN94], and "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security" [BLAZ96]. While these and various other papers discussed the theoretical aspects of DES-cracking machinery, none described a specific implementation of such a machine. In 1998, the Electronic Frontier Foundation (EFF) went much further, actually building a device and freely publishing the implementation details for public review [EFF98].
1990年代半ばに早期に、多数の追加の論文は、[BLAZ96]「適切な商業セキュリティを提供するために、共通鍵暗号のための最小限のキーの長さ」ウィナー「の効率的なDES鍵の探索」[WIEN94]、および含め、登場しました。これらおよび種々の他の論文は、DES-クラッキング機械の理論的な態様を論じているが、いずれも、そのような機械の特定の実装を記載していません。 1998年には、電子フロンティア財団(EFF)は、実際にデバイスを構築し、自由に公開レビュー[EFF98]のための実装の詳細を公開、更に多く行ってきました。
Despite the fact that the EFF clearly demonstrated that DES could be brute-forced in an average of about 4.5 days with an investment of less than $250,000 in 1998, many continue to rely on this algorithm even now, more than 8 years later. Today, the landscape is significantly different: DES can be broken by a broad range of attackers using technologies that were not available in 1998, including cheap Field Programmable Gate Arrays (FPGAs) and botnets [BOT05]. These and other attack methodologies are described in detail below.
EFFは明らかにDESは1998年未満$ 250,000の投資で約4.5日間の平均でブルート強制することができることを実証しているという事実にもかかわらず、多くは8年以上後に、今でもこのアルゴリズムに依存し続けます。今日では、風景が大きく異なっている:DESは安価フィールドプログラマブルゲートアレイ(FPGA)およびボットネット[BOT05]を含む、1998年に利用できなかった技術を使用して攻撃者の幅広いによって破壊することができます。これらおよび他の攻撃方法は、以下に詳細に記載されています。
Given that the Advanced Encryption Standard [AES] has been approved by the U.S. government (under certain usage scenarios) for top-secret applications [AES-NSA], and that triple DES (3DES) is not susceptible to these same attacks, one might wonder: why even bother with DES anymore? Under more ideal circumstances, we might simply dispense with it, but unfortunately, this would not be so simple today. DES has been widely deployed since its release in the 1970s, and many systems rely on it today. Wholesale replacement of such systems would be very costly. A more realistic approach entails gradual replacement of these systems, and this implies a term of backward compatibility support of indefinite duration.
Advanced Encryption Standard [AES]極秘アプリケーション[AES-NSA]、およびそのトリプルDES(3DES)のために(特定の使用シナリオの下で)米国政府によって承認されているが、これらの同じ攻撃を受けない、1つのかもしれないことを考えます不思議:なぜも、もうDESでわざわざ?より理想的な状況下で、我々は単にそれを不要かもしれませんが、残念ながら、これは今日それほど単純ではないでしょう。 DESは広く1970年代に発売以来導入されており、多くのシステムは、今日、それに依存しています。このようなシステムの卸売交換は非常にコストがかかります。より現実的なアプローチは、これらのシステムの段階的な交換を必要とし、これは無期限の後方互換性のサポートの用語を意味しています。
In addition to backward compatibility, in isolated instances there may be other valid arguments for continued DES support. Still, reliance upon this deprecated algorithm is a serious error from a security design perspective in many cases. This note aims to clarify the security implications of this choice given the state of technology today, so that developers can make an informed decision as to whether or not to implement this algorithm.
下位互換性に加えて、分離されたインスタンスで引き続きDESをサポートするための他の有効な引数があるかもしれません。それでも、この非推奨アルゴリズムへの依存は、多くの場合、セキュリティ設計の観点から重大なエラーです。このノートでは、開発者が、このアルゴリズムを実装するか否かの情報に基づいた意思決定を行うことができるように、今日の技術の状態を与えられたこの選択のセキュリティへの影響を明らかにすることを目指しています。
For many years now, DES usage has been actively discouraged by the security area of the IETF, but we nevertheless continue to see it in use. Given that there are widely published accounts of real attacks and that we have been vocally discouraging its use, a question arises: why aren't people listening? We can only speculate, but one possibility is that they simply do not understand the extent to which DES has been marginalized by advancing cryptographic science and technology. Another possibility is that we have not yet been appropriately explicit and aggressive about this. With these particular possibilities in mind, this note sets out to dispel any remaining illusions.
今何年もの間、DESの使用を積極的にIETFのセキュリティエリアによって落胆されてきたが、我々はそれにもかかわらず、使用中にそれを見続けます。実際の攻撃の広く公表されたアカウントがあることを考えると、私たちは声に出してその使用を落胆されていること、疑問が生じる:なぜ人々は聞いていないですか?私たちは推測することができますが、一つの可能性は、彼らは単にDES暗号科学技術を前進させることにより、疎外された程度を理解していないということです。別の可能性は、我々はまだこの件について適切に明示的かつ積極的にされていないということです。念頭に置いて、これらの特定の可能性を、このノートは残っている幻想を払拭するために着手しました。
The depth of background knowledge required to truly understand and fully appreciate the security risks of using DES today is somewhat daunting, and an extensive survey of the literature suggests that there are very few published materials encompassing more than a fraction of the considerations all in one place, with [CURT05] being one notable exception. However, even that work does not gather all of the pieces in such a way as to inform an implementer of the current real-world risks, so here we try to fill in any remaining gaps.
真に理解し、完全に今日DESを使用してのセキュリティリスクを鑑賞するために必要な背景知識の深さはやや困難なあり、そして文学の大規模な調査はすべて一箇所に配慮の割合以上を網羅する非常に少数の出版物があることを示唆しています[CURT05]一つの注目すべき例外であると。しかし、その作業は現在、現実世界のリスクの実装者に通知するように作品のすべてを収集していないので、ここで我々は残りのギャップを埋めるためにしてみてください。
For convenience, the next section contains a brief summary of recommendations. If you don't know the IETF's current position on DES, and all you want is a summary, you may be content to simply read the recommendation summary section, and skip the rest of the document. If you want a more detailed look at the history and current state-of-the-art with respect to attacking DES, you will find that in subsequent sections.
便宜上、次のセクションでは、勧告の概要が含まれています。あなたはDESにIETFの現在の位置を知らない、とあなたが望むすべてが要約されている場合は、単に勧告の概要のセクションを読んで、そしてドキュメントの残りの部分をスキップするコンテンツかもしれません。あなたが歴史と現在の最先端のDESを攻撃に関してのより詳細な外観をしたい場合は、後続のセクションでそれを見つけるでしょう。
There are several ways to attack a cryptographic algorithm, from simple brute force (trying each key until you find the right one) to more subtle cryptanalytic approaches, which take into account the internal structure of the cipher. As noted in the introduction, a dedicated system capable of brute-forcing DES keys in less than 5 days was created in 1998. Current "Moore's Law" estimates suggest that a similar machine could be built today for around $15,000 or less, and for the cost of the original system (~$250,000) we could probably build a machine capable of cracking DES keys in a few hours.
アカウントに暗号の内部構造を取るより微妙な暗号解読のアプローチ、との単純なブルートフォースから、暗号アルゴリズムを攻撃するには、いくつかの方法があります(あなたは正しいものを見つけるまで、各キーをしようとして)。冒頭で述べたように、5日未満でブルート強制DES鍵のできる専用システムは、1998年に作成された現行の「ムーアの法則」の推定値は、同様の機械が約$ 15,000以下のため、そして今日に構築することができることを示唆私たちは、おそらく数時間でDES鍵をクラックできるマシンを構築することができ、元のシステム(〜$ 250,000)の費用。
Additionally, there have been a number of successful distributed attacks on DES [CURT05], and with the recent arrival of botnets [BOT05], these results are all the more onerous. Furthermore, there are a number of cryptanalytic attacks against DES, and while some of these remain purely theoretical in nature at present, at least one was recently implemented using a FPGA that can deduce a DES key in 12-15 hours [FPL02]. Clearly, DES cannot be considered a "strong" cryptographic algorithm by today's standards.
また、[BOT05] [CURT05] DESに成功した分散型攻撃の数があった、とボットネットの最近の到着と、これらの結果は、すべてのより厄介です。また、DESに対する暗号解析攻撃の数があり、これらのいくつかは現在、自然界で純粋に理論的なままで、少なくとも一つは、最近12〜15時間【FPL02]でDES鍵を推測することができるFPGAを用いて実現しました。明らかに、DESは、今日の基準で「強い」暗号アルゴリズムと考えることはできません。
To summarize current recommendations on using DES, the simple answer is "don't use it - it's not safe." While there may be use cases for which the security of DES would be sufficient, it typically requires a security expert to determine when this is true. Also, there are much more secure algorithms available today (e.g., 3DES, AES) that are much safer choices. The only general case in which DES should still be supported is when it is strictly required for backward compatibility, and when the cost of upgrading outweighs the risk of exposure. However, even in these cases, recommendations should probably be made to phase out such systems.
DESを使用して、現在の勧告を要約すると、簡単な答えは「それを使用しないでください - それは安全ではないのです。」 DESの安全性が十分であろうそのために使用例があるかもしれませんが、それは一般的に、これが真であるときを決定するために、セキュリティの専門家が必要です。また、本日より安全なアルゴリズム利用可能である(例えば、3DES、AES)より安全な選択肢です。 DESはまだサポートされるべき唯一の一般的なケースは、それが厳密に下位互換性のために必要とされている場合で、かつときの露出の危険性を上回るアップグレードのコスト。しかし、これらの例では、勧告は、おそらくこのようなシステムを段階的になされるべきです。
If you are simply interested in the current recommendations, there you have it: don't use DES. If you are interested in understanding how we arrive at this conclusion, read on.
あなたが現在の推奨では、単純に興味がある場合は、そこにあなたはそれを持っている:DESを使用しないでください。あなたは私たちがこの結論に達する方法を理解することに興味がある場合は、お読みください。
In order to assess the security implications of using DES, it is useful and informative to review the basic rationale for using encryption. In general, we encrypt information because we desire confidentiality. That is, we want to limit access to information, to keep something private or secret. In some cases, we want to share the information within a limited group, and in other cases, we may want to be the sole owner of the information in question.
DESを使用してのセキュリティへの影響を評価するためには、暗号化を使用するための基本的な理論的根拠を確認するために便利で有益です。私たちは、機密性を望んでいるため、一般的に、我々は情報を暗号化します。つまり、私たちは、情報へのアクセスを制限するためにプライベートまたは秘密の何かを維持したいです。いくつかのケースでは、我々は限られたグループ内で情報を共有したい、それ以外の場合には、当社は、当該情報の唯一の所有者になりたいことがあります。
Sometimes, the information we want to protect has value only to the individual (e.g., a diary), and a loss of confidentiality, while potentially damaging in some limited ways, would typically not be catastrophic. In other cases, the information might have significant financial implications (e.g., a company's strategic marketing plan). And in yet others, lives could be at stake.
時々、私たちが保護したい情報は、潜在的にいくつかの限定された形でダメージを与える一方で、一般的に壊滅的ではないであろう、個人だけ(例えば、日記)、および機密性の損失に値を持っています。他の例では、情報が重要な財務的影響(例えば、企業の戦略的なマーケティングプランを)持っているかもしれません。そして、まだ他の人には、命が危機に瀕して可能性があります。
In order to gauge our confidentiality requirements in terms of encryption strength, we must assess the value of the information we are trying to protect, both to us and to a potential attacker. There are various metrics we can employ for this purpose:
暗号強度の点で私たちの機密性の要件を測るために、私たちは私たちにし、潜在的な攻撃者に両方、保護しようとしている情報の価値を評価しなければなりません。私たちは、この目的のために使用することができ、様々な指標があります。
o Cost of confidentiality loss: What could we lose if an adversary were to discover our secret? This gives some measure of how much effort we should be willing to expend to protect the secret.
機密性の損失のOコスト:敵は私たちの秘密を発見した場合私たちは失うだろうか?これは、私たちが秘密を守るために費やすことをいとわないする必要がありますどのくらいの努力のいくつかの尺度を与えます。
o Value to adversary: What does the attacker have to gain by discovering our secret? This gives some measure of how much an adversary might reasonably be willing to spend to learn the secret.
攻撃者は私たちの秘密を発見することで獲得する必要がないもの:敵にO値?これは、敵対者が合理的に秘密を学ぶために費やすことをいとわないかもしれませんどのくらいのいくつかの尺度を与えます。
o Window of opportunity: How long does the information have value to an adversary? This gives some measure of how acceptable a weakness might be. For example, if the information is valuable to an attacker for months and it takes only days to break the encryption, we probably need much stronger encryption. On the other hand, if the window of opportunity is measured in seconds, then an encryption algorithm that takes days to break may be acceptable.
