home *** CD-ROM | disk | FTP | other *** search
/ Meeting Pearls 1 / Meeting Pearls Vol 1 (1994).iso / installed_progs / text / faqs / cryptography-faq.rsa.part2 < prev    next >
Encoding:
Internet Message Format  |  1994-05-01  |  56.8 KB
  1. Subject: RSA Cryptography Today FAQ (2/3)
  2. Newsgroups: sci.crypt,talk.politics.crypto,alt.security.ripem,sci.answers,talk.answers,alt.answers,news.answers
  3. From: faq-editor@rsa.com
  4. Date: 29 Apr 1994 21:57:40 GMT
  5.  
  6. Archive-name: cryptography-faq/rsa/part2
  7. Last-modified: 93/09/20
  8. Version: 2.0
  9.  
  10.  
  11. (This document has been brought to you in part by CRAM.  See the
  12. bottom for more information, including instructions on how to
  13. obtain updates.)
  14.  
  15. ===
  16.  
  17.  
  18.                           Answers To
  19.                  FREQUENTLY ASKED QUESTIONS
  20.                  About Today's Cryptography
  21.  
  22.  
  23.  
  24.                           Paul Fahn
  25.                       RSA Laboratories
  26.                      100 Marine Parkway
  27.                    Redwood City, CA  94065
  28.  
  29.  
  30.  
  31.    Copyright (c) 1993 RSA Laboratories, a division of RSA Data Security,
  32.       Inc. All rights reserved.
  33.  
  34.    Version 2.0, draft 2f
  35.    Last update: September 20, 1993
  36.  
  37.  
  38.  
  39. ------------------------------------------------------------------------
  40.                          Table of Contents
  41.  
  42. [ part 2 ]
  43.  
  44. 3 Key Management
  45.        3.1  What key management issues are involved in public-key
  46.             cryptography?
  47.        3.2  Who needs a key?
  48.        3.3  How does one get a key pair?
  49.        3.4  Should a public key or private key be shared among users?
  50.        3.5  What are certificates?
  51.        3.6  How are certificates used?
  52.        3.7  Who issues certificates and how?
  53.        3.8  What is a CSU, or, How do certifying authorities store their
  54.             private keys?
  55.        3.9  Are certifying authorities susceptible to attack?
  56.        3.10  What if the certifying authority's key is lost or compromised?
  57.        3.11  What are Certificate Revocation Lists (CRLs)?
  58.        3.12  What happens when a key expires?
  59.        3.13  What happens if I lose my private key?
  60.        3.14  What happens if my private key is compromised?
  61.        3.15  How should I store my private key?
  62.        3.16  How do I find someone else's public key?
  63.        3.17  How can signatures remain valid beyond the expiration dates of
  64.              their keys, or, How do you verify a 20-year-old signature?
  65.        3.18  What is a digital time-stamping service?
  66.  
  67. 4 Factoring and Discrete Log
  68.        4.1  What is a one-way function?
  69.        4.2  What is the significance of one-way functions for cryptography?
  70.        4.3  What is the factoring problem?
  71.        4.4  What is the significance of factoring in cryptography?
  72.        4.5  Has factoring been getting easier?
  73.        4.6  What are the best factoring methods in use today?
  74.        4.7  What are the prospects for theoretical factoring breakthroughs?
  75.        4.8  What is the RSA Factoring Challenge?
  76.        4.9  What is the discrete log problem?
  77.        4.10  Which is easier, factoring or discrete log?
  78.  
  79. 5 DES
  80.        5.1  What is DES?
  81.        5.2  Has DES been broken?
  82.        5.3  How does one use DES securely?
  83.        5.4  Can DES be exported from the U.S.?
  84.        5.5  What are the alternatives to DES?
  85.        5.6  Is DES a group?
  86.  
  87.  
  88. --------------------------------------------------------------------
  89.  
  90.  
  91.  
  92. 3 Key Management
  93.  
  94. 3.1 What key management issues are involved in public-key cryptography?
  95.  
  96. Secure methods of key management are extremely important. In practice,
  97. most attacks on public-key systems will probably be aimed at the key
  98. management levels, rather than at the cryptographic algorithm itself.
  99. The key management issues mentioned here are discussed in detail in
  100. later questions.
  101.  
  102. Users must be able to obtain securely a key pair suited to their efficiency
  103. and security needs. There must be a way to look up other people's public
  104. keys and to publicize one's own key. Users must have confidence in the
  105. legitimacy of others' public keys; otherwise an intruder can either change
  106. public keys listed in a directory, or impersonate another user. Certificates
  107. are used for this purpose. Certificates must be unforgeable, obtainable in a
  108. secure manner, and processed in such a way that an intruder cannot misuse
  109. them. The issuance of certificates must proceed in a secure way, impervious
  110. to attack. If someone's private key is lost or compromised, others must be
  111. made aware of this, so that they will no longer encrypt messages under the
  112. invalid public key nor accept messages signed with the invalid private key.
  113. Users must be able to store their private keys securely, so that no intruder
  114. can find it, yet the keys must be readily accessible for legitimate use. Keys
  115. need to be valid only until a specified expiration date. The expiration date
  116. must be chosen properly and publicized securely. Some documents need to have
  117. verifiable signatures beyond the time when the key used to sign them has
  118. expired.
  119.  
  120. Although most of these key management issues arise in any public-key
  121. cryptosystem, for convenience they are discussed here in the context of RSA.
  122.  
  123.  
  124. 3.2 Who needs a key?
  125.  
  126. Anyone who wishes to sign messages or to receive encrypted messages must
  127. have a key pair. People may have more than one key. For example, someone
  128. might have a key affiliated with his or her work and a separate key for
  129. personal use. Other entities will also have keys, including electronic
  130. entities such as modems, workstations, and printers, as well as
  131. organizational entities such as a corporate department, a hotel
  132. registration desk, or a university registrar's office.
  133.  
  134.  
  135. 3.3 How does one get a key pair?
  136.  
