DEAL – 128 битный die Blockchiffre

 

Lars R. Knudsen

Am 21. Februar 1998

 

Die Übersetzung von der englischen Sprache: Kotschetkow N. N

Der Oktober 1998

 

Die Inhaltsangabe

 

Wir bieten die neue Blockchiffre, DEAL, gegründet auf DES (DEA an). Der Umfang des Blocks DEAL – 128 Bits, den Umfang des Schlüssels kann 128, 192 oder 256 Bit sein. Die von uns angebotene Chiffre hat etwas Vorteile vor anderen Schemen: большему dem Umfang der Blöcke dankend, wird das Problem "die Angriffe nach der ausgewählten Chiffre-Text" weniger wesentlich, und die Geschwindigkeit der Chiffrierung entspricht der Geschwindigkeit dreifach DES. Wir vermuten, dass am meisten realistisch (oder am wenigsten nicht realistisch) der Angriff auf eine beliebige Version DEAL'á eine ausführliche Suche der Schlüssel ist. Wir haben ANSI (dem Institut) angeboten DEAL in den Standard ANSI X9.52 aufzunehmen. Dazu bieten wir DEAL, wie der Kandidat auf den Standard NIST AES an.

 

1 Einleitung

DES (oder DEA) [15] – die Blockchiffre mit dem Umfang des Blocks die 64 Bits und 64 битным vom Schlüssel, in dem 56 Bit wirksam sind. Es – итеративный 16 цикловой die Chiffre, darin wird die Chiffre-Text mittels итеративного die Anlagen цикловой die Funktionen zum offenen Text ausgerechnet. DES hat sogenannten Fejstelewu die Struktur: in jedem Zyklus wird die Hälfte des Blocks durch die nichtlineare Funktion, ihren Ausgang XOR’ится mit anderer Hälfte versäumt, wonach sich beide Hälften von den Stellen ändern.

Für die modernen Anlagen wurde der Umfang des Schlüssels DES viel zu klein. Винер [20] hat gezeigt, was, die spezialisierte Einrichtung, fähig zu konstruieren, die ausführliche Suche des Schlüssels DES durchschnittlich allen für 3.5 Stunden zu erzeugen, sich ungefähr 1 Million US $ kosten wird. Dazu, es war vor kurzem gezeigt, dass auch von den Programmangriffen den Schlüssel vom Umfang das 56 Bit den bedeutenden Schutz nicht gewährt – der Schlüssel DES war mittels der ausführlichen Suche von den Mitteln verbreitet nach Internet’у gefunden.

Freilich, bezeichneten auf das Problem des ungenügenden Umfanges des Schlüssels schon fast sofort nach der Publikation DES [6]. Deshalb, ist DES häufig wird nach dem dreifachen Schema der Chiffrierung, das dreifachen DES’ом (Triple-DES) genannt wird verwendet, wo der offene Text auf drei unabhängigen Schlüsseln dreimal chiffriert wird. In anderer Variante, die Zweischlüssel- dreifachen DES’ом genannt wird, der offene Text wird vom Schlüssel К1 zuerst chiffriert, dann wird vom Schlüssel К2 entziffert und endlich wird vom Schlüssel К1 [18] wieder chiffriert. Jedoch macht der Umfang des Blocks in 64 Bits diese Schemen verwundbar zum Angriff nach der ausgewählten Chiffre-Text, die auf der Tatsache gegründet ist, dass für большего die Zahl der Regimes der Arbeit mit DES [16] nach зашифрования 2³³ Blöcke die identischen Blöcke der Chiffre-Textes erwarten kann, es gibt das Ausfließen der Informationen über den offenen Text [5, 9, 13]. Dazu, dreifach DES mit drei unabhängigen Schlüsseln ist zum Angriff nach dem abhängigen (?) Schlüssel [7], deren Zeit der Ausführung ungefähr solches, wie die Zeit der ausführlichen Suche des Schlüssels in einfach DES verwundbar.

