トリプルDES
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/05/23 13:18 UTC 版)
| 一般 | |
|---|---|
| 初版発行日 | 1998 (ANS X9.52) |
| 派生元 | DES |
| 暗号詳細 | |
| 鍵長 | 168, 112 or 56 bits (Keying option 1, 2, 3 respectively) |
| ブロック長 | 64 bits |
| 構造 | Feistel構造 |
| ラウンド数 | 48 |
| 最良の暗号解読法 | |
| Lucks: 232 known plaintexts, 2113 operations including 290 DES encryptions, 288 memory; Biham: find one of 228 target keys with a handful of chosen plaintexts per key and 284 encryptions | |
概要
平文を単にDESで3回暗号化するのではなく、暗号化→復号→暗号化の順に施す暗号アルゴリズムである。
- C = encryptk3(decryptk2(encryptk1(P)))
ただし
この鍵の選択について3つのオプションが存在する。
- Keying option 1
- k1, k2, k3 すべてが異なる場合。
- 3 × 56 = 168ビットの鍵長となるが、既知の攻撃法が存在するため実質的な暗号強度は112ビット程度となる[1]。3TDEA、3-key 3DES などと呼ばれる。
- Keying option 2
- k1 と k2 が異なり、k3 = k1 の場合。
- 2 × 56 = 112ビットの鍵長となるが、既知の攻撃法が存在するため実質的な暗号強度はせいぜい80ビットとされる[1]。中間一致攻撃への耐性があるため、単純にDESで2回暗号化するよりは安全である。2TDEA、2-key 3DES などと呼ばれる。
- Keying option 3
- k1 = k2 = k3の場合。
- DESと同じであり、56ビットの鍵長を持つ。このオプションにより、トリプルDESはDESに対して上位互換性を持つ(DESによって暗号化された文章をトリプルDESで復号できる。)
理論
3つの鍵{k1,k2,k3}を使うトリプルDES (-EEE) が、1つの鍵k4でDESを行う場合よりも安全性が向上するかが問題となる。ここで任意の{k1、k2、k3}について
- C1 = DES<k3>( DES<k2>( DES<k1>( P ) ) )
- C2 = DES<k4>( P )
とすると、全てのPについてC1 == C2となるk4が存在するならば、トリプルDES (-EEE) の鍵空間はDESと同じであり、安全性は向上しないことになる。この問題について、任意の{k1,k2}に対して、DES<k2>( DES<k1>( * ) ) == DES<k3>( * ) となるk3は存在しないことが証明され、DESを多段にすることで鍵空間は拡大できることが示された[2]。つまり、DESは群をなさない。
安全性
一般的にトリプルDESでは3つの異なる鍵 (Keying option 1) を用いて168ビットの鍵長を持っているが、中間一致攻撃により安全性は112ビット相当となる。2つの異なる鍵 (Keying option 2) を用いる場合は112ビットの鍵長を持っているが、選択平文攻撃または既知平文攻撃により安全性はせいぜい80ビット相当とされる。112ビットであっても総当たりには相当なコンピュータパワーが必要となるが、年々の性能向上を考慮し、アメリカ国立標準技術研究所は2023年末をもって全てのアプリケーションで廃止するとしている[3]。
- ^ a b NIST SP 800-57, §5.6.1.1.
- ^ Campbell & Wiener 1992.
- ^ NIST SP 800-131A, §2.
「トリプルDES」の続きの解説一覧
- 1 トリプルDESとは
- 2 トリプルDESの概要
- 3 実利用
- トリプルDESのページへのリンク