  137. Each user should generate his or her own key pair. It may be tempting within
  138. an organization to have a single site that generates keys for all members who
  139. request one, but this is a security risk because it involves the transmission
  140. of private keys over a network as well as catastrophic consequences if an
  141. attacker infiltrates the key-generation site. Each node on a network should be
  142. capable of local key generation, so that private keys are never transmitted
  143. and no external key source need be trusted. Of course, the local key generation
  144. software must itself be trustworthy. Secret-key authentication systems, such
  145. as Kerberos, often do not allow local key generation but instead use a
  146. central server to generate keys.
  147.  
  148. Once generated, a user must register his or her public key with some
  149. central administration, called a certifying authority. The certifying
  150. authority returns to the user a certificate attesting to the veracity of
  151. the user's public key along with other information (see Questions 3.5
  152. and following). Most users should not obtain more than one certificate for
  153. the same key, in order to simplify various bookkeeping tasks associated
  154. with the key.
  155.  
  156.  
  157. 3.4 Should a public key or private key be shared among users?
  158.  
  159. In RSA, each person should have a unique modulus and private exponent, i.e.,
  160. a unique private key. The public exponent, on the other hand, can be common
  161. to a group of users without security being compromised. Some public exponents
  162. in common use today are 3 and 2^{16}+1; because these numbers are small,
  163. the public-key operations (encryption and signature verification) are fast
  164. relative to the private key operations (decryption and signing). If one
  165. public exponent becomes a standard, software and hardware can be optimized
  166. for that value.
  167.  
  168. In public-key systems based on discrete logarithms, such as ElGamal,
  169. Diffie-Hellman, or DSS, it has often been suggested that a group of
  170. people should share a modulus. This would make breaking a key more
  171. attractive to an attacker, however, because one could break every
  172. key with only slightly more effort than it would take to break a
  173. single key. To an attacker, therefore, the average cost to break a
  174. key is much lower with a common modulus than if every key has a distinct
  175. modulus. Thus one should be very cautious about using a common modulus;
  176. if a common modulus is chosen, it should be very large.
  177.  
  178.  
  179. 3.5 What are certificates?
  180.  
  181. Certificates are digital documents attesting to the binding of a public key
  182. to an individual or other entity. They allow verification of the claim that
  183. a given public key does in fact belong to a given individual. Certificates
  184. help prevent someone from using a phony key to impersonate someone else.
  185.  
  186. In their simplest form, certificates contain a public key and a name. As
  187. commonly used, they also contain the expiration date of the key, the name
  188. of the certifying authority that issued the certificate, the serial number
  189. of the certificate, and perhaps other information. Most importantly, it
  190. contains the digital signature of the certificate issuer. The most widely
  191. accepted format for certificates is defined by the CCITT X.509 international
  192. standard [19]; thus certificates can be read or written by any application
  193. complying with X.509. Further refinements are found in the PKCS set of
  194. standards (see Question 8.9), and the PEM standard (see Question 8.7). A
  195. detailed discussion of certificate format can also be found in Kent [40].
  196.  
  197. A certificate is issued by a certifying authority (see Question 3.7)
  198. and signed with the certifying authority's private key.
  199.  
  200.  
  201. 3.6 How are certificates used?
  202.  
  203. A certificate is displayed in order to generate confidence in the
  204. legitimacy of a public key. Someone verifying a signature can also
  205. verify the signer's certificate, to insure that no forgery or false
  206. representation has occurred. These steps can be performed with greater
  207. or lesser rigor depending on the context.
  208.  
  209. The most secure use of authentication involves enclosing one or more
  210. certificates with every signed message. The receiver of the message
  211. would verify the certificate using the certifying authority's public
  212. key and, now confident of the public key of the sender, verify the message's
  213. signature. There may be two or more certificates enclosed with the message,
  214. forming a hierarchical chain, wherein one certificate testifies to the
  215. authenticity of the previous certificate. At the end of a certificate
  216. hierarchy is a top-level certifying authority, which is trusted without a
  217. certificate from any other certifying authority. The public key of the
  218. top-level certifying authority must be independently known, for example by
  219. being widely published.
  220.  
  221. The more familiar the sender is to the receiver of the message, the less
  222. need there is to enclose, and to verify, certificates. If Alice sends
  223. messages to Bob every day, Alice can enclose a certificate chain on the
  224. first day, which Bob verifies. Bob thereafter stores Alice's public key
  225. and no more certificates or certificate verifications are necessary. A sender
  226. whose company is known to the receiver may need to enclose only one
  227. certificate (issued by the company), whereas a sender whose company is
  228. unknown to the receiver may need to enclose two certificates. A good rule of
  229. thumb is to enclose just enough of a certificate chain so that the issuer of
  230. the highest level certificate in the chain is well-known to the receiver.
  231.  
  232. According to the PKCS standards for public-key cryptography (see Question
  233. 8.9), every signature points to a certificate that validates the public
  234. key of the signer. Specifically, each signature contains the name of the
  235. issuer of the certificate and the serial number of the certificate. Thus
  236. even if no certificates are enclosed with a message, a verifier can still
  237. use the certificate chain to check the status of the public key.
  238.  
  239.  
  240. 3.7 Who issues certificates and how?
  241.  
  242. Certificates are issued by a certifying authority (CA), which can be any
  243. trusted central administration willing to vouch for the identities of those
  244. to whom it issues certificates. A company may issue certificates to its
  245. employees, a university to its students, a town to its citizens. In
  246. order to prevent forged certificates, the CA's public key must be trustworthy:
  247. a CA must either publicize its public key or provide a certificate from a
  248. higher-level CA attesting to the validity of its public key. The latter
  249. solution gives rise to hierarchies of CAs.
  250.  
  251. Certificate issuance proceeds as follows. Alice generates her own key
  252. pair and sends the public key to an appropriate CA with some proof of her
  253. identification. The CA checks the identification and takes any other steps
  254. necessary to assure itself that the request really did come from Alice, and
  255. then sends her a certificate attesting to the binding between Alice and her
  256. public key, along with a hierarchy of certificates verifying the CA's public
  257. key. Alice can present this certificate chain whenever desired in order to
  258. demonstrate the legitimacy of her public key.
  259.  