Oの機会の窓:どのくらいの情報が敵に価値がありますか?これは弱点があるかもしれないどのように許容可能ないくつかの尺度を与えます。情報は数ヶ月のために、攻撃者に貴重であり、それは暗号を破るためだけに日かかる場合たとえば、私たちは、おそらくはるかに強い暗号化が必要です。機会の窓は秒単位で測定された場合に、その後、破るために日かかる暗号化アルゴリズムは、許容可能です。
There are certainly other factors we would consider in conducting a comprehensive security analysis, but these are enough to give a general sense of important questions to answer when evaluating DES as a candidate encryption algorithm.
そこ私たちは総合的なセキュリティ分析を行う上で検討する他の要因は確かにあるが、これらは、候補暗号化アルゴリズムとしてDESを評価するときに答えるために重要な問題の一般的な意味を与えるのに十分です。
Numerous commonly used applications rely on encryption for confidentiality in today's Internet. To evaluate the sufficiency of a given cryptographic algorithm in this context, we should begin by asking some basic questions: what are the real-world risks to these applications, i.e., how likely is it that an application might actually be attacked, and by whom, and for what reasons?
多くの一般的に使用されるアプリケーションは、今日のインターネットでの機密保持のための暗号化に依存しています。この文脈で与えられた暗号アルゴリズムの十分性を評価するために、我々はいくつかの基本的な質問をすることから始めなければならない:誰によって、現実の世界は、これらのアプリケーションへのリスクが何であるか、すなわち、それをどのように可能性の高いアプリケーションが実際に攻撃を受ける可能性があること、および、そしてどのような理由のために?
While it is difficult to come up with one-size-fits-all answers based on general application descriptions, we can easily get some sense of the relative threat to many of these applications. It is important to note that what follows is not an exhaustive enumeration of all likely threats and attacks, but rather, a sampling that illustrates that real threats are more prevalent than intuition might suggest.
それは一般的なアプリケーションの記述に基づいて、フリーサイズの答えを思い付くことは困難ですが、我々は簡単にこれらのアプリケーションの多くに対する脅威のいくつかの意味を得ることができます。次にくるものが、すべての可能性の脅威や攻撃の網羅的な列挙ではなく、本当の脅威は直感が示唆する以上に普及していることを示しているサンプリングではないことに注意することが重要です。
Here are some examples of common applications and related threats:
ここでは一般的なアプリケーションや関連の脅威のいくつかの例は以下のとおりです。
o Site-to-site VPNs: Often, these are used to connect geographically separate corporate offices. Data traversing such links is often business critical, and sometimes highly confidential. The FBI estimates that every year, billions of U.S. dollars are lost to foreign competitors who deliberately target economic intelligence in U.S. industry and technologies [FBI06]. Searching for 'corporate espionage' in Google yields many interesting links, some of which indicate that foreign competitors are not the only threat to U.S. businesses. Obviously, this threat can be generalized to include businesses of any nationality.
Oサイト間VPNは:多くの場合、これらは、地理的に別々の企業のオフィスを接続するために使用されています。このようなリンクを通過するデータは、多くの場合、ビジネスクリティカルな、そして時には機密性の高いです。 FBIは毎年、米国の数十億ドルが意図的に米国の産業や技術[FBI06]の経済インテリジェンスをターゲットと外国の競争相手に失われていると推定しています。グーグルで「企業スパイ活動」を検索する外国の競争相手は、米国企業への唯一の脅威ではないことを示しているそのうちのいくつかは、多くの興味深いリンクを、得られます。明らかに、この脅威は、あらゆる国籍の事業を含むように一般化することができます。
o Remote network access for business: See previous item.
ビジネスのためのOのリモートネットワークアクセス:前の項目を参照してください。
o Webmail/email encryption: See Site-to-site VPNs.
O Webメール/メールの暗号化:サイトツーサイトVPNを参照してください。
o Online banking: Currently, the most common threat to online banking is in the form of "phishing", which does not rely on breaking session encryption, but instead relies on tricking users into providing their account information. In general, direct attacks on session encryption for this application do not scale well. However, if a particular bank were known to use a weak encryption algorithm for session security, it might become worthwhile to develop a broader attack against that bank. Given that organized criminal elements have been found behind many phishing attacks, it is not difficult to imagine such scenarios.
Oオンラインバンキングは現在、オンラインバンキングへの最も一般的な脅威は、セッションの暗号化を破るに頼らない「フィッシング」の形であるが、代わりに自分のアカウント情報を提供するにユーザーをだましに依存しています。一般的には、このアプリケーションのセッションの暗号化に直接的な攻撃はうまくスケールしません。特定のバンクがセッションのセキュリティのために、弱い暗号化アルゴリズムを使用することが知られていた場合は、その銀行に対するより広範な攻撃を展開する価値になる可能性があります。組織的な犯罪の要素は多くのフィッシング攻撃の背後に発見されていることを考えると、そのようなシナリオを想像するのは難しいことではありません。
o Electronic funds transfers (EFTs): The ability to replay or otherwise modify legitimate EFTs has obvious financial incentives (and implications). Also, an industrial spy might see a great deal of intelligence value in the financial transactions of a target company.
電子資金振替(EFTS)O:再生またはその他の合法的なEFTSを変更する機能は、明らかに金銭的なインセンティブ(と意味)があります。また、産業スパイは、対象会社の金融取引における諜報値が大量に表示される場合があります。
o Online purchases (E-commerce): The FBI has investigated a number of organized attacks on e-commerce applications [FBI01]. If an attacker has the ability to monitor e-commerce traffic directed to a large merchant that relies on weak encryption, the attacker could harvest a great deal of consumer credit information. This is the sort of data "phishers" currently harvest on a much smaller scale, so one can easily imagine the value of such a target.
Oオンライン購入(Eコマース):米連邦捜査局(FBI)は[FBI01]電子商取引アプリケーション上の組織的攻撃の数を調査しました。攻撃者が脆弱な暗号化に依存している大商人に向けEコマースのトラフィックを監視する能力を持っている場合、攻撃者は、消費者の信用情報を大量に収穫できました。これは、1つは簡単に、このような目標の値を想像できるように、「フィッシング」は現在、はるかに小さい規模で収穫データの一種です。
o Internet-based VoIP applications (e.g., Skype): While many uses of this technology are innocuous (e.g., long distance calls to family members), VoIP technology is also used for business purposes (see discussion of FBI estimates regarding corporate espionage above).
インターネットベースのVoIPアプリケーション(例えば、スカイプ)O:この技術の多くの用途(例えば、長い距離は、家族への呼び出し)無害ですが、VoIP技術は、ビジネス目的でも使用されている(上記の企業スパイ活動に関するFBI推定値の説明を参照してください) 。
o Cellular telephony: Cell phones are very common, and are frequently used for confidential conversations in business, medicine, law enforcement, and other applications.
O携帯電話:携帯電話は非常に一般的であり、頻繁に機密ビジネスでの会話、医学、法執行機関、および他の用途に使用されています。
o Wireless LAN: Wireless technology is used by many businesses, including the New York Stock Exchange [NYSE1]. The financial incentives for an attacker are significant in some cases.
無線LAN○:ワイヤレス技術は、ニューヨーク証券取引所[NYSE1]を含む多くの企業で使用されています。攻撃者のための金銭的インセンティブは、いくつかのケースでは重要です。
o Personal communications (e.g., secure instant messaging): Such communication may be used for corporate communications (see industrial espionage discussion above), and may also be used for financial applications such as stock/securities trading. This has both corporate/industrial espionage and financial implications.
Oパーソナル通信(例えば、インスタントメッセージングを確保):このような通信は(上記の産業スパイの議論を参照)コーポレートコミュニケーションのために使用することができ、また、株式/証券取引などの金融アプリケーションのために使用することができます。これは、企業/産業スパイおよび財務的影響の両方を持っています。
o Laptop hard-drive encryption: See discussion on corporate/ industrial espionage above. Also, consider that stolen and lost laptops have been cited for some of the more significant losses of control over sensitive personal information in recent years, notably the Veterans Affairs data loss [VA1].
Oノートパソコンのハードドライブの暗号化:上記の企業/産業スパイの説明を参照してください。また、特に退役軍人のデータ損失[VA1]、近年の重要な個人情報をコントロールのより大きな損失のいくつかのために引用されていることを盗まれたと失われたラップトップを考えます。
There are real-world threats to everyday encryption applications, some of which could be very lucrative to an attacker (and by extension, very costly to the victim). It is important to note that if some of these attacks are infrequent today, it is precisely because the threats are recognized, and appropriately strong cryptographic algorithms are used. If "weak" cryptographic algorithms were to be used instead, the implications are indeed thought-provoking.
(被害者に非常にコストがかかり、拡張することにより、)攻撃者に非常に有利な可能性があり、そのいくつかの日常の暗号化アプリケーションに実世界の脅威があります。これらの攻撃のいくつかは、今日まれであれば、それは脅威を認識しているため、正確で、かつ適切に強力な暗号化アルゴリズムが使用されていることに注意することが重要です。 「弱い」暗号化アルゴリズムが代わりに使用された場合は、意味合いは確かに考えさせています。
In keeping with the objectives of this document, it is important to note that the U.S. government has never approved the use of DES for anything but unclassified applications. While DES is still approved for unclassified uses until May 19, 2007, the U.S. government clearly sees the need to move to higher ground. For details on the National Institute of Standards and Technology (NIST) DES Transition plan, see [NIST-TP]. Despite this fact, DES is still sometimes chosen to protect some of the applications described above. Below, we discuss why this should, in many cases, be remedied.
このドキュメントの目的に合わせて、米国政府が分類されていないアプリケーションが、何のためのDESの使用を承認したことはないことに注意することが重要です。 DESはまだ2007年5月19日まで分類されていない用途のために承認されているが、米政府は明らかに高台に移動する必要性を見ています。アメリカ国立標準技術研究所(NIST)DESの移行計画の詳細については、[NIST-TP]を参照してください。この事実にもかかわらず、DESはまだ時々、上記のアプリケーションの一部を保護するために選択されています。以下に、私たちは、これは、多くの場合、改善されなければならない理由について話し合います。
DES is a 64-bit block cipher having a key size of 56 bits. The key actually has 64 bits (matching the block size), but 1 bit in each byte has been designated a 'parity' bit, and is not used for cryptographic purposes. For a full discussion of the history of DES along with an accessible description of the algorithm, see [SCHN96].
DESは56ビットのキーサイズを有する64ビットのブロック暗号です。キーは、実際には64ビット(ブロックサイズと一致する)を有するが、各バイトの1ビットは、「パリティ」ビットを指定された、暗号目的のために使用されていません。アルゴリズムのアクセス可能な説明とともに、DESの歴史の完全な議論については、[SCHN96]を参照してください。
A detailed description of the various types of attacks on cryptographic algorithms is beyond the scope of this document, but for clarity, we provide the following brief descriptions. There are two general aspects of attacks we must consider: the form of the inputs/outputs along with how we might influence them, and the internal function of the cryptographic operations themselves.
暗号アルゴリズムへの攻撃の様々なタイプの詳細な説明は、このドキュメントの範囲を超えていますが、わかりやすくするために、我々は以下の簡単な説明を提供しています。我々は彼らに影響を与える可能性があるかと一緒に入力/出力の形式、および暗号化操作自身の内部機能:我々は考慮しなければならない攻撃の二つの一般的な側面があります。
In terms of input/output form, some of the more commonly discussed attack characteristics include the following:
入力/出力形式の点で、より一般的に論じた攻撃の特性のいくつかは、以下を含みます:
o known plaintext - the attacker knows some of the plaintext corresponding to some of the ciphertext
O知られている平文 - 攻撃者が暗号文の一部に対応する平文のいくつかを知っています
o ciphertext-only - only ciphertext is available to the attacker, who has little or no information about the plaintext
O暗号文のみ - のみの暗号文が平文についてはほとんどあるいは全く情報を持っている攻撃者に利用可能です
o chosen plaintext - the attacker can choose which plaintext is encrypted, and obtain the corresponding ciphertext
O選択平文 - 攻撃者は、暗号化された平文を選択し、対応する暗号文を取得することができます
o birthday attacks - relies on the fact that for N elements, collisions can be expected in ~sqrt(N) randomly chosen samples; for systems using CBC mode with random Initialization Vectors (IVs), ciphertext collisions can be expected in about 2^28 samples. Such collisions leak information about the corresponding plaintexts: if the same cryptographic key is used, then the xor of the IVs is equal to the xor of the plaintexts.
