Стандарт шифрования данных DES

 

S-бокс 2

 

S-бокс 3

 

S-бокс 4 

 
 
 
 
 

S-бокс 5

 

S-бокс 6

 

S-бокс 7

 

S-бокс 8

 
 

    2.2. Надёжность DES 

  Говоря  о DES, невозможно обойти стороной тему безопасности данного алгоритма и возможных атак на него. Многолетний опыт эксплуатации DES и его открытость (исходные тексты алгоритма и документацию на него можно встретить в открытых источниках) привели к тому, что DES стал одним из популярнейших алгоритмов с точки зрения проверки тех или иных методов дешифрования и криптоанализа. За все время существования алгоритма на него было проведено немало атак; при этом внимательно изучались и учитывались его многочисленные слабости, выявленные за столь долгий срок эксплуатации. Следует иметь в виду: некоторые из атак реализуемы только исходя из предположения, что атакующий обладает некоторыми возможностями (вычислительными, временными и т.д.), и в ряде случаев подобные попытки с точки зрения практического осуществления относятся к разряду возможных лишь в теоретическом плане. Хотя не исключено, что со временем они вполне могут стать практически осуществимыми.

  Среди основных недостатков DES, существенно снижающих уровень его безопасности, можно выделить следующие:

• наличие слабых ключей, вызванное тем, что при генерации ключевой последовательности используются два регистра сдвига, которые работают независимо друг от друга. Примером слабого ключа может служить 1F1F1F1F 0E0E0E0E (с учетом битов контроля четности), В данном случае результатом генерации будут ключевые последовательности, одинаковые с исходным ключом во всех 16 раундах. Существуют также разновидности слабых ключей, которые дают при генерации всего лишь две (четыре) ключевые последовательности. Для неполиораундовых схем DES характерно наличие связанных ключей (например, ключ, полученный из другого ключа посредством инверсии одного бита);
• небольшая длина ключа 56 бит (или 64 бита с контролем четности). На современном уровне развития микропроцессорных средств данная длина ключа не может обеспечивать должной защиты для некоторых типов информации.
• избыточность ключа, обусловленная контролем четности для каждого в отдельности байта ключа. Бихам и Шамир предложили достаточно эффективную атаку на реализацию DES в смарт-картах или банковских криптографических модулях, использующих EEPROM-память для хранения ключей. Эта методика наглядно высветила еще одну очевидную слабость DES, заключающуюся в наличии контроля четности каждого байта ключа, в силу которой и создается его избыточность, что позволяет восстанавливать ключи, хранящиеся в памяти устройства, при сбое в данном участке памяти;
• использование статических подстановок в S-боксах, что, несмотря на большое количество раундов, позволяет криптоаналитикам проводить атаки на этот алгоритм.

 

  Следует заметить, что на сегодняшний день автору неизвестны успешные атаки на 16-раундовый DES, проведенные на основании последнего в списке факта, однако успешные атаки на неполнораундовые схемы DES имели место. Так, Мартин Хэллман предложил атаку на 8-раундовый DES. Она позволяет восстанавливать на рабочей станции SUN-4 10 бит ключа за десять секунд. В случае выбора 512 открытых текстов вероятность успеха составляет 80%, а при выборе 768 открытых текстов - 95%. Восстановив 10 бит ключа, можно воспользоваться алгоритмами перебора всех оставшихся вариантов, сводя таким образом задачу нахождения 56-битного ключа к поиску 46-битного ключа.

  Учитывая  вышеизложенное, можно с уверенностью сказать, что на сегодняшний день (с точки зрения криптографической стойкости и обеспечения надежного функционирования систем криптографической защиты информации) использование DES в практических целях является весьма опасным решением.