Die Kommission X9.F.1 des Nationalen Amerikanischen Institutes der Standards (ANSI) arbeitet an der Annahme des Satzes der Regimes der dreifachen Chiffrierung DES [21]. Eines dieser Regimes – mit der Rückkopplung nach der Chiffre-Text (Triple DES Cipher Block Chaining – TCBC), wo Block für die Rückkopplung der Block der Chiffre-Textes nach 3 зашифрований ist, – heißt äusserlich (outer-) CBC vom Regime auch. Jedoch ist dieses Regime zum Angriff nach der ausgewählten Chiffre-Text verwundbar. Deshalb wird es, vorgeschlagen, dreifach DES im Regime mit der Rückkopplung nach der Chiffre-Text mit der inneren Rückkopplung zu verwenden, heißt inner (inner-) CBC vom Regime auch, wo sich die Rückkopplung nach jedem зашифрования einfach DES’ом verwirklicht. Obwohl dieses Regime zum Angriff nach der ausgewählten Chiffre-Text weniger verwundbar ist, kann der wirksame Angriff nach der Eröffnung des Schlüssels inzwischen viel kleiner durchgeführt sein, als man für das Schema mit der dreifachen Chiffrierung [1] erwarten könnte.

Coupersmith, Jonson und Matyas [5, 4] bieten für dreifach DES’а das Regime CBC mit OFB Masking (CBCM an). Wagner [5] hat криптоанализ des Vorschlages durchgeführt, der der vorliegenden Entwicklung voranging, wo jede zwei Anfangsgrößen nur 2²⁰ Bedeutungen übernehmen kann. Das Regime CBCM ist zum Angriff nach der ausgewählten Chiffre-Text nicht verwundbar, und das Niveau der Geborgenheit wird 2⁸⁰ angenommen. Die Unbequemlichkeit des angebotenen Schemas darin, dass für зашифрования des Blocks des offenen Textes vom Umfang die 64 Bits 4 зашифрования DES auf drei verschiedenen Schlüsseln verwendet werden. Früher haben Biham und Knudsen gezeigt, dass DES am Regime CBCM zum Angriff nach der gewählten Chiffre-Text verwundbar ist, in der 2⁶⁵ Blöcke der gewählten Chiffre-Textes und deren Komplexität nach der Zeit – 2⁵⁸ [2] verwendet werden.

Wir bieten r-ziklowoj Fejstelew die Chiffre an, die DES in der Qualität цикловой die Funktionen verwendet. Daraufhin wird die Chiffre mit dem Umfang des Blocks das 128 Bit und r · in 64 Bits цикловых der Schlüssel erhalten, die nach dem Algorithmus des Planes der Schlüssel bekommen werden. Der Plan der Schlüssel ist so entwickelt dass der Umfang des Schlüssels eine drei verschiedener Bedeutungen zu übernehmen kann: 128, 192 oder 256 Bit. Wir empfehlen bei zwei ersten Umfängen des Schlüssels, r = 6, und beim Umfang des Schlüssels das 256 Bit r = 8 zu legen. Niedriger werden wir erklären, warum empfehlen wir r ≥ 6. Wenn die Bits der Prüfung der Parität jedes Bytes des Schlüssels bei der Chiffrierung nicht verwendet werden, wie es in DES geschieht, verringern sich die geltenden Umfänge der Schlüssel bis zu 112, 168 und 224 Bit entsprechend. Die ausführliche Suche des Schlüssels ist noch ganz unmöglich (siehe, zum Beispiel, die Erörterung der Umfänge der Schlüssel in [3]). Dazu, für den erfolgreichen Angriff nach der ausgewählten Chiffre-Text muss man etwa 2⁶⁴ Blöcke der Chiffre-Textes einführen. Die Geschwindigkeit der von uns angebotenen Chiffre solche, wie man bei dreifach DES’а, wenn 6 зашифрований für die Schließung zwei Blöcke des offenen Textes auf 64 Bits außerdem es zu verwenden mit der Nutzung der existierenden Mittel DES verwenden kann.

Das nationale Institut der Standards und der Technologie (NIST) hat die Absicht vor kurzem erklärt, den neuen Algorithmus der Chiffrierung, Advanced Encryption Standart, wie den Ersatz DES [14] zu standardisieren. Die Erklärung NIST darauf, dass solange, bis AES fertig sein wird, wird etwas Jahre gehen, und dass sie beabsichtigt sind, "den Dreifachen DES-Algorithmus anzuerkennen, Mal er ist vom Standard ANSI" [14] übernommen, macht eine Initiative ANSI sogar wichtiger.