誕生日攻撃O - N要素のために、衝突は〜のSQRT(N)ランダムに選ばれたサンプルに期待することができるという事実に依存しています。ランダムな初期化ベクトル(IV)を用いてCBCモードを使用するシステムでは、暗号文の衝突は約2 ^ 28サンプルに期待することができます。そのような衝突は、対応する平文に関する情報を漏洩:同じ暗号鍵が使用される場合、その後のIVのXORが平文の排他的論理和に等しいです。
o meet-in-the-middle attacks - leverages birthday characteristic to precompute potential key collision values
O満たす-in-the-middle攻撃 - 潜在的なキーの衝突値を事前計算するために誕生日の特性を活用
Due to the limited scope of this document, these are very brief descriptions of very complex subject matter. For more detailed discussions on these and many related topics, see [SCHN96], [HAC], or [FERG03].
これによって文書の限られた範囲には、これらは非常に複雑な主題の非常に簡単な説明です。これらの詳細な議論と多くの関連トピックについては、[SCHN96]、[HAC]、または[FERG03]を参照してください。
As for attack characteristics relating to the operational aspects of cipher algorithms, there are essentially two broad classes we consider: cryptanalytic attacks, which exploit some internal structure or function of the cipher algorithm, and brute-force attacks, in which the attacker systematically tries keys until the right one is found. These could alternatively be referred to as white box and black box attacks, respectively. These are discussed further below.
暗号解読暗号アルゴリズムのいくつかの内部構造や機能を悪用した攻撃と、ブルートフォース攻撃、攻撃者が体系的にキーをしようとしている:暗号アルゴリズムの運用面に関する攻撃の特性については、私たちが考える二つの広いクラスは基本的にあります正しいものが見つかるまで。これらは、代わりに、それぞれ、ホワイトボックスとブラックボックス攻撃と呼ぶことができます。これらは、以下でさらに議論されています。
In general, a brute-force attack consists of trying each possible key until the correct key is found. In the worst case, this will require 2^n steps for a key size of n bits, and on average, it will require 2^n-1 steps. For DES, this implies 2^56 encryption operations in the worst case, and 2^55 encryption operations on average, if we assume no shortcuts exist. As it turns out, the complementation property of DES provides an attack that yields a reduction by a factor of 2 for a chosen plaintext attack, so this attack requires an average of 2^54 encryption operations.
一般的には、ブルートフォース攻撃は、正しいキーが見つかるまで、各可能なキーをしようとして構成されています。最悪の場合、これは、nビットの鍵サイズに対して2 ^ n個のステップを必要とするであろう、そして平均して、それが2 ^ n-1個のステップを必要とします。私たちは何のショートカットが存在しないと仮定した場合、DESの場合、これは、平均的には最悪のケースでは2 ^ 56暗号化操作、および2 ^ 55暗号化操作を意味します。結局のところ、DESの相補性は、選択平文攻撃の2倍の減少をもたらす攻撃を提供するので、この攻撃は2 ^ 54暗号化操作の平均値を必要とします。
Above, we refer to 2^n 'steps'; note that what a 'step' entails depends to some extent on the first attack aspect described above, i.e., what influence and knowledge we have with respect to input/ output forms. Remember, in the worst case, we will be performing 72,057,594,037,927,936 -- over 72 quadrillion -- of these 'steps'. In the most difficult case, we have ciphertext only, and no knowledge of the input, and this is very important.
上記、我々は2 ^ n「の手順」を参照します。何ステップ 'が必要とする我々は、入力/出力形態に関して有する即ち、どのような影響や知識、上述した第1の攻撃の側面にある程度依存することに注意してください。 72兆の上に - - これらの「手順」の最悪の場合には、我々は72,057,594,037,927,936を実行されます、覚えておいてください。最も困難なケースでは、我々は唯一の暗号文、および入力の知識を持っており、これは非常に重要です。
If the input is effectively random, we cannot tell by simply looking at a decrypted block whether we've succeeded or not. We may have to resort to other potentially expensive computation to make this determination. While the effect of any additional computation will be linear across all keys, repeating a large amount of added computation up to 72 quadrillion times could have a significant impact on the cost of a brute-force attack against the algorithm. For example, if it takes 1 additional microsecond per computation, this will add almost 101 days to our worst-case search time, assuming a serial key search.
入力が効果的にランダムであるならば、我々は成功したかいませんでしたか、単純に復号化されたブロックを見て、言うことができません。私たちは、この決意をするために、他の潜在的に高価な計算に頼る必要があります。任意の追加の計算の効果は72兆回まで添加演算を大量に繰り返し、すべてのキーを横切って直線的であろうが、アルゴリズムに対するブルートフォース攻撃のコストに大きな影響を与える可能性があります。それは、計算ごとにさらに1マイクロ秒を要した場合、これはシリアルキー検索を想定し、私たちの最悪の場合の検索時間にほぼ101日を追加します。
On the other hand, if we can control the input to the encryption function (known plaintext), we know precisely what to expect from the decryption function, so detecting that we've found the key is straightforward. Alternatively, even if we don't know the exact input, if we know something about it (e.g., that it's ASCII), with limited additional computation we can infer that we've most likely found a key. Obviously, which of these conditions holds may significantly influence attack time.
私たちは、暗号化機能(既知平文)への入力を制御することができます一方、私たちは、私たちは鍵が簡単です発見したことを検出し、復号機能に期待し、正確に知っています。私たちは、正確な入力が分からない場合でも、我々はそれについて何かを知っていれば別の方法として、(例えば、それはASCIIだということ)、限定された追加の計算で、我々は我々が最も可能性の高いキーを見つけたことを推測することができます。もちろん、これらの条件のどれが大幅にアタックタイムに影響を与える可能性が保持しています。
Given that a brute-force attack involves systematically trying keys until we find the right one, it is obviously a good candidate for parallelization. If we have N processors, we can find the key roughly N times faster than if we have only 1 processor. This requires some sort of centralized control entity that distributes the work and monitors the search process, but is quite straightforward to implement.
ブルートフォース攻撃は、我々は正しいものを見つけるまで、体系的にキーをしようとして関与していることを考えると、それは明らかに並列化のための良い候補です。我々はN個のプロセッサを使用している場合、我々はおおよそのN倍高速我々は唯一の1プロセッサを持っている場合よりも鍵を見つけることができます。これは仕事を配布し、検索プロセスを監視する集中制御エンティティのいくつかの並べ替えを必要としますが、実装が非常に簡単です。
There are at least two approaches to parallelization of a brute-force attack on a block cipher: the first is to build specialized high-speed hardware that can rapidly cycle through keys while performing the cryptographic and comparison operations, and then replicate that hardware many times, while providing for centralized control. The second involves using many copies of general purpose hardware (e.g., a PC), and distributing the load across these while placing them under the control of one or more central systems. Both of these approaches are discussed further in sections 5 and 6.
ブロック暗号のブルートフォース攻撃の並列化に少なくとも2つのアプローチがあります:最初は急速サイクルキーによる暗号と比較演算を実行することができますが、特殊な高速ハードウェアを構築し、そのハードウェアを何度も複製することです、集中制御を提供します。第二は、汎用ハードウェア(例えば、PC)の多くのコピーを使用して、1つの以上の中央システムの制御下に配置しながら、これらの間で負荷を分散することを含みます。これらのアプローチの両方は、セクション5及び6でさらに議論されています。
Brute-force attacks are so named because they don't require much intelligence in the attack process -- they simply try one key after the other, with little or no intelligent keyspace pruning. Cryptanalytic attacks, on the other hand, rely on application of some intelligence ahead of time, and by doing so, provide for a significant reduction of the search space.
彼らは攻撃の過程で多くの知性を必要としないので、ブルートフォース攻撃は、そのように命名されている - 彼らは単にほとんど、あるいはまったくインテリジェントキースペースの剪定で、他の後に一つのキーを試してみてください。暗号解読の攻撃は、他の一方で、事前にいくつかのインテリジェンスのアプリケーションに依存し、そうすることによって、探索空間の大幅な削減を提供します。
While an in-depth discussion of cryptanalytic techniques and the resulting attacks is well beyond the scope of this document, it is important to briefly touch on this area in order to set the stage for subsequent discussion. It is also important to note that, in general, cryptanalysis can be applied to any cryptographic algorithm with varying degrees of success. However, we confine ourselves here to discussing specific results with respect to DES.
暗号解読技術、そして得られた攻撃の詳細な議論は十分にこの文書の範囲外ですが、簡単に、その後の議論のための段階を設定するために、この領域に触れることが重要です。一般的には、暗号解読が成功の程度が異なる任意の暗号アルゴリズムに適用することができ、ことに注意することも重要です。しかし、我々はDESに対して特定の結果を議論するためにここに自分自身を閉じ込めます。
Here is a very brief summary of the currently known cryptanalytic attacks on DES:
ここではDESで現在知られている暗号解析攻撃の非常に簡潔な概要は次のとおりです。
o Differential Cryptanalysis - First discussed by Biham and Shamir, this technique (putting it very simply) analyzes how differences in plaintext correspond to differences in ciphertext. For more detail, see [BIH93].
O差分解読法 - まずBihamとシャミール、この技術によって議論さ(非常に簡単にそれを置く)は、平文の差が暗号文の違いに対応してどのように分析します。詳細については、[BIH93]を参照してください。
o Linear Cryptanalysis - First described by Matsui, this technique uses linear approximations to describe the internal functions of DES. For more detail, see [MAT93].
O線形解読法 - まず松井によって記述は、この技術は、DESの内部機能を説明するために、線形近似を用いています。詳細については、[MAT93]を参照してください。
o Interpolation Attack - This technique represents the S-boxes of DES with algebraic functions, and then estimates the coefficients of the functions. For more information, see [JAK97].
O補間攻撃 - この手法は、代数関数とDESのS箱を表し、そして次に関数の係数を推定します。詳細については、[JAK97]を参照してください。
o Key Collision Attack - This technique exploits the birthday paradox to produce key collisions [BIH96].
Oキー衝突攻撃 - この手法は、[BIH96]キーの衝突を生成するために、誕生日のパラドックスを利用します。
o Differential Fault Analysis - This attack exploits the electrical characteristics of the encryption device, selectively inducing faults and comparing the results with uninfluenced outputs. For more information, see [BIH96-2].
O差動故障解析 - この攻撃は、選択的に障害を誘導し、影響を受けない出力で結果を比較すると、暗号化装置の電気的特性を利用します。詳細については、[BIH96-2]を参照してください。
Currently, the best publicly known cryptanalytic attacks on DES are linear and differential cryptanalysis. These attacks are not generally considered practical, as they require 2^43 and 2^47 known plaintext/ciphertext pairs, respectively. To get a feel for what this means in practical terms, consider the following:
現在、DESで最高の公知の暗号解読攻撃は線形と差分解読法です。彼らはそれぞれ、2 ^ 43と2 ^ 47の既知平文/暗号文ペアを必要とするこれらの攻撃は、一般的に、実用的とは見なされません。これは実用的に何を意味するかの感触を取得するには、次の点を考慮します。
o For linear cryptanalysis (the more efficient of the two attacks), the attacker must pre-compute and store 2^43 ciphertexts; this requires 8,796,093,022,208 (almost 9 trillion) encryption operations.
O線形解読法(二攻撃のより効率的な)、攻撃者がしなければならない事前計算および格納2 ^ 43の暗号文について。これは8,796,093,022,208(ほとんど9000000000000)暗号化操作を必要とします。
o Each ciphertext block is 8 bytes, so the total required storage is 70,368,744,177,664 bytes, or about 70,369 gigabytes of storage. If the plaintext blocks cannot be automatically derived, they too must be stored, potentially doubling the storage requirements.
各暗号文ブロックO 8バイトであるので、総要求ストレージ70,368,744,177,664バイト、又は貯蔵の約70369ギガバイトです。平文ブロックが自動的に導出することができない場合、彼らはあまりにも潜在的にストレージ要件を倍増、保存しなければなりません。
o The 2^43 known plaintext blocks must be somehow fed to the device under attack, and that device must not change the encryption key during this time.
