DESX

DESX — симметричный алгоритм шифрования, разработанный на основе блочного шифра DES (Data Encryption Standard). Данный алгоритм использует метод отбеливания ключа с целью усиления устойчивости к атакам на основе полного перебора.

Исходный алгоритм DES был утвержден в качестве стандарта в 1977 и имел длину ключа 56 бит (${\displaystyle 2^{56}}$ возможных ключей). Алгоритм подвергался критике из-за того, что вычислительные мощности для полного перебора ключей были доступны крупным организациям и правительствам, в частности Агентству Национальный Безопасности США. Для увеличения длины ключа алгоритма DES без его существенной переработки криптоаналитиком Рональдом Ривестом из компании RSA был предложен алгоритм DESX в 1984 г. Повышенная стойкость алгоритма была формально продемонстрирована Джо Килиан и Филипом Роугвей в 1996 г.

Суть алгоритма состоит в том, что перед выполнением однократного DES и после него на данные операцией XOR накладываются различные 64-битные фрагменты ключа:

${\displaystyle {\mbox{DES-X(}}M)=K_{2}\oplus {\mbox{DES}}_{K}(M\oplus K_{1})}$

Таким образом, длина ключа увеличивается до 56 + 2 × 64 = 184 бит.

DESX полностью совместим с алгоритмом DES в случае, если К₁ = К₂ = 0. Авторы алгоритма дают ряд несложных рекомендаций, позволяющих использовать переменный размер ключа шифрования, предварительно применив к нему хеширование алгоритмом SHA-1. Кроме того, авторы алгоритма допускают использование 120-битного ключа шифрования, при этом К₁ устанавливается равным К₂. Существует вариант DESX, также разработанный компанией RSA, со 120-битным ключом, состоящим из К и К₁, а значение К₂ является функцией всех 16 байтов ключа шифрования. Известен еще один вариант алгоритма DESX, в котором вместо обеих операций XOR выполняется сложение по модулю ${\displaystyle 2^{64}}$.

Скорость алгоритма DESX приблизительно равна скорости DES.

DESX достаточно стоек, имеет аппаратную реализацию и широко используется.

Реализация DESX включена в криптографические библиотеки BSAFE компании RSA Security с конца 80х годов.

Хотя длина ключа алгоритма DESX — 184 бита, эффективная длина ключа составляет 56 + 64 — 1 — log₂(M) = 119 — log₂(M) = ~119 бит, где М — число известных пар открытый текст/шифротекст. Более того длина ключа падает до 88 бит при ${\displaystyle 2^{32}}$ известных открытых текстах и при использовании атаки на основе адаптивно подобранного открытого текста. Поэтому некоторые реализации используют ключ К₂ как одностороннюю функцию от К₁ и К.

DESX также увеличивает стойкость DES к дифференциальному и линейному криптоанализу, хотя улучшение не столь значительное, чем в случае атаки на основе полного перебора ключей. Для успешной атаки на алгоритм DESX дифференциальный криптоанализ потребует ${\displaystyle 2^{61}}$ известных открытых текстов (${\displaystyle 2^{47}}$ для DES), а линейный криптоанализ — ${\displaystyle 2^{60}}$ текстов(${\displaystyle 2^{43}}$ для DES).

• Joe Kilian and Phillip Rogaway, How to protect DES against exhaustive key search (PDF), Advances in Cryptology — Crypto '96, Springer-Verlag (1996), pp. 252—267.
• Phillip Rogaway, The security of DESX (PostScript)
• A. Biryukov and D. Wagner, Advanced Slide Attacks, Eurocrypt 2000, Springer-Verlag (2000), pp.589-606