  260. Since the CA must check for proper identification, organizations will find
  261. it convenient to act as a CA for its own members and employees. There will
  262. also be CAs that issue certificates to unaffiliated individuals.
  263.  
  264. Different CAs may issue certificates with varying levels of identification
  265. requirements. One CA may insist on seeing a driver's license, another may
  266. want the certificate request form to be notarized, yet another may want
  267. fingerprints of anyone requesting a certificate. Each CA should publish
  268. its own identification requirements and standards, so that verifiers
  269. can attach the appropriate level of confidence in the certified name-key
  270. bindings.
  271.  
  272. An example of a certificate-issuing protocol is Apple Computer's Open
  273. Collaborative Environment (OCE). Apple OCE users can generate a key
  274. pair and then request and receive a certificate for the public key; the
  275. certificate request must be notarized.
  276.  
  277.  
  278. 3.8 What is a CSU, or, How do certifying authorities store their private keys?
  279.  
  280. It is extremely important that private keys of certifying authorities are
  281. stored securely, because compromise would enable undetectable forgeries.
  282. One way to achieve the desired security is to store the key in a tamperproof
  283. box; such a box is called a Certificate Signing Unit, or CSU. The CSU would,
  284. preferably, destroy its contents if ever opened, and be shielded against
  285. attacks using electromagnetic radiation. Not even employees of the certifying
  286. authority should have access to the private key itself, but only the ability
  287. to use the private key in the process of issuing certificates.
  288.  
  289. There are many possible designs for CSUs; here is a description of one design
  290. found in some current implementations. The CSU is activated by a set of data
  291. keys, which are physical keys capable of storing digital information. The
  292. data keys use secret-sharing technology such that several people must all
  293. use their data keys to activate the CSU. This prevents one disgruntled CA
  294. employee from producing phony certificates.
  295.  
  296. Note that if the CSU is destroyed, say in a fire, no security is compromised.
  297. Certificates signed by the CSU are still valid, as long as the verifier uses
  298. the correct public key. Some CSUs will be manufactured so that a lost private
  299. key can be restored into a new CSU. See Question 3.10 for discussion of
  300. lost CA private keys.
  301.  
  302. Bolt, Beranek, and Newman (BBN) currently sells a CSU, and RSA Data Security
  303. sells a full-fledged certificate issuing system built around the BBN CSU.
  304.  
  305.  
  306. 3.9 Are certifying authorities susceptible to attack?
  307.  
  308. One can think of many attacks aimed at the certifying authority, which must
  309. be prepared against them.
  310.  
  311. Consider the following attack. Suppose Bob wishes to impersonate Alice.
  312. If Bob can convincingly sign messages as Alice, he can send a message to
  313. Alice's bank saying ``I wish to withdraw $10,000 from my account. Please
  314. send me the money.'' To carry out this attack, Bob generates a key pair and
  315. sends the public key to a certifying authority saying ``I'm Alice. Here is
  316. my public key. Please send me a certificate.'' If the CA is fooled and sends
  317. him such a certificate, he can then fool the bank, and his attack will
  318. succeed. In order to prevent such an attack the CA must verify that a
  319. certificate request did indeed come from its purported author, i.e., it must
  320. require sufficient evidence that it is actually Alice who is requesting the
  321. certificate. The CA may, for example, require Alice to appear in person and
  322. show a birth certificate. Some CAs may require very little identification,
  323. but the bank should not honor messages authenticated with such low-assurance
  324. certificates. Every CA must publicly state its identification requirements
  325. and policies; others can then attach an appropriate level of confidence to
  326. the certificates.
  327.  
  328. An attacker who discovers the private key of a certifying authority could
  329. then forge certificates. For this reason, a certifying authority must take
  330. extreme precautions to prevent illegitimate access to its private key. The
  331. private key should be kept in a high-security box, known as a Certificate
  332. Signing Unit, or CSU (see Question 3.8).
  333.  
  334. The certifying authority's public key might be the target of an extensive
  335. factoring attack. For this reason, CAs should use very long keys, preferably
  336. 1000 bits or longer, and should also change keys regularly. Top-level
  337. certifying authorities are exceptions: it may not be practical for them to
  338. change keys frequently because the key may be written into software used
  339. by a large number of verifiers.
  340.  
  341. In another attack, Alice bribes Bob, who works for the certifying authority,
  342. to issue to her a certificate in the name of Fred. Now Alice can send
  343. messages signed in Fred's name and anyone receiving such a message will
  344. believe it authentic because a full and verifiable certificate chain will
  345. accompany the message. This attack can be hindered by requiring the
  346. cooperation of two (or more) employees to generate a certificate; the
  347. attacker now has to bribe two employees rather than one. For example, in
  348. some of today's CSUs, three employees must each insert a data key containing
  349. secret information in order to authorize the CSU to generate certificates.
  350. Unfortunately, there may be other ways to generate a forged certificate by
  351. bribing only one employee. If each certificate request is checked by only
  352. one employee, that one employee can be bribed and slip a false request into
  353. a stack of real certificate requests. Note that a corrupt employee cannot
  354. reveal the certifying authority's private key, as long as it is properly
  355. stored.
  356.  
  357. Another attack involves forging old documents. Alice tries to factor the
  358. modulus of the certifying authority. It takes her 15 years, but she finally
  359. succeeds, and she now has the old private key of the certifying authority.
  360. The key has long since expired, but she can forge a certificate dated 15
  361. years ago attesting to a phony public key of some other person, say Bob; she
  362. can now forge a document with a signature of Bob dated 15 year ago, perhaps
  363. a will leaving everything to Alice. The underlying issue raised by this
  364. attack is how to authenticate a signed document dated many years ago; this
  365. issue is discussed in Question 3.17.
  366.  
  367. Note that these attacks on certifying authorities do not threaten the
  368. privacy of messages between users, as might result from an attack on a
  369. secret-key distribution center.
  370.  
  371.  
  372. 3.10 What if the certifying authority's key is lost or compromised?
  373.  
  374. If the certifying authority's key is lost or destroyed but not compromised,
  375. certificates signed with the old key are still valid, as long as the verifier
  376. knows to use the old public key to verify the certificate.