O 2 ^ 43の既知の平文ブロックは、何らかの形で攻撃を受けて装置に供給されている必要があり、そのデバイスは、この期間中に暗号化キーを変更しないでください。
Clearly, there are practical issues with this attack. Still, it is sobering to look at how much more realistic 70,000 gigabytes of storage is today than it must have seemed in 1993, when Matsui first proposed this attack. Today, 400-GB hard drives can be had for around $0.35/gigabyte. If we only needed to store the known ciphertext, this amounts to ~176 hard drives at a cost of less than $25,000. This is probably practical with today's technology for an adversary with significant financial resources, though it was difficult to imagine in 1993. Still, numerous other practical issues remain.
明らかに、この攻撃で実用的な問題があります。それでも、それはストレージのどのくらいのより現実的な7万ギガバイトを見て冷静され、それは松井が最初にこの攻撃を提案した1993年に思えていなければならないよりも、今日です。今日では、400 GBのハードドライブは、約$ 0.35 /ギガバイトのために持っていたことができます。我々は唯一の既知の暗号文を格納するために必要な場合は、これは以下$ 25,000費用で〜176のハードドライブになります。それはまだ1993年に想像することは困難であったが、これはおそらく重要な財源と敵のために、今日の技術で実用的であり、他の多数の実用的な問題が残っています。
Above, we described several types of attacks on DES, some of which are more practical than others, but it's very important to recognize that brute force represents the very worst case, and cryptanalytic attacks can only improve on this. If a brute-force attack against a given DES application really is feasible, then worrying about the practicality of the other theoretical attack modes is just a distraction. The bottom line is this: if DES can be brute-forced at a cost the attacker can stomach today, this cost will invariably come down as technology advances.
上記、我々は他のものよりも実用的であるそのうちのいくつかはDESへの攻撃のいくつかのタイプを、説明したが、それは、ブルートフォースは非常に最悪の場合を表し、暗号解読の攻撃はこれだけで改善することができることを認識することは非常に重要です。指定されたDESのアプリケーションに対するブルートフォース攻撃が実際に実現可能であるならば、他の理論的な攻撃モードの実用性を心配することは単なる気晴らしです。一番下の行はこれです:DESは、攻撃者が今日我慢できるコストでブルート強制することができた場合、このコストは常に技術の進歩と降りてくるだろう。
On the question as to whether DES is susceptible to brute-force attack from a practical perspective, the answer is a resounding and unequivocal "yes". In 1998, the Electronic Frontier Foundation financed the construction of a "DES Cracker", and subsequently published "Cracking DES" [EFF98]. For a cost of less than $250,000, this system can find a 56-bit DES key in the worst-case time of around 9 days, and in 4.5 days on average.
DESは、実用的な観点からのブルートフォース攻撃を受けやすいかどうかについての質問には、答えは「はい」とはっきりと明確です。 1998年には、電子フロンティア財団(EFF)は、「DESクラッカー」の建設に資金を提供し、続いて[EFF98]「DESクラッキング」を出版します。未満$ 250,000コストのために、このシステムは、約9日間の最悪の場合の時間では、平均で4.5日間で56ビットDES鍵を見つけることができます。
Quoting from [EFF98],
【EFF98]から引用、
"The design of the EFF DES Cracker is simple in concept. It consists of an ordinary personal computer connected with a large array of custom chips. Software in the personal computer instructs the custom chips to begin searching, and interacts with the user. The chips run without further help from the software until they find a potentially interesting key, or need to be directed to search a new part of the key space. The software periodically polls the chips to find any potentially interesting keys that they have turned up.
「EFF DESクラッカーの設計は、考え方は簡単である。これは、カスタムチップの大規模な配列に接続されている一般的なパーソナルコンピュータで構成されています。パソコンでのソフトウェアが検索を開始するカスタムチップを指示し、ユーザーと対話する。チップ彼らは潜在的に興味深いの鍵を見つけるか、鍵空間の新しい部分を検索するように指示する必要があるまで、ソフトウェアから、さらに助けを借りずに実行します。ソフトウェアを定期的にポーリングしたチップは、彼らが上がっている任意の潜在的に興味深いの鍵を見つけます。
The hardware's job isn't to find the answer. but rather to eliminate most of the answers that are incorrect. Software is then fast enough to search the remaining potentially-correct keys, winnowing the false positives from the real answer. The strength of the machine is that it replicates a simple but useful search circuit thousands of times, allowing the software to find the answer by searching only a tiny fraction of the key space.
ハードウェアの仕事は、答えを見つけることではありません。むしろ、正しくない答えの大部分を除去します。ソフトウェアは、本当の答えから偽陽性をふるい分ける、残りの潜在的に正しいキーを検索し、その後十分な速さです。機械の強みは、ソフトウェアが鍵空間の唯一のほんの一部を検索して答えを見つけることができるように、倍の単純だが便利な検索回路の数千人を複製ということです。
As long as there is a small bit of software to coordinate the effort, the problem of searching for a DES key is 'highly parallelizable'. This means the problem can be usefully solved by many machines working in parallel, simultaneously. For example, a single DES-Cracker chip could find a key by searching for many years. A thousand DES-Cracker chips can solve the same problem in one thousandth of the time. A million DES-Cracker chips could theoretically solve the same problem in about a millionth of the time, though the overhead of starting each chip would become visible in the time required. The actual machine we built contains 1536 chips."
限りの努力を調整するためのソフトウェアの小さなビットがあるとして、DESのキーを検索の問題は、「非常に並列化」です。この問題は、有用同時に、並列に動作する多くのマシンによって解決することができることを意味します。例えば、シングルDES-クラッカーチップは、長年にわたって検索して鍵を見つけることができます。千DES-クラッカーチップは、時間1000分の1で同じ問題を解決することができます。各チップを起動するオーバーヘッドが必要とされる時間に見えるようになるであろうけれども百万DES-クラッカーチップは、理論的には、時間の約万で同じ問題を解決できます。我々が構築された実際のマシンは1536個のチップが含まれています。」
This project clearly demonstrated that a practical system for brute force DES attacks was well within reach of many more than previously assumed. Practically any government in the world could easily produce such a machine, and in fact, so could many businesses. And that was in 1998; the technological advances since then have greatly reduced the cost of such a device. This is discussed further below.
このプロジェクトは明らかにブルートフォース攻撃DESのための実用的なシステムは、以前に想定したよりも多くの手の届くところにもあることを示しました。実際に世界のどの政府は簡単に、このような機械を生産し、実際には可能性があり、非常に多くの企業ができました。そして、それは1998年でした。それ以来、技術の進歩は著しく、そのような装置のコストを削減しました。これについては、以下でさらに説明します。
In the mid-1990s, many were interested in whether or not DES was breakable in a practical sense. RSA sponsored a series of DES Challenges over a 3-year period beginning January of 1997. These challenges were created in order to help underscore the point that cryptographic strength limitations imposed by the U.S. government's export policies were far too modest to meet the security requirements of many users.
1990年代半ばには、多くのDESは、実用的な意味では、破壊可能だったかどうかに興味を持っていました。 RSAは、これらの課題は、米国政府の輸出政策によって課された暗号強度の制限がのセキュリティ要件を満たすにはあまりにも控えめだったという点を強調する支援するために作成された1997年の1月から始まる3年間でDES課題のシリーズを後援しました多くのユーザー。
The first DES challenge was solved by the DESCHALL group, led by Rocke Verser, Matt Curtin, and Justin Dolske [CURT05][RSA1]. They created a loosely-knit distributed effort staffed by volunteers and backed by Universities and corporations all over the world who donated their unused CPU cycles to the effort. They found the key in 90 days.
最初のDESチャレンジはRocke Verser、マット・カーティン、そしてジャスティンDolske [CURT05] [RSA1]率いるDESCHALLグループ、によって解決されました。彼らは緩くニット分散努力ボランティアが常駐し、努力に彼らの未使用のCPUサイクルを寄贈し、世界中の大学や企業によって支えを作成しました。彼らは、90日中にキーを発見しました。
The second DES challenge was announced on December 19, 1997 [RSA2][CURT05], and on February 26, 1998, RSA announced a winner. This time, the challenge was solved by group called distributed.net working together with the EFF, in a total of 39 days [RSA3] [CURT05]. This group coordinated 22,000 participants and over 50,000 CPUs.
二DESチャレンジは、[RSA2] [CURT05]、および1998年2月26日に、RSAは勝者を発表1997年12月19日に発表されました。今回は、チャレンジはdistributed.net [CURT05] [RSA3] 39日間の合計で、EFFと一緒に作業と呼ばれるグループによって解決しました。このグループは22,000参加者と50,000以上のCPUをコーディネート。
The third DES challenge was announced on December 22, 1998 [RSA4][CURT05], and on January 19, 1999, RSA announced the winner. This time, the challenge was again solved by distributed.net working together with the EFF, in a total of 22 hours [RSA5]. This was a dramatic improvement over the second challenge, and should give some idea of where we're headed with respect to DES.
第三DESチャレンジは1998年12月22日に発表された[RSA4] [CURT05]、および1999年1月19日に、RSAは、勝者を発表しました。この時間は、課題は再びdistributed.netは22時間【RSA5]の合計で、EFFと一緒に働くことによって解決されました。これは、第二の課題を超える劇的な改善だった、と私たちはDESに関して向かっている場所のいくつかのアイデアを与える必要があります。
We've seen what was done in the late 1990s -- what about today? A survey of the literature might lead one to conclude that this topic is no longer interesting to cryptographers. Hence, we are left to infer the possibilities based on currently available technologies. One way to derive an approximation is to apply a variation on "Moore's Law": assume that the cost of a device comparable to the one built by the EFF would be halved roughly every N months. If we take N=18, then for a device costing $250,000 at the end of 1998, this would predict the following cost curve:
私たちは、1990年代後半に行われたものを見てきた - 何今日はどうですか?文献の調査では、このトピックはもはや暗号研究に興味があると結論しないように1を導くかもしれません。したがって、我々は、現在利用可能な技術に基づいて可能性を推測するために残されています。 EFFによって建てられたものに匹敵し、装置のコストがNか月ごとにおおよそ半減されることを前提としています。近似値を導出するための一つの方法は、「ムーアの法則」のバリエーションを適用することです。我々はN = 18を取る場合は、その後、1998年の終わりに$ 250,000の原価計算デバイスのために、これは以下の費用曲線を予測します:
o mid-2000............: $125,000
o beginning of 2002...: $62,500
O 2002の始まり...:$ 62,500
o mid-2003............: $31,250
o beginning of 2006...: $15,625
O 2006年初め...:$ 15625
It's important to note that strictly speaking, "Moore's Law" is more an informal approximation than a law, although it has proven to be uncannily accurate over the last 40 years or so. Also, some would disagree with the use of an 18-month interval, preferring a more conservative 24 months instead. So, these figures should be taken with the proverbial grain of salt. Still, it's important to recognize that this is the cost needed not to crack one key, but to get into the key-cracking business. Offering key-cracking services and keeping the machine relatively busy would dramatically decrease the cost to a few hundred dollars per unit or less.
それは最後の40年かそこらで驚くほど正確であることが証明されているが、厳密に言えば、「ムーアの法則」は、法律よりも非公式な近似であることに注意することが重要です。また、一部ではなく、より保守的な24ヶ月を好む、18ヶ月の間隔の使用に反対するだろう。だから、これらの数字は、塩のことわざの穀物を取られるべきです。それでも、これは一つのキーを解読しないように必要なコストであることを認識することが、キー割れビジネスに取得することが重要です。キー割れのサービスを提供し、劇的単位以下あたり数百ドルのコストを減少させる比較的忙しいマシンを維持します。
Given that such calculations roughly hold for other computing technologies over the same time interval, the estimate above does not seem too unreasonable, and is probably within a factor of two of today's costs. Clearly, this would seem to indicate that DES-cracking hardware is within reach of a much broader group than in 1998, and it is important to note that this assumes no design or algorithm improvements since then.