 

2 DEAL

DEAL (Data Encryption Algorithm with Larger blocks – ist der Algorithmus der Chiffrierung der Daten mit den Vergrösserten Blöcken) 128 битным Blockchiffre mit den Umfängen des Schlüssels 128, 192 und 256 Bit, dass weiter hier DEAL-128, DEAL-192 und DEAL-256 entsprechend bezeichnet werden wird. Alle Versionen können in jedem vier standardmäßiger Regimes DES’a [16] verwendet werden. Wir werden mit der Beschreibung der Arbeit DEAL im Regime ECB beginnen. Wenn auch mit = Е_В () chiffriert DES die Bedeutung 64 битного Und auf dem Schlüssel In, und bedeutet wenn auch Y = ЕA_Z (X) зашифрование DEAL 128 битного X auf dem Schlüssel Z bedeutet. Der offene Text Р wird auf die Blöcke P_i auf 128 Bit jeder, P = P₁, P₂, …, P_n geteilt. Der Plan der Schlüssel übernimmt den Schlüssel Zu und gibt r der Schlüssel DES RK_i, wo i = 1, …, r zurück, wie es es ist niedriger beschrieben ist. Wir werden X^L und X^R die linken und rechten Teile Х entsprechend bezeichnen. Die Chiffre-Text wird auf folgende Weise ausgerechnet. Wir werden legen, und wir werden für j = 1, …, r ausrechnen

	(1)
.	(2)

Wir werden legen. Auf der Abb. 1 ist ein Zyklus DEAL gezeigt. Für DEAL-128 und DEAL-192 bieten wir an 6 Zyklen zu verwenden, d.h. r = 6. Jedoch es wie wir niedriger ist, seiner kann ungenügend für DEAL-256 sein, hier wird es vorgeschlagen, 8 Zyklen, r = 8 zu verwenden. Es scheint, dass die Version mit dem Umfang des Schlüssels das 256 Bit nur verwendet wird wenn es besonders stark зашифрование erforderlich ist.

Wir werden bemerken, dass sich den letzte Zyklus DEAL der Hälfte des Blocks von den Stellen ändern. Der Grund im Folgenden: der rechte Teil der Chiffre-Textes С_i wird im letzten Zyklus I. зашифрования nicht chiffriert, und nur der linke Teil des Eingangs i + 1. зашифрования (der gleich ist) auf dem letzten Zyklus chiffriert wird. Т die Insel würde der rechte Teil C_i nicht перезашифрованной zwei Zyklen bleiben. Es kann den Tätigkeitskreis den Übeltätern geben, um so mehr, dass die Chiffre allen aus 6 oder 8 Zyklen besteht. Wir werden bemerken, dass die ähnliche Eigenschaft und bei DES im Regime CBC ist. Freilich, wäre es es schwieriger, zu verwenden, doch bei DES 16 Zyklen schwieriger. Wir werden uns gönnen, zu bemerken, dass der Austausch von den Stellen der rechten und linken Teile auf dem letzten Zyklus die Standhaftigkeit der Blockchiffre beim Regime ECB nicht beeinflusst.

Die Arbeit des Regimes CBC ist in [16] bis ins Einzelne beschrieben. Also, wir werden die Blöcke des offenen Textes auf 128 Bit P₁, P₂, …, P_n und С₁, С₂, …, С_n – die ihnen entsprechenden Blöcke der Chiffre-Textes bezeichnen. Dann:

,

Wo С₀ – die Anfangsbedeutung.

In DES wird die Anfangsumstellung IP von erstem zum offenen Text verwendet, und es ist vor dem Ausgang die Chiffre-Text ähnlich wird durch rückgängig zu ihr IP^-1 versäumt. Es ist möglich, die Geschwindigkeit DEAL zu vergrössern, wenn aus verwendet DES dieser die Anfangs- und endlichen Umstellungen zu entfernen. Es ist leicht, zu zeigen, dass für das Erhalten der korrekten Realisierung DEAL’а IP beiden Teilen des offenen Textes vor зашифрованием, und IP^-1 – zu beiden Teilen der Chiffre-Textes verwandt sein soll.