  377.  
  378. In some CSU designs, encrypted backup copies of the CA's private key are
  379. kept. A CA which loses its key can then restore it by loading the encrypted
  380. backup into the CSU, which can decrypt it using some unique information
  381. stored inside the CSU; the encrypted backup can only be decrypted using the
  382. CSU. If the CSU itself is destroyed, the manufacturer may be able to supply
  383. another with the same internal information, thus allowing recovery of the key.
  384.  
  385. A compromised CA key is a much more dangerous situation. An attacker who
  386. discovers a certifying authority's private key can issue phony certificates
  387. in the name of the certifying authority, which would enable undetectable
  388. forgeries; for this reason, all precautions must be taken to prevent
  389. compromise, including those outlined in Questions 3.8 and 3.9. If a
  390. compromise does occur, the CA must immediately cease issuing certificates
  391. under its old key and change to a new key. If it is suspected that some phony
  392. certificates were issued, all certificates should be recalled, and then
  393. reissued with a new CA key. These measures could be relaxed somewhat if
  394. certificates were registered with a digital time-stamping service (see
  395. Question 3.18). Note that compromise of a CA key does not invalidate users'
  396. keys, but only the certificates that authenticate them. Compromise of a
  397. top-level CA's key should be considered catastrophic, since the key may
  398. be built into applications that verify certificates.
  399.  
  400.  
  401. 3.11 What are Certificate Revocation Lists (CRLs)?
  402.  
  403. A Certificate Revocation List (CRL) is a list of public keys that have been
  404. revoked before their scheduled expiration date. There are several reasons why
  405. a key might need to be revoked and placed on a CRL. A key might have been
  406. compromised. A key might be used professionally by an individual for
  407. a company; for example, the official name associated with a key might be
  408. ``Alice Avery, Vice President, Argo Corp.'' If Alice were fired, her company
  409. would not want her to be able to sign messages with that key and therefore
  410. the company would place the key on the CRL.
  411.  
  412. When verifying a signature, one can check the relevant CRL to make sure
  413. the signer's key has not been revoked. Whether it is worth the time to
  414. perform this check depends on the importance of the signed document.
  415.  
  416. CRLs are maintained by certifying authorities (CAs) and provide information
  417. about revoked keys originally certified by the CA. CRLs only list current
  418. keys, since expired keys should not be accepted in any case; when a revoked
  419. key is past its original expiration date it is removed from the CRL. Although
  420. CRLs are maintained in a distributed manner, there may be central
  421. repositories for CRLs, that is, sites on networks containing the latest CRLs
  422. from many organizations. An institution like a bank might want an in-house
  423. CRL repository to make CRL searches feasible on every transaction.
  424.  
  425.  
  426. 3.12 What happens when a key expires?
  427.  
  428. In order to guard against a long-term factoring attack, every key must
  429. have an expiration date after which it is no longer valid. The time to
  430. expiration must therefore be much shorter than the expected factoring time,
  431. or equivalently, the key length must be long enough to make the chances of
  432. factoring before expiration extremely small. The validity period for a key
  433. pair may also depend on the circumstances in which the key will be used,
  434. although there will also be a standard period. The validity period, together
  435. with the value of the key and the estimated strength of an expected attacker,
  436. then determines the appropriate key size.
  437.  
  438. The expiration date of a key accompanies the public key in a certificate
  439. or a directory listing. The signature verification program should check
  440. for expiration and should not accept a message signed with an expired key.
  441. This means that when one's own key expires, everything signed with it will
  442. no longer be considered valid. Of course, there will be cases where it is
  443. important that a signed document be considered valid for a much longer period
  444. of time; Question 3.17 discusses ways to achieve this.
  445.  
  446. After expiration, the user chooses a new key, which should be longer than
  447. the old key, perhaps by several digits, to reflect both the performance
  448. increase of computer hardware and any recent improvements in factoring
  449. algorithms. Recommended key length schedules will likely be published. A user
  450. may recertify a key that has expired, if it is sufficiently long and has not
  451. been compromised. The certifying authority would then issue a new certificate
  452. for the same key, and all new signatures would point to the new certificate
  453. instead of the old. However, the fact that computer hardware continues to
  454. improve argues for replacing expired keys with new, longer keys every few
  455. years. Key replacement enables one to take advantage of the hardware
  456. improvements to increase the security of the cryptosystem. Faster hardware
  457. has the effect of increasing security, perhaps vastly, but only if key
  458. lengths are increased regularly (see Question 4.5).
  459.  
  460.  
  461. 3.13 What happens if I lose my private key?
  462.  
  463. If your private key is lost or destroyed, but not compromised, you can no
  464. longer sign or decrypt messages, but anything previously signed with the
  465. lost key is still valid. This can happen, for example, if you forget the
  466. password used to access your key, or if the disk on which the key is stored
  467. is damaged. You need to choose a new key right away, to minimize the number
  468. of messages people send you encrypted under your old key, messages which you
  469. can no longer read.
  470.  
  471.  
  472. 3.14 What happens if my private key is compromised?
  473.  
  474. If your private key is compromised, that is, if you suspect an attacker may
  475. have obtained your private key, then you must assume that some enemy can
  476. read encrypted messages sent to you and forge your name on documents. The
  477. seriousness of these consequences underscores the importance of protecting
  478. your private key with extremely strong mechanisms (see Question 3.15).
  479.  
  480. You must immediately notify your certifying authority and have your old key
  481. placed on a Certificate Revocation List (see Question 3.11); this will
  482. inform people that the key has been revoked. Then choose a new key and obtain
  483. the proper certificates for it. You may wish to use the new key to re-sign
  484. documents that you had signed with the compromised key; documents that had
  485. been time-stamped as well as signed might still be valid. You should also
  486. change the way you store your private key, to prevent compromise of the new
  487. key.
  488.  
  489.  
  490. 3.15 How should I store my private key?
  491.  