このような計算は、ほぼ同じ時間間隔で他のコンピューティング技術のために保持することを考えると、上記の推定値は、あまりにも不合理ないないようだ、と今日のコストの2倍以内である可能性があります。明らかに、これはDES-割れハードウェアは1998年よりもはるかに広いグループの手の届くところにあり、そしてこれはそれ以来、何のデザインやアルゴリズムの改良を想定していないことに注意することが重要であることを示しているように思われます。
To put this in a slightly different light, let's consider the typical rendition of Moore's Law for such discussions. Rather than considering shrinking cost for the same capability, consider instead increasing capability for the same cost (i.e., doubling circuit densities every N months). Again choosing N=18, our DES-cracking capability (in worst-case time per key) could be expected to have approximately followed this performance curve over the last 7 or so years:
わずかに異なる光の中でこれを配置するには、のは、そのような議論のために、ムーアの法則の典型的な演出を考えてみましょう。むしろ、同じ機能のための縮小、コストを考慮するよりも、代わりに(すなわち、倍増回路はNか月ごとの密度)と同じコストで機能を増やすことを検討。再びN = 18を選択し、(キーごとに最悪の場合の時間で)私たちのDESクラッキングの能力は約最後の7かそこら年にわたってこの性能曲線に従っていることが期待できます。
o 1998................: 9 days
o mid-2000............: 4.5 days
o beginning of 2002...: 2.25 days
O 2002の始まり...:2.25日
o mid-2003............: 1.125 days
o beginning of 2006...: 0.5625 days
O 2006年初め...:0.5625日
That's just over a half-day in the worst case for 2006, and under 7 hours on average. And this, for an investment of less than $250,000. It's also very important to note that we are talking about worst-case and average times here - sometimes, keys will be found much more quickly. For example, using such a machine, 1/4 of all possible DES keys will be found within 3.375 hours. 1/8 of the keys will be found in less than 1 hour and 42 minutes. And this assumes no algorithmic improvements have occurred. And again, this is an estimate; your actual mileage may vary, but the estimate is probably not far from reality.
それはちょうど2006年の最悪の場合、半日以上、平均で7時間の下にあります。そしてこの、以下$ 250,000の投資のために。時々、キーがはるかに迅速に発見される - それは我々がここでワーストケースと平均時間について話していることに注意することも非常に重要です。例えば、そのような機械を使用して、すべての可能なDES鍵の1/4は3.375時間以内に見出されます。キーの1/8未満、1時間と42分で検出されます。そして、これは何のアルゴリズムの改善が発生しなかったと仮定しています。そして再び、これは推定値です。あなたの実際の走行距離は異なる場合がありますが、推定値は、おそらく現実から遠くないです。
Since the EFF device first appeared, Field Programmable Gate Arrays (FPGAs) have become quite common, and far less costly than they were in 1998. These devices allow low-level logic programming, and are frequently used to prototype new logic designs prior to the creation of more expensive custom chips (also known as Application Specific Integrated Circuits, or ASICs). They are also frequently used in place of ASICs due to their lower cost and/or flexibility. In fact, a number of embedded systems implementing cryptography have employed FPGAs for this purpose.
EFFデバイスが初めて登場しているので、彼らが1998年にあったよりも、フィールドプログラマブルゲートアレイ(FPGA)は、これらのデバイスは、低レベルの論理プログラミングを可能にし、頻繁に前に新しい論理設計のプロトタイプを作成するために使用されている、非常に一般的な、そしてはるかにコストがかかるようになりましたより高価なカスタムチップの作成(また、特定用途向け集積回路、またはASICのとして知られています)。また、これらはしばしば、それらの低コストおよび/または柔軟性のASICの代わりに使用されています。実際には、暗号を実装する組み込みシステムの数は、この目的のためにFPGAを採用しています。
Due to their generalized nature, FPGAs are naturally slower than ASICs. While the speed difference varies based on many factors, it is reasonable for purposes of this discussion to say that well-designed FPGA implementations typically perform cryptographic operations at perhaps 1/4 the speed of well-designed ASICs performing the same operations, and sometimes much slower than that. The significance of this comparison will become obvious shortly.
それらの一般的な性質のために、FPGAはASICに比べて自然に遅くなります。速度差は、多くの要因に基づいて変化するが、それはこの議論の目的は、そのうまく設計されたFPGA実装は、典型的には、おそらく1/4同じ操作を行うだけでなく、設計のASICの速度で暗号化操作を行うと言うことのために合理的であり、時には遥かそれよりも遅いです。この比較の意味はすぐに明らかになるであろう。
In our Moore's Law estimate above, we noted that the cost extrapolation assumes no design or algorithm improvements since 1998. It also implies that we are still talking about a brute-force attack. In section 4 ("Attacking DES"), we discussed several cryptanalytic attacks, including an attack that employs linear cryptanalysis [MAT93]. In general, this attack has been considered impractical, but in 2002, a group at Universite Catholique de Louvain in Belgium built a DES cracker based on linear cryptanalysis, which, employing a single FPGA, returns a DES key in 12-15 hours [FPL02].
上記の私たちのムーアの法則の見積もりでは、コストの外挿は、それはまた、我々はまだブルートフォース攻撃について話していることを意味し、1998年以来、何のデザインやアルゴリズムの改良を前提としていないことを指摘しました。セクション4(「DESを攻撃」)において、我々は、線形解読法[MAT93]を用いた攻撃を含む、いくつかの暗号解読攻撃を議論しました。一般に、この攻撃は非現実的と考えられてきたが、2002年には、ベルギーのカトリック大学デルーバンにグループは、単一のFPGAを用い、[12-15時間でFPL02をDES鍵を返し、線形解読法に基づくDESクラッカーを構築し]。
While there are still some issues of practicality in terms of applying this attack in the real world (i.e., the required number of known plaintext-ciphertext pairs), this gives a glimpse of where technology is taking us with respect to DES attack capabilities.
まだ現実の世界ではこの攻撃を適用するという点で実用性のいくつかの問題がありますが(つまりは、知られている平文と暗号文のペアの必要数)は、この技術は、DESの攻撃能力に関して私たちを取っているところの垣間見ることができます。
Application Specific Integrated Circuits are specialized chips, typically optimized for a particular set of operations (e.g., encryption). There are a number of companies that are in the business of designing and selling cryptographic ASICs, and such chips can be had for as little as $15 each at the low end. But while these chips are potentially much faster than FPGAs, they usually do not represent a proportionally higher threat when it comes to DES-cracking system construction.
特定用途向け集積回路は、典型的には、操作の特定のセット(例えば、暗号化)のために最適化された特殊なチップです。暗号のASICを設計し、販売するビジネスをしている企業、およびそのようなチップの数が少ない終わりにわずか$ 15は、それぞれのために持っていたことができますがあります。これらのチップは、潜在的にFPGAに比べてはるかに高速であるが、それは、システムの構築をDES-割れに来るときしかし、彼らは通常比例高い脅威を表すものではありません。
The primary reason for this is cost: it currently costs more than $1,000,000 to produce an ASIC. There is no broad commercial market for crypto-cracking ASICs, so the number a manufacturer could expect to sell is probably small. Likewise, a single attacker is not likely to require more than a few of these. The bottom line: per-chip costs would be very high; when compared to the costs of FPGAs capable of similar performance, the FPGAs are clear winners. This doesn't mean such ASICs have never been built, but the return is probably not worth the investment for the average attacker today, given the other available options.
その主な理由はコストです:現在ASICを生産する以上$ 1,000,000かかります。そこ暗号割れのASICのための広範な商業市場がないので、メーカーが販売することを期待できる数はおそらく小さいです。同様に、単一の攻撃者は、これらの数よりも多くを必要とする可能性が高いではありません。一番下の行:チップ当たりのコストが非常に高くなります。同様の性能の能力のFPGAのコストと比較すると、FPGAは明確な勝者です。これは、このようなASICが内蔵されていなかったという意味ではありませんが、リターンは、他の利用可能なオプションを考えると、おそらく今日の平均的な攻撃のための投資の価値はありません。
Parallel processing is a powerful tool for conducting brute-force attacks against a block cipher. Since each key can be tested independently, the keyspace can easily be carved up and distributed across an arbitrary number of processors, all of which are running identical code. A central "control" processor is required for distributing tasks and evaluating results, but this is straightforward to implement, and this paradigm has been applied to many computing problems.
並列処理は、ブロック暗号に対するブルートフォース攻撃を行うための強力なツールです。各キーは、独立して試験することができるので、鍵空間は簡単に刻まと同じコードを実行しているすべてがプロセッサ、任意の数に分散させることができます。中央の「コントロール」プロセッサは、タスクを配布し、結果を評価するために必要であるが、これは実装するのは簡単であり、このパラダイムは、多くのコンピューティングの問題に適用されています。
While the EFF demonstrated that a purpose-built system is far superior to general purpose PCs when applied to cracking DES, the DESCHALL effort [CURT05][RSA1] aptly demonstrated that the idle cycles of everyday users' PCs could be efficiently applied to this problem. As noted above, distributed.net teamed with the EFF group to solve the third RSA DES Challenge using a combination of PCs and the EFF's "Deep Crack" machine to find a DES key in 22 hours. And that was using 1999 technologies.
EFFはDESをクラックに適用されたときに専用のシステムは汎用のPCよりはるかに優れていることを示したが、DESCHALLの努力は[CURT05] [RSA1]適切日常のユーザーのPCのアイドルサイクルを効率的にこの問題に適用できることを実証しました。上述したように、distributed.netは22時間でDES鍵を見つけるために、PCとEFFの「深いクラック」マシンの組み合わせを用いた第3のRSA DESチャレンジを解決するためにEFFグループと提携しました。そして、それは1999年の技術を使用していました。
Clearly, PCs have improved dramatically since 1999. At that time, state-of-the-art desktops ran at around 800MHz. Today, desktop PCs commonly run at 3-4 times that speed, and supporting technologies (memory, cache, storage) offer far higher performance as well. Since the distributed.net effort used a broad spectrum of computers (from early 1990s desktops to state-of-the-art (in 1999) multiprocessors, according to [DIST99]), it is difficult to do a direct comparison with today's technologies. Still, we know that performance has, in general, followed the prediction of Moore's Law, so we should expect an improvement on the order of a factor of 8-16 by now, even with no algorithmic improvements
明らかに、PCがその時点で1999年以来、飛躍的に向上した、最先端のデスクトップは、800MHzの周りに走りました。今日では、デスクトップPCは、一般的に3〜4倍の速度で動作し、支える技術(メモリ、キャッシュ、ストレージ)もはるかに高い性能を提供します。 distributed.net努力が([DIST99]によると、1999)マルチプロセッサにおける最先端の(に1990年代初頭のデスクトップから)コンピュータの広いスペクトルを使用しているので、今日の技術と直接比較を行うことは困難です。それでも、我々はパフォーマンスは、一般的には、ムーアの法則の予測を踏襲していることを知っているので、我々はなくても、アルゴリズムの改良で、今では8-16倍程度の改善を期待するべきです
It is important to note that the distributed.net efforts have relied upon willing participants. That is, participants must explicitly and voluntarily join the effort. It is equally important to note that only the idle cycles of the enrolled systems are used. Depending on the way in which "idle" is defined, along with the user's habits and computing requirements, this could have a significant effect on the contribution level of a given system.
distributed.netの努力が喜んで参加者に依存していることに注意することが重要です。それは、参加者が明示的かつ自主的な努力に参加しなければならない、です。登録システムの唯一のアイドルサイクルが使用されていることに注意することも同様に重要です。 「アイドル」は、ユーザーの習慣やコンピューティング要件に沿って、定義されている方法に応じて、これは与えられたシステムの貢献度に大きな影響を与える可能性があります。
These factors impose significant limitations in terms of scale. While distributed.net was able to enlist over 100,000 computers from around the world for the third RSA DES Challenge, this is actually a rather small number when compared to 2^56 (over 72 quadrillion) possible DES keys. And when you consider the goal (i.e., to prove DES can be cracked), it seems reasonable to assume these same participants would not willingly offer up their compute cycles for a more nefarious use (like attacking the keys used to encrypt your online banking session). Hence, this particular model does not appear to pose a significant threat to most uses of encryption today. However, below, we discuss a variation on this approach that does pose an immediate threat.
これらの要因は、規模の面で大きな制約を課します。 distributed.netは、第三のRSA DESチャレンジのために世界中から10万人以上のコンピュータを参加させることができたが、これは実際には2 ^ 56(兆72オーバー)可能DESキーに比べてかなり小さい数です。あなたは目標を考えると、喜んであなたのオンラインバンキングセッションを暗号化するために使用されるキーを攻撃するように(もっと極悪な使用のために彼らの計算サイクルを提供していますこれらの同じ参加者を想定するのが妥当と思われる(すなわち、DESが割れすることができますことを証明します) )。したがって、この特定のモデルは、暗号化のほとんどの用途今日に重大な脅威をもたらすためには表示されません。ただし、以下、私たちはすぐに脅威を与えない。このアプローチのバリエーションを議論します。
"Spyware" is a popular topic in security newsfeeds these days. Most of these applications are intended to display context-sensitive advertisements to users, and some actually modify a user's web browsing experience, directing them to sites of the distributor's choice in an effort to generate revenue. There are many names for this type of software, but for our purposes, we will refer to it simply as "spyware". And while there are some instances in which rogue software actually does spy on hapless users and report things back to the issuer, we do not focus here on such distinctions.
