DES-X

暗号学において、DES-X（またはDESX ）は、 DES（データ暗号化標準）対称鍵ブロック暗号の派生であり、総当たり攻撃の複雑さを高めることを目的としています。複雑さを高めるために使用される手法は、鍵ホワイトニングと呼ばれます。

オリジナルのDESアルゴリズムは1976年に56ビットの鍵長で仕様化されました。鍵の候補は2の⁵⁶乗個でした。網羅的な探索は、特に米国国家安全保障局（NSA）のような大規模な政府には不可能ではないかという批判がありました。DESのアルゴリズムを大幅に変更することなく鍵長を増やす一つの方法が、 1984年5月にロン・リベストによって提案されたDES-Xでした。

このアルゴリズムは、1980 年代後半から RSA SecurityのBSAFE暗号化ライブラリに組み込まれています。

DES-X は、 DES を適用する前に、追加の 64 ビットのキー (K ₁ )を平文にXOR し、暗号化後に別の 64 ビットのキー (K ₂ )を XOR することで DES を拡張します。

${\displaystyle {\mbox{DES-X}}(M)=K_{2}\oplus {\mbox{DES}}_{K}(M\oplus K_{1})}$

これにより、キーのサイズは 56 + (2 × 64) = 184 ビットに増加します。

しかし、実効鍵サイズ（セキュリティ）は56+64−1− lb(M) = 119 − lb(M) = ~119ビットまでしか増加しません。ここで、Mは攻撃者が取得できる選択された平文/暗号文のペアの数、lbは2進対数を表します。さらに、2 ^32.5個の既知平文と高度なスライド攻撃を使用すると 、実効鍵サイズは88ビットまで減少します。

DES-X は、差分解読法と線形解読法に対する DES の強度も向上させますが、その向上幅はブルート フォース攻撃の場合に比べるとはるかに小さくなります。差分解読法では 2 ⁶¹の選択平文 (DES では 2 ⁴⁷ )が必要となるのに対し、線形解読では 2 ⁶⁰の既知平文 ( DES では2 ⁴³ 、独立サブキーを持つ DES では2 ^{61 ) が必要となると推定されています。 [ 1 ] 。2 64 の}平文 (この場合は既知または選択は同じ)では、暗号のコードブック全体が利用可能になるため、DES (またはブロック サイズが 64 ビットの他のブロック暗号) は完全に破られることに注意してください。

差分攻撃と線形攻撃はありますが、DES-Xに対する現在最も優れた攻撃は、ビリュコフ・ワグナー^{[ 2 ]}によって発見された既知平文スライド攻撃です。この攻撃は、既知平文​​の計算量が2の^32.5乗、解析時間が2の^{87.5乗です。さらに、この攻撃は、同じデータ計算量とオフライン時間計算量が2の95乗}の暗号文のみの攻撃に容易に変換できます。

• G-DES
• 中間者攻撃
• トリプルDES
• XOR-暗号化-XOR

• キリアン、ジョー、ロガウェイ、フィリップ (1996). 「DESを網羅的鍵探索から守る方法」.暗号学の進歩 — CRYPTO '96 . コンピュータサイエンス講義ノート. 第1109巻. pp.  252– 267. doi : 10.1007/3-540-68697-5_20 . ISBN 978-3-540-61512-5。
• P. Rogaway、「DESX のセキュリティ(PDF)」、CryptoBytes 2 (2) (1996 年夏)。

• RSA FAQエントリ