3DES

两重DES
k1
p
k2 ci ci
k2
p
k1
mi
E
E
D
D
mi
中途相遇攻击
给定一已知明密文对(m 给定一已知明密文对 1,c 1)， 可按下法攻击 。 ， 可按下法攻击。
• 以密钥 1的所有 56个可能的取值对此明文 1加密，并 以密钥k 的所有2 个可能的取值对此明文m 加密， 存储在一个表p中 将密文存储在一个表 中； 存储在一个表 • 从所有可能的 56个密钥 2中依任意次序选出一个对给 从所有可能的2 个密钥k 定的密文c 解密， 并将每次解密结果在上述表p中 定的密文 1 解密 ， 并将每次解密结果在上述表 中 查 找相匹配的值。一旦找到，则可确定出两个密钥 1和 的值。 的值 一旦找到，则可确定出两个密钥k k2； • 以此对密钥 1和k2，对另一已知明文密文对 2,c2)中的 以此对密钥k 中的 ，对另一已知明文密文对(m 明文m 进行加密。如果能得出相应的密文c ， 就可确 明文 2进行加密 。如果能得出相应的密文 2，就可 定k1和k2是所要找的密钥。 是所要找的密钥。
三重DES的不足
• 它要求三倍于标准EDS的计算能力，而对 现在的计算速度，这个缺点只有在低速通 信频带中才会表现出来。若使用pentium或 alpha处理器，或广域网传输速度高于 56kbps时，三重数据加密标准增加速度的 要求不再是主要障碍。 • 目前广泛使用的加密算法软件pgp2．6．2 版不支持三重数据加密标准，但将来的pgp 版本将支持三重数据加密标准。
DES-EEE3
EDS-EEE3的运作过程
明文M K1 加密E K2 加密E K3 加密E 密文C
密文C
K3 解密E
K2 解密E
K1 解密E 明文M
DES-EDE3
EDS-EDE3的运作过程
明文M K1 加密E K2 解密E K3 加密E 密文C
密文C
K3 密E
K2 加密E
K1 解密E 明文M
三重DES介绍
• 三重DES，就是对明文使用两个以上不同的密钥， 利用相同的加解密算法，分别加解密处理三次。 • 根据使用的密钥数和加解密变换过程不同，三重 DES有四种模型：
① DES-EEE3，使用三个不同的密钥，顺序进行三次加 密 ② DES-EDE3，使用三个不同的密钥，依次进行加密解密-加密 ③ DES-EEE2，使用两个不同的密钥，其中K1=K3，顺 序进行三次加密 ④ DES-EDE2，使用两个不同的密钥，其中K1=K3，依 次进行加密-解密-加密
DES-EEE2
EDS-EEE3的运作过程
明文M K1 加密E K2 加密E K1 加密E 密文C
密文C
K1 解密E
K2 解密E
K1 解密E 明文M
DES-EDE2
EDS-EDE2的运作过程
明文M K1 加密E K2 解密E K1 加密E 密文C
密文C
K1 解密E
K2 加密E
K1 解密E 明文M
三重DES的应用前景
• DES是世界上经过最严格系统测试的密钥系统， 继续使用DES可以有效地保护商业公司在DES上 进行的重大投资。三重DES加密方案的主要优点 在于它是个标准算法，容易与现存的DES系统结 合。目前有数百万片高速DES芯片正在使用中， 将DES系统变成三重DES加密系统，多数情况下 只需进行一次芯片或BIOS升级，即可使三重DES 算法在简单的商用DES芯片中高速运行。目前， 许多公司正在生产封装有三重DES加密算法的特 定用途集成电路和高速三重DES加密器。
• 问题： 能否将三重DES算法中的DES-EDE2改成 EDS-EDD2？
中途相遇攻击法
• 中途相遇攻击法 中途相遇攻击法(Meet-in-the-Middle Attack) 最早提出， 由Diffie和Hellman[1977]最早提出，可以降低搜 和 最早提出 索量。若有明文密文对(m 满足 索量。若有明文密文对 i,ci)满足 ci=Ek2[Ek1[mi]] 则可得 p=Ek1[ci]=Dk2[mi]
三重DES发展的原因
• DES的密钥长度较短 虽有64位，实际用的只有56位。 • 双重DES没有人们想象中的安全 利用中途相遇攻击法，可以使破译双重 破译双重DES的难度为257 破译双重 的 量级。而不是等价于112 bit密钥的密码的强度。 • 三重EDS的优点 基本克服了DES密钥长度不足的最大缺陷，成功地使 DES密钥长度加倍，达到了112位的军用级标准，没有任 何攻击方式能破解三重DES加密技术，中途相遇攻击法也 不能，这样它提供了足够的安全性。