Auf den Eingang des Planes der Schlüssel wird s der Schlüssel DES, К₁, …, K_s, für s = 2, 3, 4 gereicht, jeder auf 64 Bit (8 Prüf- Bit aufnehmend, älter wird das Bit jedes Bytes), auf dem Ausgang r der Schlüssel DES, RК_i erhalten. Wir verwenden die allgemeine Methode, приложимый zu allen drei Umfängen des Schlüssels. Erstens dehnen wir s der Schlüssel bis zu r der Schlüssel, mittels der Wiederholung und XOR’ения mit der neuen Konstante für jede neue Wiederholung aus. Wir chiffrieren die ausgedehnte Liste der Schlüssel DES’ом im Regime CBC mit dem fixierten Schlüssel und der Nullanfangsbedeutung. Aus den bekommenen Blöcken der Chiffre-Textes entwickeln sich eben schließe RK_{i an}. Weiter bringen wir die genauen Bestimmungen jedes der Plane der Schlüssel, hier Zu = 0х1234 5678 90ab cdef_x (die Hexadezimalzahl) – der fixierte Schlüssel DES.

In DEAL-128 schließe an werden auf folgende Weise generiert:

,

,

,

,

,

,

Wo – 64 битное die ganze Zahl, in der i – das 1. Bit (geht die Indexbezeichnung mit 0) bestimmt ist, und übrig gereinigt sind. Zum Beispiel, kann wie hexadezimal- "0х8000 0000 0000 0000_х” vorgestellt sein.

 

In DEAL-192 schließe an werden auf folgende Weise generiert:

,

,

,

,

,

.

Diese Versionen des Planes der Schlüssel fordern 6 Plane der Schlüssel DES und 6 зашифрований DES auf dem fixierten Schlüssel. Schließe an man muss nur einmal erzeugen, wenn sie aufzusparen nachher.

 

In DEAL-256 schließe an werden auf folgende Weise generiert:

,

,

,

,

,

,

,

.

Diese Version des Planes der Schlüssel fordert 8 Plane der Schlüssel DES und 8 зашифрований DES auf dem fixierten Schlüssel. Schließe an man muss nur einmal erzeugen, wenn sie aufzusparen nachher.

 

Wir werden bemerken, dass für alle Versionen des Planes der Schlüssel 64 битные die Größen RK_i wie die Schlüssel DES verwendet werden, deshalb die Bits der Prüfung der Parität RK_i werden im I. Zyklus nicht verwendet. Jedoch aller 64 Bits RK_i, wie des Ausgangs der Chiffrierung auf dem Schlüssel Zu, bei der Erzeugung des Folgenden подключа verwendet werden.

Die Prinzipien der Entwicklung des Planes der Schlüssel, bestehen darin erstens, dass anschließe hängten von der meisten Zahl der Bits des Hauptschlüssels ab, aber forderten dabei viel Arbeit, zweitens bei der Einführung s die Hauptschlüssel vom Umfang auf 64 Bit nicht, jede sollen s konsequent подключей die Entropie s ∙ 56 Bit haben, und endlich soll der abhängigen und schwachen Schlüssel nicht offenbar sein es soll die Eigenschaft дополнительности (?) nicht bleiben. Wir werden bemerken, dass zwei letzten Probleme und in DES, und – alle drei – in dreifach DES anwesend sind. Wir haben bemerkt, dass wenn sich die Hauptschlüssel vom Umfang auf 64 Bits jeder, ein Paar der Schlüssel, die die identischen Mengen подключей generieren befinden kann. Jedoch ist die Zahl solcher Schlüssel, es scheint, so klein, was die Drohung DEAL’у, verwendet für die Chiffrierung nicht vorstellt.