  492. Private keys must be stored securely, since forgery and loss of privacy
  493. could result from compromise. The private key should never be stored
  494. anywhere in plaintext form. The simplest storage mechanism is to encrypt
  495. the private key under a password and store the result on a disk. Of course,
  496. the password itself must be maintained with high security, not written down
  497. and not easily guessed. Storing the encrypted key on a disk that is not
  498. accessible through a computer network, such as a floppy disk or a local
  499. hard disk, will make some attacks more difficult. Ultimately, private keys
  500. may be stored on portable hardware, such as a smart card. Furthermore, a
  501. challenge-response protocol will be more secure than simple password access.
  502. Users with extremely high security needs, such as certifying authorities,
  503. should use special hardware devices to protect their keys (see Question
  504. 3.8).
  505.  
  506.  
  507. 3.16 How do I find someone else's public key?
  508.  
  509. Suppose you want to find Bob's public key. There are several possible ways.
  510. You could call him up and ask him to send you his public key via e-mail; you
  511. could request it via e-mail as well. Certifying authorities may provide
  512. directory services; if Bob works for company Z, look in the directory kept
  513. by Z's certifying authority. Directories must be secure against unauthorized
  514. tampering, so that users can be confident that a public key listed in the
  515. directory actually belongs to the person listed. Otherwise, you might send
  516. private encrypted information to the wrong person.
  517.  
  518. Eventually, full-fledged directories will arise, serving as online white or
  519. yellow pages. If they are compliant with CCITT X.509 standards [19], the
  520. directories will contain certificates as well as public keys; the presence
  521. of certificates will lower the directories' security needs.
  522.  
  523.  
  524. 3.17 How can signatures remain valid beyond the expiration dates of their
  525.     keys, or, How do you verify a 20-year-old signature?
  526.  
  527. Normally, a key expires after, say, two years and a document signed with an
  528. expired key should not be accepted. However, there are many cases where
  529. it is necessary for signed documents to be regarded as legally valid
  530. for much longer than two years; long-term leases and contracts are examples.
  531. How should these cases be handled? Many solutions have been suggested but
  532. it is unclear which will prove the best. Here are some possibilities.
  533.  
  534. One can have special long-term keys as well as the normal two-year keys.
  535. Long-term keys should have much longer modulus lengths and be stored
  536. more securely than two-year keys. If a long-term key expires in 50
  537. years, any document signed with it would remain valid within that time.
  538. A problem with this method is that any compromised key must remain on the
  539. relevant CRL until expiration (see Question 3.11); if 50-year keys are
  540. routinely placed on CRLs, the CRLs could grow in size to unmanageable
  541. proportions. This idea can be modified as follows. Register the long-term
  542. key by the normal procedure, i.e., for two years. At expiration time, if
  543. it has not been compromised, the key can be recertified, that is, issued
  544. a new certificate by the certifying authority, so that the key will be
  545. valid for another two years. Now a compromised key only needs to be kept
  546. on a CRL for at most two years, not fifty.
  547.  
  548. One problem with the previous method is that someone might try to
  549. invalidate a long-term contract by refusing to renew his key. This
  550. problem can be circumvented by registering the contract with a digital
  551. time-stamping service (see Question 3.18) at the time it is originally
  552. signed. If all parties to the contract keep a copy of the time-stamp,
  553. then each can prove that the contract was signed with valid keys. In
  554. fact, the time-stamp can prove the validity of a contract even if one
  555. signer's key gets compromised at some point after the contract was
  556. signed. This time-stamping solution can work with all signed digital
  557. documents, not just multi-party contracts.
  558.  
  559.  
  560. 3.18 What is a digital time-stamping service?
  561.  
  562. A digital time-stamping service (DTS) issues time-stamps which associate
  563. a date and time with a digital document in a cryptographically strong way.
  564. The digital time-stamp can be used at a later date to prove that an
  565. electronic document existed at the time stated on its time-stamp. For
  566. example, a physicist who has a brilliant idea can write about it with
  567. a word processor and have the document time-stamped. The time-stamp and
  568. document together can later prove that the scientist deserves the Nobel
  569. Prize, even though an arch rival may have been the first to publish.
  570.  
  571. Here's one way such a system could work. Suppose Alice signs a document
  572. and wants it time-stamped. She computes a message digest of the document
  573. using a secure hash function (see Question 8.2) and then sends the
  574. message digest (but not the document itself) to the DTS, which sends her in
  575. return a digital time-stamp consisting of the message digest, the date and
  576. time it was received at the DTS, and the signature of the DTS. Since the
  577. message digest does not reveal any information about the content of the
  578. document, the DTS cannot eavesdrop on the documents it time-stamps. Later,
  579. Alice can present the document and time-stamp together to prove when the
  580. document was written. A verifier computes the message digest of the document,
  581. makes sure it matches the digest in the time-stamp, and then verifies the
  582. signature of the DTS on the time-stamp.
  583.  
  584. To be reliable, the time-stamps must not be forgeable. Consider the
  585. requirements for a DTS of the type just described. First, the DTS itself
  586. must have a long key if we want the time-stamps to be reliable for, say,
  587. several decades. Second, the private key of the DTS must be stored with
  588. utmost security, as in a tamperproof box. Third, the date and time must
  589. come from a clock, also inside the tamperproof box, which cannot be reset
  590. and which will keep accurate time for years or perhaps for decades. Fourth,
  591. it must be infeasible to create time-stamps without using the apparatus
  592. in the tamperproof box.
  593.  
  594. A cryptographically strong DTS using only software [4] has been
  595. implemented by Bellcore; it avoids many of the requirements just
  596. described, such as tamperproof hardware. The Bellcore DTS essentially
  597. combines hash values of documents into data structures called binary
  598. trees, whose ``root'' values are periodically published in the newspaper.
  599. A time-stamp consists of a set of hash values which allow a verifier
  600. to recompute the root of the tree. Since the hash functions are one-way
  601. (see Question 8.2), the set of validating hash values cannot be forged.
  602. The time associated with the document by the time-stamp is the date of
  603. publication.
  604.  