「スパイウェア」は、これらの日のセキュリティニュースフィードで人気のトピックです。これらのアプリケーションのほとんどは、ユーザーにコンテキスト依存の広告を表示することを意図している、といくつかは、実際に収益を生み出すための努力の販売代理店の選択のサイトにそれらを指示、ユーザのWebブラウジング体験を変更します。そこソフトウェアのこのタイプの多くの名前がありますが、我々の目的のために、我々は単に「スパイウェア」としてそれを参照します。不正なソフトウェアが実際に不運なユーザーをスパイないと戻って発行者に物事を報告しているいくつかの事例がある一方、そして、我々はそのような区別にここに焦点を当てていません。
Indeed, what we are more interested in is the broader modality in which this software functions: it is typically installed without the explicit knowledge and/or understanding of the user, and typically runs without the user's knowledge, sometimes slowing the user's PC to a crawl. One might note that such behavior seems quite surprising in view of the fact that displaying ads to users is actually a light-weight task, and wonder what this software is actually doing with all those compute cycles.
確かに、私たちは、より興味を持っていることは、このソフトウェアは機能でより広範な様式である:それは、典型的には、ユーザーの明示的な知識および/または理解せずにインストールされ、通常、ユーザの知識がなくても実行し、時々のクロールにユーザーのPCを減速しています。一つは、そのような行動は、ユーザーに広告を表示すると、実際に軽量タスクであるという事実を考慮して、非常に驚くべき思われることに注意して、このソフトウェアは、実際にすべてのそれらの計算サイクルで何をしているのか疑問に思うかもしれません。
Worms and viruses are also very interesting: like spyware, these are installed without the user's knowledge or consent, and they use the computer in ways the user would not voluntarily allow. And unlike the spyware that is most common today, this malware usually contains explicit propagation technology by which it automatically spreads. It is not difficult to imagine where we are going with this: if you combine these techniques, forcible induction of user machines into an "army" of systems becomes possible. This approach was alluded to in [CURT98] and, in fact, is being done today.
ワームやウイルスはまた、非常に興味深いものです:スパイウェアのように、これらは、ユーザが気がつかないインストールされている、と彼らはユーザーが自主的に許可していないだろうな方法でコンピュータを使用しています。そして今日、最も一般的であるスパイウェアとは異なり、このマルウェアは通常、それが自動的に広がることにより、明示的な伝達技術が含まれています。私たちがこれを行っているところを想像することは難しいことではありません:あなたはこれらの技術を組み合わせた場合、システムの「軍隊」へのユーザーのマシンの強制的な誘導が可能となります。このアプローチは、実際には、今日行われている、[CURT98]でに言及してました。
Botnets [BOT05] represent a relatively recent phenomena. Using various propagation techniques, malware is distributed across a range of systems, where it lies in wait for a trigger of some sort. These "triggers" may be implemented through periodic polling of a centralized authority, the arrival of a particular date, or any of a large number of other events. Upon triggering, the malware executes its task, which may involve participating in a Distributed Denial of Service (DDoS) attack, or some other type of activity.
ボットネットは、[BOT05]比較的最近の現象を表しています。種々の伝播技術を使用して、マルウェアは、それがある種のトリガ待ちにあるシステムの範囲にわたって分布しています。これらは中央集権、特定の日付の到着、または他の多数のイベントのいずれかの定期的なポーリングによって実現することができる「トリガー」。トリガ時に、マルウェアは、分散サービス妨害(DDoS攻撃)攻撃、または活性の他のタイプに参加関与し得るそのタスクを実行します。
Criminal groups are currently renting out botnets for various uses [CERT01]. While reported occurrences have typically involved using these rogue networks for DDoS attacks, we would be naive to think other uses (e.g., breaking encryption keys) have not been considered. Botnets greatly mitigate the scaling problem faced by distributed.net: it is no longer a volunteer-only effort, and user activity no longer significantly impedes the application's progress. This should give us pause.
犯罪グループは、現在、様々な用途[CERT01]のためのボットネットを貸し出しています。発生は通常、DDoS攻撃のためにこれらの不正なネットワークを使用して関与していると報告しながら、我々は(例えば、暗号化キーを破る)他の用途が考えられていなかったと思うことがナイーブだろう。ボットネットが大幅distributed.netが直面しているスケーリングの問題を軽減しない:それはもはやボランティアのみの努力ではなく、ユーザの活動は、もはや大幅にアプリケーションの進行を妨げます。これは、私たちに一時停止を与える必要があります。
It is very important to clearly recognize the implications of this: botnets are cheap, and there are lots of PCs out there. You don't need the $15,625 that we speculated would be enough to build a copy of the EFF system today -- you only need a commodity PC on which to develop the malware, and the requisite skills. Or, you need access to someone with those things, and a relatively modest sum of cash. The game has changed dramatically.
明らかに、このの意味を認識することが非常に重要である:ボットネットは、安価であり、パソコンの多くはそこにあります。あなたは、私たちが今日EFFシステムのコピーを構築するのに十分だろう推測その$ 15625を必要としない - あなただけのマルウェアを開発する上コモディティPC、および必要なスキルを必要とします。それとも、あなたはそれらのものを持つ人、そして現金の比較的控えめ合計にアクセスする必要があります。ゲームが劇的に変化しました。
Obviously, DES is not secure by most measures -- why is it still used today? There are probably many reasons, but here are perhaps the most common:
明らかに、DESは、ほとんどの措置によって確保されていません - なぜそれが今日でも使用されていますか?そこに多くの理由は、おそらくですが、ここではおそらく最も一般的です。
o Backward compatibility - Numerous deployed systems support DES, and rather than replace those systems, new systems are implemented with compatibility in mind.
O下位互換性 - 多数展開システムは、DESをサポートし、それらのシステムを置き換えるのではなく、新しいシステムでは、心の中で互換性を実現しています。
o Performance - Many early VPN clients provided DES as the default cryptographic algorithm, because PCs of the day suffered a noticeable performance hit when applying stronger cryptography (e.g., 3DES).
Oパフォーマンス - 強固な暗号化方式(例えば、3DES)を適用する日のPCは顕著なパフォーマンスヒットを被っているため、多くの初期のVPNクライアントは、デフォルトの暗号化アルゴリズムとしてDESを提供します。
o Ignorance - People simply do not understand that DES is no longer secure for most uses.
Oの無知 - 人々は単にDESは、もはやほとんどの用途のために安全であることを理解していません。
While there are probably other reasons, these are the most frequently cited.
おそらく他の理由がありますが、これらは最も頻繁に引用されています。
Performance arguments are easily dispensed with today. PCs have more than ample power to implement stronger cryptography with no noticeable performance impact, and for systems that are resource constrained, there are strong algorithms that are far better performers than DES (e.g., AES-128). And while backward compatibility is sometimes a valid argument, this must be weighed carefully. At the point where the risk is higher than the cost of replacement, legacy systems should be abandoned.
パフォーマンスの引数は簡単に今日で分配されます。 PCはない顕著なパフォーマンスへの影響を持つ強力な暗号化を実装するために十分な電力よりも多くを有し、リソース制約されるシステムのために、DES(例えば、AES-128)よりもはるかに優れているパフォーマー強いアルゴリズムがあります。下位互換性が有効な引数が時々ありながら、これは慎重に検討する必要があります。リスクは、交換のコストよりも高くなっている時点では、レガシーシステムは放棄しなければなりません。
With respect to the third reason (ignorance), this note attempts to address this, and we should continue to make every effort to get the word out. DES is no longer secure for most uses, and it requires significant security expertise to evaluate those small number of cases in which it might be acceptable. Technologies exist that put DES-cracking capability within reach of a modestly financed or modestly skilled motivated attacker. There are stronger, cheaper, faster encryption algorithms available. It is time to move on.
第三の理由(無知)に関しては、このノートは、この問題に対処しようと、私たちは言葉を出すためにあらゆる努力をし続けなければなりません。 DESは、ほとんどの用途のためにはもはや安全ではなく、それが受け入れられる可能性のある例、それらの少数を評価するために、重大なセキュリティの専門知識が必要です。・テクノロジーズは、控えめに融資したり控えめに熟練した意欲的な攻撃者の手の届くところにDES-割れの能力を置くが存在します。利用可能強く、安く、速く暗号化アルゴリズムがあります。上に移動する時間です。
This entire document deals with security considerations. Still, it makes sense to summarize a few key points here. It should be clear by now that the DES algorithm offers little deterrence for a determined adversary. While it might have cost $250,000 to build a dedicated DES cracker in 1998, nowadays it can be done for considerably less. Indeed, botnets are arguably free, if you don't count the malware author's time in your cost computation.
この全体のドキュメントは、セキュリティ上の考慮事項を扱います。それでも、それはここではいくつかの重要なポイントを要約することは理にかなって。これは、DESアルゴリズムが決定した敵のために少し抑止力を提供することが今では明らかです。それは1998年に、専用のDESクラッカーを構築するために$ 250,000のコストしているかもしれませんが、最近はそれがかなり少ないために行うことができます。あなたはコスト計算にマルウェアの作者の時間をカウントしていない場合は確かに、ボットネットは、間違いなく無料です。
Does this mean DES should never be used? Well, no - but it does mean that if it is used at all, it should be used with extreme care. It is important to carefully evaluate the value of the information being protected, both to its owner and to an attacker, and to fully grasp the potential risks. In some cases, DES may still provide an acceptable level of security, e.g., when you want to encrypt a file on the family PC, and there are no real threats in your household.
これはDESを使用すべきではないということですか?まあ、ない - しかし、それはそれは全く使用されている場合、それは細心の注意を払って使用する必要があることを意味しています。その所有者にして、攻撃者の両方に、丁寧に保護されている情報の価値を評価することが重要であり、完全に潜在的なリスクを把握します。いくつかのケースでは、あなたが家族のPC上のファイルを暗号化する際にDESはまだ、例えば、セキュリティの許容レベルを提供することができる、そしてあなたの世帯では本当の脅威はありません。
However, it is important to recognize that, in such cases, DES is much like a cheap suitcase lock: it usually helps honest people remain honest, but it won't stop a determined thief. Given that strong, more efficient cryptographic algorithms (e.g., AES) are available, it seems the only rational reason to continue using DES today is for compulsory backward compatibility. In such cases, if there is no plan for gradually phasing out such products, then, as a security implementer, you can do the following:
それは通常、正直な人々が正直なままに役立ちますが、それは、決定泥棒を停止することはありません。しかし、そのような場合には、DESがはるかに安いスーツケースのロックのようなものである、ということを認識することが重要です。与えられた強力な、より効率的な暗号化アルゴリズム(例えば、AES)が使用可能であること、今日のDESの使用を継続する唯一の合理的な理由が強制下位互換性のためにあるようです。徐々にそのような製品を段階的に廃止のための計画が存在しない場合このような場合には、その後、セキュリティの実装としては、次の操作を行うことができます。
o Recommend a phased upgrade approach.
O段階的アップグレードのアプローチを推奨します。
o If possible, use 3DES rather than DES (and in any case, DO NOT make DES the default algorithm!).
可能であれば、O、3DESではなくDESを使用します(いずれの場合には、DESにデフォルトのアルゴリズムをしないでください!)。
o Replace keys before exceeding 2^32 blocks per key (to avoid various cryptanalytic attacks).
O(様々な暗号解読の攻撃を避けるために)キーあたり2 ^ 32ブロックを超える前に鍵を交換してください。
o If there is a user interface, make users aware of the fact that the cryptography in use is not strong, and for your particular application, make appropriate recommendations in this regard.
ユーザー・インタフェースがある場合は、O、使用中の暗号が強くないという事実を利用者に認識させると、特定のアプリケーションのために、この点で適切な勧告を行います。
The bottom line: it is simpler to not use this algorithm than it is to come up with narrow scenarios in which it might be okay. If you have legacy systems relying on DES, it makes sense to begin phasing them out as soon as possible.