Die Absetzungen sind für die Verhinderung des Erscheinens der schwachen Schlüssel eingeführt. Wenn sie nicht wäre, es würden die Schlüssel existieren, für die allen anschließe waren gleich. Zum Beispiel, für DEAL-128 hätten die Schlüssel K₁ = K₂ = D_K (0) 6 подключей mit der Bedeutung 0 erzeugt. Die Absetzungen und die Chiffrierung auf dem fixierten Schlüssel verhindern das Erscheinen der schwachen und abhängigen Schlüssel und der Eigenschaft дополнительности.

Wir werden bemerken, dass wenn das Bit der Prüfung der Parität in jedem Byte des Hauptschlüssels verwendet wird, die geltenden Umfänge der angebotenen Schlüssel bilden 112, 168 und 224 Bit entsprechend.

Die obenangeführte Struktur DEAL könnte sein und anderer – ist etwas möglicher Varianten. Anstelle Fejstelewoj der Struktur kann man die Struktur MISTY, die zum ersten Mal in [12], beschrieben sind verwenden erlaubt in höherem Grad распараллелить die Berechnungen (in der Hardwareerfüllung). Jedoch ist diese Struktur viel später entwickelt und noch nicht ist so tief analysiert. Andere Variante – DEAL im Regime «DES-X» [8], in den den zusätzlichen Schlüssel XOR’ится mit im Klartext und mit der Chiffre-Text zu verwenden. Oder, anstelle der Nutzung DES, wie man цикловой die Funktionen, DES-X verwenden kann. Der Mangel zwei letzten Vorschläge darin, dass es erforderlich ist, большее die Zahl подключей zu generieren, und, also wird der Plan der Schlüssel DEAL komplizierter sein.

 

2.1 Standhaftigkeit DEAL’а

Was man über die Standhaftigkeit DEAL’а insgesamt sagen kann? Vor allem, wir werden bemerken, dass für DEAL der einfache Angriff meet-in-the-middle (nach der Mitte zu begegnen), ähnlich solchem Angriff auf doppelt DES [6, 19], die Schlüssel während der Ordnung 2¹⁶⁸ зашифрований für sechs und 2²²⁴ зашифрований für acht Zyklen DEAL entsprechend, unabhängig vom Plan der Schlüssel aufsuchen wird. Gerade deshalb, es wird in DEAL-256 vorgeschlagen, wenigstens 8 Zyklen зашифрования zu erzeugen. Für DEAL-128 wird die ausführliche Suche des Schlüssels die Zeit etwa 2¹¹² зашифрований einnehmen.

Patarin in [17] hat gezeigt, dass, um 5 oder 6 цикловой n-Bit- Fejstelew die Chiffre mit zufällig цикловой von der Funktion von der wahrhaft zufälligen 2n-Bit- Umstellung zu unterscheiden, es erforderlich ist, wenigstens 2^2n / 3 offen Texte und der ihnen entsprechenden Chiffren-Texte zu wissen  . Weiter vermutet er, was 2ⁿ Paare gefordert wird. Wenn zu meinen, dass DES die zufällige Umstellung [1], jenen, nach der Annahme Patarin’а modelt, ist es etwa 2⁶⁴ зашифрований erforderlich, um DEAL von der zufälligen Umstellung zu unterscheiden; es ist auch die Komplexität des Angriffes nach der ausgewählten Chiffre-Text dies. Schnellster der bekannten Angriffe nach dem Verbleib des Schlüssels auf DEAL (mit sechs Zyklen), die wir, – der allgemeine Angriff auf 6 цикловые Fejstelewy die Chiffren [10], in der Anlage zu DEAL anerkennen, sie fordert etwa 2¹²¹ зашифрований DES, etwa 2⁷⁰ gewählte offenen Texte, für einen beliebigen Plan der Schlüssel verwendend. Im Folgenden werden wir die Verschiedenheit zwischen zwei Reihenfolgen das Bit, wie bitweise XOR bestimmen.

Die Behauptung 1: es existiert der Angriff auf шестицикловый DEAL damit цикловыми von den Schlüsseln, die etwa 2¹²¹ зашифрований DES fordert, etwa 2⁷⁰ gewählte offenen Texte verwendend.