  605. The use of a DTS would appear to be extremely important, if not essential,
  606. for maintaining the validity of documents over many years (see Question
  607. 3.17). Suppose a landlord and tenant sign a twenty-year lease. The public
  608. keys used to sign the lease will expire after, say, two years; solutions
  609. such as recertifying the keys or resigning every two years with new keys
  610. require the cooperation of both parties several years after the original
  611. signing. If one party becomes dissatisfied with the lease, he or she may
  612. refuse to cooperate. The solution is to register the lease with the DTS
  613. at the time of the original signing; both parties would then receive a
  614. copy of the time-stamp, which can be used years later to enforce the
  615. integrity of the original lease.
  616.  
  617. In the future, it is likely that a DTS will be used for everything
  618. from long-term corporate contracts to personal diaries and letters.
  619. Today, if an historian discovers some lost letters of Mark Twain, their
  620. authenticity is checked by physical means. But a similar find 100 years
  621. from now may consist of an author's computer files; digital time-stamps
  622. may be the only way to authenticate the find.
  623.  
  624. 4 Factoring and Discrete Log
  625.  
  626. 4.1 What is a one-way function?
  627.  
  628. A one-way function is a mathematical function that is significantly
  629. easier to perform in one direction (the forward direction) than in the
  630. opposite direction (the inverse direction). One might, for example,
  631. compute the function in minutes but only be able to compute the inverse
  632. in months or years. A trap-door one-way function is a one-way function
  633. where the inverse direction is easy if you know a certain piece of
  634. information (the trap door), but difficult otherwise.
  635.  
  636.  
  637. 4.2 What is the significance of one-way functions for cryptography?
  638.  
  639. Public-key cryptosystems are based on (presumed) trap-door one-way
  640. functions. The public key gives information about the particular instance
  641. of the function; the private key gives information about the trap door.
  642. Whoever knows the trap door can perform the function easily in both
  643. directions, but anyone lacking the trap door can perform the function only
  644. in the forward direction. The forward direction is used for encryption and
  645. signature verification; the inverse direction is used for decryption and
  646. signature generation.
  647.  
  648. In almost all public-key systems, the size of the key corresponds to the
  649. size of the inputs to the one-way function; the larger the key, the greater
  650. the difference between the efforts necessary to compute the function in the
  651. forward and inverse directions (for someone lacking the trap door). For a
  652. digital signature to be secure for years, for example, it is necessary to
  653. use a trap-door one-way function with inputs large enough that someone
  654. without the trap door would need many years to compute the inverse function.
  655.  
  656. All practical public-key cryptosystems are based on functions that are
  657. believed to be one-way, but have not been proven to be so. This means that
  658. it is theoretically possible that an algorithm will be discovered that can
  659. compute the inverse function easily without a trap door; this development
  660. would render any cryptosystem based on that one-way function insecure and
  661. useless.
  662.  
  663.  
  664. 4.3 What is the factoring problem?
  665.  
  666. Factoring is the act of splitting an integer into a set of smaller integers
  667. (factors) which, when multiplied together, form the original integer.
  668. For example, the factors of 15 are 3 and 5; the factoring problem is
  669. to find 3 and 5 when given 15. Prime factorization requires splitting an
  670. integer into factors that are prime numbers; every integer has a unique
  671. prime factorization. Multiplying two prime integers together is easy, but
  672. as far as we know, factoring the product is much more difficult.
  673.  
  674. 4.4 What is the significance of factoring in cryptography?
  675.  
  676. Factoring is the underlying, presumably hard problem upon which several
  677. public-key cryptosystems are based, including RSA. Factoring an RSA
  678. modulus (see Question 2.1) would allow an attacker to figure out
  679. the private key; thus, anyone who can factor the modulus can decrypt
  680. messages and forge signatures. The security of RSA therefore depends on
  681. the factoring problem being difficult. Unfortunately, it has not been
  682. proven that factoring must be difficult, and there remains a possibility
  683. that a quick and easy factoring method might be discovered (see Question
  684. 4.7), although factoring researchers consider this possibility remote.
  685.  
  686. Factoring large numbers takes more time than factoring smaller numbers.
  687. This is why the size of the modulus in RSA determines how secure an
  688. actual use of RSA is; the larger the modulus, the longer it would take
  689. an attacker to factor, and thus the more resistant to attack the RSA
  690. implementation is.
  691.  
  692.  
  693. 4.5 Has factoring been getting easier?
  694.  
  695. Factoring has become easier over the last fifteen years for two reasons:
  696. computer hardware has become more powerful, and better factoring algorithms
  697. have been developed.
  698.  
  699. Hardware improvement will continue inexorably, but it is important to
  700. realize that hardware improvements make RSA more secure, not less.
  701. This is because a hardware improvement that allows an attacker to factor
  702. a number two digits longer than before will at the same time allow
  703. a legitimate RSA user to use a key dozens of digits longer than before;
  704. a user can choose a new key a dozen digits longer than the old one without
  705. any performance slowdown, yet a factoring attack will become much more
  706. difficult. Thus although the hardware improvement does help the attacker,
  707. it helps the legitimate user much more. This general rule may fail in the
  708. sense that factoring may take place using fast machines of the future,
  709. attacking RSA keys of the past; in this scenario, only the attacker gets
  710. the advantage of the hardware improvement. This consideration argues for
  711. using a larger key size today than one might otherwise consider warranted.
  712. It also argues for replacing one's RSA key with a longer key every few
  713. years, in order to take advantage of the extra security offered by hardware
  714. improvements. This point holds for other public-key systems as well.
  715.  
  716. Better factoring algorithms have been more help to the RSA attacker than have
  717. hardware improvements. As the RSA system, and cryptography in general, have
  718. attracted much attention, so has the factoring problem, and many researchers
  719. have found new factoring methods or improved upon others. This has made
  720. factoring easier, for numbers of any size and irrespective of the speed of
  721. the hardware. However, factoring is still a very difficult problem.
  722.  
  723. Overall, any recent decrease in security due to algorithm improvement can
  724. be offset by increasing the key size. In fact, between general computer
  725. hardware improvements and special-purpose RSA hardware improvements,
  726. increases in key size (maintaining a constant speed of RSA operations) have
  727. kept pace or exceeded increases in algorithm efficiency, resulting in no net
  728. loss of security. As long as hardware continues to improve at a faster rate
  729. than that at which the complexity of factoring algorithms decreases, the
  730. security of RSA will increase, assuming RSA users regularly increase their
  731. key size by appropriate amounts. The open question is how much faster
  732. factoring algorithms can get; there must be some intrinsic limit to
  733. factoring speed, but this limit remains unknown.