一番下の行:それはそれは大丈夫かもしれませんした狭いシナリオを思い付くするよりも、このアルゴリズムを使用しない方が簡単です。あなたはDESに依存するレガシーシステムを持っている場合、それはできるだけ早くそれらを段階的に廃止を開始することは理にかなって。
The author gratefully acknowledges the contributions of Doug Whiting, Matt Curtin, Eric Rescorla, Bob Baldwin, and Yoav Nir. Their reviews, comments, and advice immeasurably improved this note. And of course, we all have the EFF and all those involved with the "Deep Crack", DESCHALL, and distributed.net efforts to thank for their pioneering research and implementations in this area.
作者は感謝ダグ・ホワイティング、マット・カーティン、エリックレスコラ、ボブ・ボールドウィン、およびヨアフニールの貢献を認めています。彼らのレビュー、コメント、アドバイスは計り知れないほどこのノートを改善しました。そしてもちろん、我々はすべてのEFFと「ディープ・クラック」、DESCHALL、およびこの分野での彼らの先駆的な研究と実装のために感謝するdistributed.netの努力に関わるすべての人々を持っています。
Appendix A. What About 3DES?
3DESについて付録A.何を?
It seems reasonable, given that we recommend avoiding DES, to ask: how about 3DES? Is it still safe? Thankfully, most of the discussion above does not apply to 3DES, and it is still "safe" in general. Below, we briefly explain why this is true, and what caveats currently exist.
どのように3DESについて:お願いし、私たちはDESを避けることをお勧めしますことを考えると、妥当なようですか?それはまだ安全ですか?ありがたいことに、上記の議論のほとんどは、3DESには適用されませんし、それはまだ一般的には「安全」です。これが真である、そしてどのような注意点が現在存在する理由の下に、我々は簡単に説明します。
A.1. Brute-Force Attacks on 3DES
A.1。 3DESのブルートフォース攻撃
Recall that for DES there are 2^56 possible keys, and that a brute-force attack consists of trying each key until the right one is found. Since we are equally likely to find the key on the first, second, or even last try, on average we expect to find the key after trying half (2^55) of the keys, or after 36,028,797,018,963,968 decryptions. This doesn't seem completely impossible given current processor speeds, and as we saw above, we can expect with today's technology that such an attack could almost certainly be carried out in around half a day.
DESのために2 ^ 56の可能なキーがあることを思い出してください、とブルートフォース攻撃が正しいものが見つかるまで、各キーをしようとで構成されています。私たちは第一、第二、あるいは最後の試行で鍵を見つけることが均等に可能性があるので、平均的に我々は、キーの半分(2 ^ 55)を試した後、または36,028,797,018,963,968デクリプション後にキーを見つけることを期待しています。これは、現在のプロセッサ速度与えられ、完全に不可能に思われない、と我々は上で見たように、我々は、このような攻撃はほぼ確実周り半日で行うことができ、今日の技術で期待することができます。
For a brute-force attack on 3DES, however, the outlook is far less optimistic. Consider the problem: we know C (and possibly p), and we are trying to guess k1, k2, and k3 in the following relation:
3DESのブルートフォース攻撃のために、しかし、見通しははるかに少ない楽観的です。この問題を考えてみましょう:私たちは、C(そしておそらくp)を知っている、と私たちは次のような関係にK1、K2、K3を推測しようとしています。
C = E_k3(D_k2(E_k1(p)))
C = E_k3(D_k2(E_k1(P)))
In order to guess the keys, we must execute something like the following (assuming k1, k2, and k3 are 64-bit values, as are Ci and p):
下記(CIおよびpであるとして仮定K1、K2、及びK3は、64ビット値である)のようなキーを推測するために、我々は、何かを実行する必要があります。
for ( k3 = 0 to 2^56 step 1 )
compute C2 = D_k3(C1)
for ( k2 = 0 to 2^56 step 1 )
compute C3 = E_k2(C2)
for ( k1 = 0 to 2^56 step 1 )
begin
compute p = D_k1(C3) xor IV
if ( p equals p-expected )
exit loop; we found the keys
end
Note that in the worst case the correct key combination will be the last one we try, meaning we will have tried 2^168 crypto operations. If we assume that each 3DES decryption (2 decryptions plus one encryption) takes a single microsecond, this would amount to 1.19 x 10^37 years. That's FAR longer than scientists currently estimate our universe to have been in existence.
最悪の場合には、正しいキーの組み合わせは、我々は2 ^ 168暗号化の操作を試してみましたでしょうつまり、我々がしようと最後の1になることに注意してください。私たちは、各3DES暗号解読(2つのデクリプションプラス1つの暗号化)は、単一のマイクロ秒を要すると仮定した場合、これは1.19×10 ^ 37年に達するでしょう。それははるかに長い科学者は現在、私たちの宇宙が存在していたと推定よりも、です。
While it is important to note that we could slightly prune the key space by assuming that two equal keys would never be used (i.e., k1 != k2, k2 != k3, k1 != k3), this does not result in a significant work reduction when you consider the magnitude of the numbers we're dealing with. And what if we instead assumed that technological advances allow us to apply DES far more quickly?
それは、我々はわずか2つの同じキーが使用されることはありませんということ(すなわち、K1!= K2、K2!= K3、K1!= K3)を想定してキースペースを剪定できることに注意することが重要であるが、これは重要にはなりません。作業の削減あなたは私たちが扱っている数字の大きさを考えると。そして、私たちが代わりに技術の進歩は、私たちがこれまでより迅速にDESを適用することが許可されていることを想定した場合にどのような?
Today, commercial 3DES chips capable of 10-Gbps encryption are widely available, and this translates to 15,625,000 DES blocks per second. The estimate given above assumed 1,000,000 DES blocks/second, so 10-Gbps hardware is 15 times as fast. This means in the worst case it would take 7.6 x 10^35 years -- not much faster in the larger scheme of things.
今日では、10 Gbpsの暗号化が可能な商用3DESチップは広く入手可能であり、これは毎秒15625000個のDESブロックに変換します。上記の推定値は1,000,000 DESブロックを仮定/秒なので、10 Gbpsのハードウェアが15倍高速です。あまり速く、物事の大きなスキームで - これは、7.6×10 ^ 35年かかるだろう最悪の場合を意味します。
Even if we consider hardware that is 1,000,000 times faster, this would still require 7.6 x 10^29 years - still FAR longer than the universe has been around. Obviously, we're getting nowhere fast here. 3DES, for all practical purposes, is probably safe from brute-force attacks for the foreseeable future.
まだはるかに長い宇宙が回避されているよりも - 私たちは1,000,000倍高速であるハードウェアを検討している場合でも、これはまだ7.6×10 ^ 29年が必要となります。明らかに、我々はここでどこにも高速に取得しています。 3DESは、すべての実用的な目的のために、おそらく、予見可能な将来のためにブルートフォース攻撃から安全です。
A.2. Cryptanalytic Attacks Against 3DES
A.2。 3DES暗号解読に対する攻撃
Unlike DES, there are only a few known cryptanalytic attacks against 3DES. Below, we describe those attacks that are currently discussed in the literature.
DESとは異なり、3DESに対してわずか数既知の暗号解読攻撃があります。以下に、私たちは現在、文献で説明されていたものの攻撃を記述する。
A.2.1. Meet-In-The-Middle (MITM) Attacks
A.2.1。ミート・イン・・ミドル(MITM)攻撃
The most commonly described 3DES attack is MITM, described in [HAC] and elsewhere. It works like this: take a ciphertext value 'C' (with corresponding known plaintext value 'p'), and compute the values of Cx = D_kx(C) for all possible (2^56) keys. Store each Cx,kx pair in a table indexed by Cx.
最も一般的に説明し3DES攻撃[HAC]にし、他の場所に記載、MITMです。それは次のように動作する:(既知平文pの値を対応する)暗号文値「C」を取り、全ての可能な(2 ^ 56)キーのCxを= D_kx(C)の値を計算します。 Cxのでインデックス化テーブルの各Cxと、KXペアを保管してください。
Now, compute the values of Cy = D_ki(E_kj(p)) in a nested loop, as illustrated above in our brute-force exercise. For each Cy, do a lookup on the table of Cx's. For each match found, test the triple of keys. It is important to note that a match does not imply you have the right keys - you must test this against additional ciphertext/plaintext pairs to be certain (~3 pairs for a strong measure of certainty with 3DES). Ultimately, there will be exactly one correct key triplet.
我々のブルートフォース運動上記示したように、今、ネストされたループ内のCy = D_ki(E_kj(P))の値を計算します。各サイについて、Cxとののテーブルの上に検索を行います。検出された各一致のために、キーの三重をテストします。 (3DESと確実性の強いメジャーの3組〜)あなたは確信するために追加の暗号文/平文のペアに対してこれをテストしなければならない - マッチが正しいキーを持って意味しないことに注意することが重要です。最終的には、正確に一つの正しいキートリプレットがあるでしょう。
Note that computing the initial table of Cx,kx pairs requires 2^56 encryptions and 2^56 blocks of storage (about 576 gigabytes). Computing the lookup elements requires at most 2^112 cryptographic operations (table lookups are negligible by comparison), and 2^111 operations on average. Lucks [LUCKS] has come up with optimizations that reduce this to about 2^108.
Cxとの初期の表計算、KX対が2 ^ 56の暗号化及び記憶の2 ^ 56ブロック(約576ギガバイト)を必要とすることに留意されたいです。ルックアップ要素を計算することはせいぜい2 ^ 112の暗号操作(テーブルルックアップを比較して無視できる)、および平均して2 ^ 111の操作を必要とします。 Lucks [LUCKS]は約2 ^ 108にこれを削減する最適化を打ち出しています。
3DES, even at a strength of 2^108, is still very strong. If we use our brute-force limits from above (15,625,000 blocks per second), this attack will take on the order of 6.586 x 10^17 years to carry out. Make the machine 1 million times faster, and you still need more than 658 BILLION years. We are probably safe from MITM attacks on 3DES for the foreseeable future.
3DESは、さえ2 ^ 108の強さで、まだ非常に強いです。我々は(毎秒15625000ブロック)の上から私たちのブルートフォースの制限を使用する場合は、この攻撃は実行する6.586×10 ^ 17年の順になります。 100万倍高速マシンを作成し、あなたはまだ以上の658億年必要です。私たちは、おそらく、予見可能な将来のために3DESのMITM攻撃から安全です。
A.2.2. Related Key Attacks
A.2.2。関連鍵攻撃
For a detailed description of related key attacks against 3DES (and other algorithms), see [KELSEY]. In a nutshell, for this approach the attacker knows the encryption of given plaintext under the original key K, and some related keys K'_i. There are attacks where the attacker chooses how the key is to be changed, and attacks in which the difference is known, but not controlled, by the attacker.
3DES(および他のアルゴリズム)に対する関連鍵攻撃の詳細については、[ケルシー]参照。一言で言えば、このアプローチのために、攻撃者は、元のキーKの下で与えられた平文の暗号化を知っている、といくつかの関連のキーK'_i。攻撃者によって差が知られているが、制御されていない攻撃者がキーを変更する方法を選択した攻撃、攻撃があります。
Here's how it works. Assume the following cryptographic relation:
ここでは、それがどのように動作するかです。次の暗号化の関係を想定します。
C = E_k3(D_k2(E_k1(p)))
C = E_k3(D_k2(E_k1(P)))
Then, the following defines the key relation:
すると、次のようにキーの関係を定義します。
K = (k1,k2,k3) and K' = (k1 + d,k2,k3)
K =(K1、K2、K3)とK」=(K1 + D、K2、K3)
with d being a fixed constant. Knowing p and C, we need to decrypt C under K' as follows:
Dで固定定数です。 pとCを知って、私たちは次のように「Kの下でCを復号化する必要があります。
Let kx = k1 + d (note: '+' represents xor)
(: '+' はXORを表します)KX = K1 + Dみよう
and
そして
p' = D_kx(E_k1(p))
P」= D_kx(E_k1(P))
Once we have p', we can find kx by exhaustively trying each key until we find a match (2^56 encryptions, worst case). Once we find kx, we can conduct a double-DES MITM attack to find k2 and k3, which requires between 2^56 and 2^72 trial offline encryptions.
我々はp「を持っていたら、我々は(2 ^ 56の暗号化、最悪の場合)の一致が見つかるまで、我々は徹底的に各キーを試みることによって、KXを見つけることができます。我々はKXを見つけたら、我々は2 ^ 56と2 ^ 72トライアルオフラインの暗号化を必要とK2とK3を、見つけるために、二重DES MITM攻撃を行うことができます。
From a practical standpoint, it's very important to recognize the "what-if" nature of this attack: the adversary must know the plaintext/ciphertext pair, he must be able to influence a subsequent encryption key in a highly controlled fashion (or at least, know exactly how the key changes), and then have the cryptographic cooperation required to compute p'. This is clearly a very difficult attack in the real world.