Der Beweis: wir betrachten 5 цикловую die Version und ein Paar offener Texte mit der Verschiedenheit α ≠ 0 in den rechten Teilen und den gleichen linken Teilen. Wir werden vermuten, dass die Chiffren-Texte nach 5 Zyklen die Verschiedenheit α in den linken Teilen und die gleichen rechten Teile haben. Es bedeutet, dass in beidem зашифрованиях auf den Eingängen DES (in цикловой die Funktionen DEAL) die identischen Bedeutungen auf erstem und auf den fünften Zyklen waren. Weiter, die Verschiedenheit auf den Eingängen DES sowohl auf zweitem als auch auf den vierten Zyklen war α. Aber es ist nötig von hier aus, dass die Ausgänge DES im dritten Zyklus gleich sind, fing an, zu sein, und die Eingänge DES auf dem dritten Zyklus sind auch gleich. Es führt zum Widerspruch, da. Es bedeutet, dass die Ausgänge DES auf zweitem und auf den vierten Zyklen gleich sind, was unmöglich ist, da. Wir haben vermutet, dass sie nicht gleich sind. So die Annahme, dass die Verschiedenheit zwischen den Chiffren-Texten nach 5 Zyklen α in link und 0 in den rechten Teilen gleich ist, ist nicht treu. Mit anderen Worten, wir haben 5 цикловой das Differential mit der Nullwahrscheinlichkeit bestimmt. Es kann für den Angriff auf DEAL verwendet sein.

Der Angriff geschieht auf folgende Weise. Wir werden 2⁶⁴ offene Texte mit fixierten linken und verschiedenen rechten Teilen wählen, wir werden sie bei i = 1, …, 2⁶⁴ bezeichnen. Wir werden die ihnen entsprechenden Chiffren-Texte bezeichnen. Wir werden und werden finden die Zusammenfallen bei i  ≠ j finden  . Man kann etwa solche 2⁶³ Zusammenfallen erwarten:. Wir werden legen. Für alle solche übereinstimmenden Paare und für alle Bedeutungen des Schlüssels im sechsten Zyklus werden wir einen Zyklus der Chiffren-Texte entziffern. Wenn die Verschiedenheiten nach 5 Zyklen α und 0 gleich sind, ist die vermutete Bedeutung des Schlüssels nicht treu. Wir werden bemerken, dass bei der richtigen Bedeutung des Schlüssels solche Verschiedenheiten nach 5 Zyklen, erscheinen nicht können, aber bei falsch werden sie mit der Wahrscheinlichkeit 2^-64 für jedes analysierte Paar erscheinen. So werden mit 263 Paaren etwa die Hälfte der Schlüssel zurückgeworfen sein. Bei der Wiederholung des Angriffes 56 Male bleiben möglich nur wenige Bedeutungen des Schlüssels im sechsten Zyklus. Im Allgemeinen, der Angriff fordert 56 ∙ 2⁶⁴ ≈ 2⁷⁰ gewählte offenen Texte, (2⁵⁶ + 2⁵⁵ + 2⁵⁴ + … + 2 + 1) ∙ 2⁶⁴ ≈ 2⁵⁷ ∙ 2⁶⁴ = 2¹²¹ зашифрований DES und 2⁶⁴ Wörter ярь =ш.аааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа □

Der obenangeführte Angriff, der zu DEAL-192 verwandt ist ist schneller, als die ausführliche Suche des Schlüssels, obwohl die Vorbedingungen sehr nicht realistisch. Wenn dem Angreifenden gelingen wird, 2⁶⁴ oder mehr Paare geöffnet und der Chiffren-Texte zu finden, es kann ins Spiel der Angriff nach der ausgewählten Chiffre-Text eingehen, und wird auf jeden Fall die Chiffre mit dem großen Umfang des Blocks benötigt. Der am meisten studierte Angriff auf DEAL-128 – die ausführliche Suche des Schlüssels – fordert die Zeit etwa 2¹¹² зашифрований. Wir haben den Angriff auf DEAL mit восемью von den Zyklen best, als die obenangeführte ausführliche Suche des Schlüssels "meet-in-the-middle nicht" gefunden. Kann sein, es existieren auch die schnelleren Angriffe, zum Beispiel, die erfolgreiche Verallgemeinerung des obenangeführten Angriffes auf 6 Zyklen, aber solchen Plan des Angriffes werden die unwirkliche Zahl der gewählten offenen Texte und der unwirkliche Umfang des Gedächtnisses fordern.