  734.  
  735.  
  736. 4.6 What are the best factoring methods in use today?
  737.  
  738. Factoring is a very active field of research among mathematicians and
  739. computer scientists; the best factoring algorithms are mentioned below
  740. with some references and their big-O asymptotic efficiency. O notation
  741. measures how fast an algorithm is; it gives an upper bound on the number
  742. of operations (to order of magnitude) in terms of n, the number to be
  743. factored, and p, a prime factor of n. For textbook treatment of
  744. factoring algorithms, see [41], [42], [47],
  745. and [11]; for a detailed explanation of
  746. big-O notation, see [22].
  747.  
  748. Factoring algorithms come in two flavors, special purpose and general
  749. purpose; the efficiency of the former depends on the unknown factors,
  750. whereas the efficiency of the latter depends on the number to be factored.
  751. Special purpose algorithms are best for factoring numbers with small
  752. factors, but the numbers used for the modulus in the RSA system do not
  753. have any small factors. Therefore, general purpose factoring algorithms
  754. are the more important ones in the context of cryptographic systems and
  755. their security.
  756.  
  757. Special purpose factoring algorithms include the Pollard rho method [66],
  758. with expected running time O(sqrt(p)), and the Pollard p-1 method [67],
  759. with running time O(p'), where p' is the largest prime factor of p-1. Both
  760. of these take an amount of time that is exponential in the size of p, the
  761. prime factor that they find; thus these algorithms are too slow for most
  762. factoring jobs. The elliptic curve method (ECM) [50] is superior to these;
  763. its asymptotic running time is O(exp (sqrt (2 ln p ln ln p)) ). The ECM is
  764. often used in practice to find factors of randomly generated numbers; it is
  765. not strong enough to factor a large RSA modulus.
  766.  
  767. The best general purpose factoring algorithm today is the number field
  768. sieve [16], which runs in time approximately O(exp ( 1.9 (ln n)^{1/3}
  769. (ln ln n)^{2/3}) ). It has only recently been implemented [15], and is
  770. not yet practical enough to perform the most desired factorizations.
  771. Instead, the most widely used general purpose algorithm is the multiple
  772. polynomial quadratic sieve (mpqs) [77], which has running time
  773. O(exp ( sqrt (ln n ln ln n)) ). The mpqs (and some of its variations)
  774. is the only general purpose algorithm that has successfully factored
  775. numbers greater than 110 digits; a variation known as ppmpqs [49]
  776. has been particularly popular.
  777.  
  778. It is expected that within a few years the number field sieve will overtake
  779. the mpqs as the most widely used factoring algorithm, as the size of the
  780. numbers being factored increases from about 120 digits, which is the current
  781. threshold of general numbers which can be factored, to 130 or 140 digits. A
  782. ``general number'' is one with no special form that might make it easier to
  783. factor; an RSA modulus is a general number. Note that a 512-bit number has
  784. about 155 digits.
  785.  
  786. Numbers that have a special form can already be factored up to 155 digits
  787. or more [48]. The Cunningham Project [14] keeps track of the factorizations
  788. of numbers with these special forms and maintains a ``10 Most Wanted'' list
  789. of desired factorizations. Also, a good way to survey current factoring
  790. capability is to look at recent results of the RSA Factoring Challenge
  791. (see Question 4.8).
  792.  
  793.  
  794. 4.7 What are the prospects for theoretical factoring breakthroughs?
  795.  
  796. Although factoring is strongly believed to be a difficult mathematical
  797. problem, it has not been proved so. Therefore there remains a possibility
  798. that an easy factoring algorithm will be discovered. This development, which
  799. could seriously weaken RSA, would be highly surprising and the possibility
  800. is considered extremely remote by the researchers most actively engaged in
  801. factoring research.
  802.  
  803. Another possibility is that someone will prove that factoring is difficult.
  804. This negative breakthrough is probably more likely than the positive
  805. breakthrough discussed above, but would also be unexpected at the current
  806. state of theoretical factoring research. This development would guarantee
  807. the security of RSA beyond a certain key size.
  808.  
  809.  
  810. 4.8 What is the RSA Factoring Challenge?
  811.  
  812. RSA Data Security Inc. (RSADSI) administers a factoring contest with
  813. quarterly cash prizes. Those who factor numbers listed by RSADSI earn
  814. points toward the prizes; factoring smaller numbers earns more points than
  815. factoring larger numbers. Results of the contest may be useful to those who
  816. wish to know the state of the art in factoring; the results show the size
  817. of numbers factored, which algorithms are used, and how much time was
  818. required to factor each number. Send e-mail to challenge-info@rsa.com
  819. for information.
  820.  
  821.  
  822. 4.9 What is the discrete log problem?
  823.  
  824. The discrete log problem, in its most common formulation, is to find
  825. the exponent x in the formula y=g^x mod p; in other words, it seeks to
  826. answer the question, To what power must g be raised in order to obtain
  827. y, modulo the prime number p? There are other, more general, formulations
  828. as well.
  829.  
  830. Like the factoring problem, the discrete log problem is believed to be
  831. difficult and also to be the hard direction of a one-way function. For
  832. this reason, it has been the basis of several public-key cryptosystems,
  833. including the ElGamal system and DSS (see Questions 2.15 and 6.8). The
  834. discrete log problem bears the same relation to these systems as factoring
  835. does to RSA: the security of these systems rests on the assumption that
  836. discrete logs are difficult to compute.
  837.  
  838. The discrete log problem has received much attention in recent years;
  839. descriptions of some of the most efficient algorithms can be found in
  840. [47], [21], and [33]. The best discrete log problems have expected
  841. running times similar to that of the best factoring algorithms. Rivest
  842. [72] has analyzed the expected time to solve discrete log both in terms
  843. of computing power and money.