実用的な観点からは、認識することは非常に重要です。この攻撃の本質「場合、どのような」:敵は平文/暗号文ペアを知っている必要があり、彼は非常に制御された方法で、その後の暗号化キーに影響を与えることができる(あるいは、少なくともでなければなりません、正確にどのようにキーの変更)を知って、その後、p「を計算するために必要な暗号の協力を持っています。これは明らかに現実の世界では非常に困難な攻撃です。
A.3. 3DES Block Size
A.3。 3DESブロックサイズ
While the effective key length for 3DES is clearly much larger than for DES, the block size is, unfortunately, still only 64 bits. For CBC mode (the most commonly deployed mode in Internet security protocols), this means that, due to the birthday paradox, information about the plaintext begins to leak after around 2^32 blocks have been encrypted. For this reason, 3DES may not be the best choice for high-throughput links, or other high-density encryption applications. At minimum, care should be taken to refresh keys frequently enough to minimize ciphertext collisions in such scenarios.
3DESのための有効なキーの長さは、DESよりも明らかにはるかに大きいが、ブロックサイズは、残念ながら、まだわずか64ビットです。 CBCモード(インターネットセキュリティプロトコルで最も一般的に展開モード)の場合、これは、誕生日のパラドックスに、平文の情報は約2 ^ 32個のブロックが暗号化された後に漏れ始め、ということを意味します。このため、3DESは、高スループットのリンク、または他の高密度の暗号化アプリケーションのための最良の選択ではないかもしれません。最低でも、介護は、そのようなシナリオで暗号文の衝突を最小限にするのに十分な頻度でキーをリフレッシュするために取られるべきです。
Informative References
参考文献
[AES] "The Advanced Encryption Standard", November 2001, <http://csrc.nist.gov/publications/fips/fips197/ fips-197.pdf>.
[AES] "のAdvanced Encryption Standard"、2001年11月、<http://csrc.nist.gov/publications/fips/fips197/ FIPS-197.pdf>。
[AES-NSA] "CNSS Policy No. 15, Fact Sheet No. 1", June 2003, <http://csrc.nist.gov/cryptval/CNSS15FS.pdf>.
[AES-NSA "CNSSポリシー第15号、ファクトシート1号"、2003年6月、<http://csrc.nist.gov/cryptval/CNSS15FS.pdf>。
[BIH93] Biham, E. and A. Shamir, "Differential Cryptanalysis of the Data Encryption Standard", 1993.
【BIH93] Biham、E.、およびA.シャミル、「データ暗号化規格の差分解読法」、1993。
[BIH96] Biham, E., "How to Forge DES-Encrypted Messages in 2^28 Steps", 1996.
[BIH96] Biham、E.、 "どのように2 ^ 28のステップでDESで暗号化されたメッセージを偽造する"、1996年。
[BIH96-2] Biham, E. and A. Shamir, "A New Cryptanalytic Attack on DES", 1996.
[BIH96-2] Biham、E.およびA.シャミル、 "DESの新しい暗号分析アタック"、1996年。
[BLAZ96] Blaze, M., Diffie, W., Rivest, R., Schneier, B., Shimomura, T., Thompson, E., and M. Wiener, "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security", January 1996.
[BLAZ96]ブレイズ、M.、ディフィー、W.、リベスト、R.、シュナイアー、B.、下村、T.、トンプソン、E.、およびM.ウィーン、「共通鍵暗号のための最小限のキーの長さは、十分な商業セキュリティを提供するために」、1996年1月。
[BOT05] "Know Your Enemy: Tracking Botnets", March 2005, <http://www.honeynet.org/papers/bots/>.
[BOT05] "あなたの敵を知っている:ボットネットの追跡"、2005年3月、<http://www.honeynet.org/papers/bots/>を。
[CERT01] Ianelli, N. and A. Hackworth, "Botnets as a Vehicle for Online Crime", December 2005, <http://www.cert.org/archive/pdb/Botnets.pdf>.
[CERT01]ヤネリレジデンス、N.とA. Hackworth、 "オンライン犯罪のための車としてボットネット"、2005年12月、<http://www.cert.org/archive/pdb/Botnets.pdf>。
[CURT05] Curtin, M., "Brute Force: Cracking the Data Encryption Standard", 2005.
[CURT05]カーティン、M.、 "ブルートフォース:データ暗号化規格クラッキング"、2005年。
[CURT98] Curtin, M. and J. Dolske, "A Brute Force Search of DES Keyspace", 1998, <http://www.interhack.net/pubs/des-key-crack/>.
【CURT98]カーティン、M.及びJ. Dolske、 "DES鍵空間のブルートフォース検索"、1998、<http://www.interhack.net/pubs/des-key-crack/>。
[DES] "Data Encryption Standard", January 1977, <http://www.nist.gov>.
[DES] "データ暗号化規格"、1977年1月、<http://www.nist.gov>。
[DH77] Hellman, M. and W. Diffie, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard", June 1977.
[DH77]ヘルマン、M.およびW.ディフィー、「NBSデータ暗号化規格の網羅解読」、1977年6月。
[DIST99] Press Release, distributed., "US GOVERNMENT'S ENCRYPTION STANDARD BROKEN IN LESS THAN A DAY", 1999, <http://www1.distributed.net/des/release-desiii.txt>.
。、 "DAY未満で壊れ米国政府の暗号化規格" 分散[DIST99]プレスリリース、1999年、<http://www1.distributed.net/des/release-desiii.txt>。
[EFF98] EFF, "Cracking DES", July 1998.
[EFF98] EFF、 "DESクラッキング"、1998年7月。
[FBI01] "NIPC Advisory 01-003", March 2001, <http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>.
[FBI01] "NIPC諮問01から003"、2001年3月、<http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>。
[FBI06] "FBI Webpage: Focus on Economic Espionage", January 2006, <http://www.fbi.gov/hq/ci/economic.htm>.
[FBI06] "FBIのウェブページ:経済スパイに焦点を当てる"、2006年1月、<http://www.fbi.gov/hq/ci/economic.htm>。
[FERG03] Ferguson, N. and B. Schneier, "Practical Cryptography", 2003.
[FERG03]ファーガソン、N.およびB.シュナイアー、 "実用的な暗号化"、2003年。
[FPL02] Koeune, F., Rouvroy, G., Standaert, F., Quisquater, J., David, J., and J. Legat, "An FPGA Implementation of the Linear Cryptanalysis", FPL 2002, Volume 2438 of Lecture Notes in Computer Science, pages 846-852, Spriger-Verlag, September 2002.
【FPL02] Koeune、F.、Rouvroy、G.、Standaert、F.、Quisquaterの、J.、デビッド、J.、およびJ. Legat、 "線形解読法のFPGA実装"、FPL 2002、講義のボリューム2438コンピュータサイエンスのノート、ページ846から852、Spriger-Verlag社、2002年9月。
[HAC] Menezes, A., van Oorschot, P., and S. Vanstone, "Handbook of Applied Cryptography", 1997.
[HAC]メネゼス、A.、バンOorschot、P.、およびS. Vanstone著、 "応用暗号のハンドブック"、1997。
[JAK97] Jakobsen, T. and L. Knudsen, "The Interpolation Attack on Block Ciphers", 1997.
[JAK97]ヤコブセン、T.およびL.クヌーセン、 "ブロック暗号の補間攻撃"、1997年。
[KELSEY] Kelsey, J., Schneier, B., and D. Wagner, "Key-Schedule Cryptanalysis of 3-WAY, IDEA, G-DES, RC4, SAFER, and Triple-DES", 1996.
【ケルシー】ケルシー、J.、シュナイアー、B.、およびD.ワグナー、 "3-WAY、IDEAのキースケジュール解読、G-DES、RC4、SAFER、及びトリプルDES"、1996。
[LUCKS] Lucks, S., "Attacking Triple Encryption", 1998.
[LUCKS] Lucks、S.、 "トリプル暗号化を攻撃"、1998年。
[MAT93] Matsui, M., "Linear Cryptanalysis Method for DES Cipher", 1993.
【MAT93】松井、M.、「DES暗号の線形解読法」、1993。
[NIST-TP] "DES Transition Plan", May 2005, <http://csrc.nist.gov/cryptval/DESTranPlan.pdf>.
[NIST-TP] "DES移行計画"、2005年5月、<http://csrc.nist.gov/cryptval/DESTranPlan.pdf>。
[NYSE1] "Extreme availability: New York Stock Exchange's new IT infrastructure puts hand-held wireless terminals in brokers' hands.", June 2005.
[NYSE1]「エクストリームの可用性:ニューヨーク証券取引所の新しいITインフラストラクチャは、ブローカーの手の中に手持ちの無線端末を置きます。」、2005年6月。
[RSA1] Press Release, RSA., "Team of Universities, Companies and Individual Computer Users Linked Over the Internet Crack RSA's 56-Bit DES Challenge", 1997, <http:// www.rsasecurity.com/press_release.asp?doc_id=661&id=1034>.
[RSA1]プレスリリース、RSA、「インターネットクラックRSAの56ビットDESチャレンジにわたりリンク大学、企業や個人のコンピュータユーザーのチーム」、1997年、<のhttp:// www.rsasecurity.com/press_release.asp?doc_id = 661&ID = 1034>。
[RSA2] Press Release, RSA., "RSA to Launch "DES Challenge II" at Data Security Conference", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=729&id=1034>.
【RSA2]プレスリリース、RSA、 "データセキュリティ会議で、 "DESチャレンジII、1998年" RSAが起動するには"、<のhttp:// www.rsasecurity.com/press_release.asp?doc_id=729&id=1034>。
[RSA3] Press Release, RSA., "Distributed Team Collaborates to Solve Secret-Key Challenge", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=558&id=1034>.
【RSA3]プレスリリース、RSA、1998年 "秘密鍵チャレンジを解決するためにチームの協業を分散"、<のhttp:// www.rsasecurity.com/press_release.asp?doc_id=558&id=1034>。
[RSA4] Press Release, RSA., "RSA to Launch DES Challenge III Contest at 1999 Data Security Conference", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=627&id=1034>.
。<:// www.rsasecurity.com/press_release.asp?doc_id=627&id=1034 HTTP> [RSA4]プレスリリース、RSAは、1998年、 "RSAは、1999データ・セキュリティ会議でDESチャレンジIIIコンテストを起動します"。
[RSA5] Press Release, RSA., "RSA Code-Breaking Contest Again Won by Distributed.Net and Electronic Frontier Foundation", 1999, <http://www.rsasecurity.com/ press_release.asp?doc_id=462&id=1034>.
[RSA5]プレスリリース、RSA。、 "RSA暗号解読コンテスト再びウォンDistributed.Netによると、電子フロンティア財団"、1999年、<http://www.rsasecurity.com/ press_release.asp?DOC_ID = 462&ID = 1034> 。
[SCHN96] Schneier, B., "Applied Cryptography, Second Ed.", 1996.
[SCHN96]シュナイアー、B.、 "応用暗号、第2版。"、1996年。
[VA1] "Review of Issues Related to the Loss of VA Information Involving the Identities of Millions of Veterans (Report #06-02238-163)", July 2006, <http://www.va.gov/oig/51/ FY2006rpts/VAOIG-06-02238-163.pdf>.
[VA1]「退役軍人の何百万人のアイデンティティを伴うVA情報の損失に関連する問題のレビュー(レポート#06-02238-163)」、2006年7月、<http://www.va.gov/oig/51/ FY2006rpts / VAOIG-06-02238-163.pdf>。
[WIEN94] Wiener, M., "Efficient DES Key Search", August 1993.
[WIEN94]ウィーン、M.、 "効率的なDES鍵の探索"、1993年8月。
Author's Address
著者のアドレス
Scott G. Kelly Aruba Networks 1322 Crossman Ave Sunnyvale, CA 94089 US
スコットG.ケリー・アルバネットワークス1322クロスマンアベニューサニーベール、CA 94089米国
EMail: scott@hyperthought.com
メールアドレス:scott@hyperthought.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2006).
著作権(C)IETFトラスト(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST, AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書およびここに含まれる情報は、上に提供される基礎とCONTRIBUTOR、ORGANIZATION彼/彼女が表すOR(もしあれば)後援が「そのまま」、インターネット学会、IETFトラスト、インターネットエンジニアリングタスクフォース放棄情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されないすべての保証、明示または黙示、。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。