Der Angriff auf 6 Zyklen erklärt unsere Empfehlungen – für DEAL r ≥ 6 zu verwenden  . Bei r  ist es ≤ 5 möglich, die Differentiale mit der Nullwahrscheinlichkeit zu bezeichnen. Es bedeutet, dass für einige die Verschiedenheiten in Paaren des offenen Textes, einige andere Verschiedenheiten in entsprechenden Paaren Chiffre-Textes unmöglich sind. Vor allem, es gibt keine solche Eigenschaft bei einigen modernen Blockchiffren später solche Differentiale können in den Angriffen nach dem Öffnen des Schlüssels mit der Komplexität etwa 2⁸⁸ für DEAL nur mit den 5. Zyklen [10] verwendet sein. (Wir Werden bemerken, dass solcher Angriff – nur die obere Grenze des Niveaus der Geborgenheit).

Ende diese Abteilung werden wir das Ergebnis den Besonderheiten DEAL zuführen.

·         DEAL hat den Umfang des Blocks die 128 Bits und die Umfang des Schlüssels 128, 192 oder 256 Bit (den geltende Umfang entsprechend – 112, 168 oder 224 Bits).

·         fordert der Angriff nach der ausgewählten Chiffre-Text etwa 2⁶⁴ Blöcke der Chiffre-Textes.

·         Gibt es keine bekannte, wahrscheinlichen Angriffe.

·         DEAL mit sechs Zyklen hat die Geschwindigkeit, die der Geschwindigkeit dreifache DES ähnlich ist.

·         DEAL kann in den standardmäßigen Regimes der Arbeit verwendet werden.

·         DEAL auf vorhanden hardware- und programm- kann die Versorgung DES realisiert sein.

·         Gibt es es ist der schwachen Schlüssel offenbar und es ist die Eigenschaft дополнительности entfernt.

Endlich, wir werden uns gönnen zu bemerken, dass wegen des ziemlich komplizierten Planes der Schlüssel, DEAL nicht praktisch, in den zufälligen Funktionen zu verwenden.

 

3 Schluss

Wir haben die Blockchiffre, DEAL, mit dem Umfang des Blocks das 128 Bit und dem Umfang des Schlüssels 128, 192 oder 256 Bit, wie die Alternative der existierenden dreifachen Regimes der Chiffrierung beschrieben. DEAL kann in allen vier, entwickelt für DES, die standardmäßigen Regimes der Chiffrierung verwendet werden. Für zwei ersten Umfänge des Schlüssels chiffriert das Schema zwei Blöcke auf 64 Bits, sechs зашифрований DES verwendend, ist so ihre Produktivität der Produktivität dreifach DES gleich. Die Produktivität DEAL mit восемью von den Zyklen (und dem Umfang des Schlüssels das 256 Bit) ist DES im Regime CBCM gleich. Dank den großen Umfängen des Blocks und des Schlüssels, sind die ausführliche Suche des Schlüssels und der Angriff nach der ausgewählten Chiffre-Text unerfüllbar. Dazu, werden die schwachen Stellen DES und dreifach DES vermieden. Gibt es es ist der schwachen Schlüssel offenbar, es blieb die Eigenschaften дополнительности nicht übrig, und der Erfolg der Angriffe nach dem abhängigen Schlüssel ist sehr wenigwahrscheinlich. Wir empfahlen ANSI, DEAL, wie der Teil [21] zu übernehmen. Außerdem bieten wir DEAL, wie der mögliche Kandidat auf Advanced Encryption Standard [14 an].

 

4 Dankbarkeiten

Der Autor ist Don Coupersmith’y, Bart Preneel’y, Vincent Rijmen’y und Matthew Robshaw’y für eine Menge der bedeutenden Kommentare dankbar.

 

Die Verbannungen

Siehe das Original des Artikels auf der englischen Sprache, die Abteilung References.