  844.  
  845.  
  846. 4.10 Which is easier, factoring or discrete log?
  847.  
  848. The asymptotic running time of the best discrete log algorithm is
  849. approximately the same as for the best general purpose factoring
  850. algorithm. Therefore, it requires about as much effort to solve
  851. the discrete log problem modulo a 512-bit prime as to factor a
  852. 512-bit RSA modulus.  One paper [45] cites experimental evidence
  853. that the discrete log problem is slightly harder than factoring:
  854. the authors suggest that the effort necessary to factor a 110-digit
  855. integer is the same as the effort to solve discrete logarithms modulo
  856. a 100-digit prime. This difference is so slight that it should not
  857. be a significant consideration when choosing a cryptosystem.
  858.  
  859. Historically, it has been the case that an algorithmic advance in either
  860. problem, factoring or discrete logs, was then applied to the other. This
  861. suggests that the degrees of difficulty of both problems are closely
  862. linked, and that any breakthrough, either positive or negative, will affect
  863. both problems equally.
  864.  
  865.  
  866. 5 DES
  867.  
  868. 5.1 What is DES?
  869.  
  870. DES is the Data Encryption Standard, an encryption block cipher defined
  871. and endorsed by the U.S. government in 1977 as an official standard;
  872. the details can be found in the official FIPS publication [59]. It was
  873. originally developed at IBM. DES has been extensively studied over the
  874. last 15 years and is the most well-known and widely used cryptosystem
  875. in the world.
  876.  
  877. DES is a secret-key, symmetric cryptosystem: when used for communication,
  878. both sender and receiver must know the same secret key, which is used both
  879. to encrypt and decrypt the message. DES can also be used for single-user
  880. encryption, such as to store files on a hard disk in encrypted form. In
  881. a multi-user environment, secure key distribution may be difficult;
  882. public-key cryptography was invented to solve this problem (see Question
  883. 1.3). DES operates on 64-bit blocks with a 56-bit key. It was designed to
  884. be implemented in hardware, and its operation is relatively fast. It works
  885. well for bulk encryption, that is, for encrypting a large set of data.
  886.  
  887. NIST (see Question 7.1) has recertified DES as an official U.S. government
  888. encryption standard every five years; DES was last recertified in 1993,
  889. by default. NIST has indicated, however, that it may not recertify DES
  890. again.
  891.  
  892.  
  893. 5.2 Has DES been broken?
  894.  
  895. DES has never been ``broken'', despite the efforts of many researchers
  896. over many years. The obvious method of attack is brute-force exhaustive
  897. search of the key space; this takes 2^{55} steps on average. Early on
  898. it was suggested [28] that a rich and powerful enemy could build a
  899. special-purpose computer capable of breaking DES by exhaustive search
  900. in a reasonable amount of time. Later, Hellman [36] showed a time-memory
  901. trade-off that allows improvement over exhaustive search if memory space
  902. is plentiful, after an exhaustive precomputation. These ideas fostered
  903. doubts about the security of DES. There were also accusations that the
  904. NSA had intentionally weakened DES. Despite these suspicions, no feasible
  905. way to break DES faster than exhaustive search was discovered. The cost
  906. of a specialized computer to perform exhaustive search has been estimated
  907. by Wiener at one million dollars [80].
  908.  
  909. Just recently, however, the first attack on DES that is better than
  910. exhaustive search was announced by Eli Biham and Adi Shamir [6,7],
  911. using a new technique known as differential cryptanalysis. This attack
  912. requires encryption of 2^{47} chosen plaintexts, i.e., plaintexts chosen
  913. by the attacker. Although a theoretical breakthrough, this attack is
  914. not practical under normal circumstances because it requires the attacker
  915. to have easy access to the DES device in order to encrypt the chosen
  916. plaintexts. Another attack, known as linear cryptanalysis [51], does not
  917. require chosen plaintexts.
  918.  
  919. The consensus is that DES, when used properly, is secure against all but
  920. the most powerful enemies. In fact, triple encryption DES (see Question
  921. 5.3) may be secure against anyone at all. Biham and Shamir have stated
  922. that they consider DES secure. It is used extensively in a wide variety
  923. of cryptographic systems, and in fact, most implementations of public-key
  924. cryptography include DES at some level.
  925.  
  926.  
  927. 5.3 How does one use DES securely?
  928.  
  929. When using DES, there are several practical considerations that can
  930. affect the security of the encrypted data. One should change DES keys
  931. frequently, in order to prevent attacks that require sustained data
  932. analysis. In a communications context, one must also find a secure way
  933. of communicating the DES key to both sender and receiver. Use of RSA or
  934. some other public-key technique for key management solves both these
  935. issues: a different DES key is generated for each session, and secure
  936. key management is provided by encrypting the DES key with the receiver's
  937. RSA public key. RSA, in this circumstance, can be regarded as a tool for
  938. improving the security of DES (or any other secret key cipher).
  939.  
  940. If one wishes to use DES to encrypt files stored on a hard disk, it is
  941. not feasible to frequently change the DES keys, as this would entail
  942. decrypting and then re-encrypting all files upon each key change. Instead,
  943. one should have a master DES key with which one encrypts the list of DES
  944. keys used to encrypt the files; one can then change the master key
  945. frequently without much effort.
  946.  
  947. A powerful technique for improving the security of DES is triple encryption,
  948. that is, encrypting each message block under three different DES keys in
  949. succession. Triple encryption is thought to be equivalent to doubling the
  950. key size of DES, to 112 bits, and should prevent decryption by an enemy
  951. capable of single-key exhaustive search [53]. Of course, using
  952. triple-encryption takes three times as long as single-encryption DES.
  953.  
  954. Aside from the issues mentioned above, DES can be used for encryption in
  955. several officially defined modes. Some are more secure than others. ECB
  956. (electronic codebook) mode simply encrypts each 64-bit block of plaintext
  957. one after another under the same 56-bit DES key. In CBC (cipher block
  958. chaining) mode, each 64-bit plaintext block is XORed with the previous
  959. ciphertext block before being encrypted with the DES key. Thus the encryption
  960. of each block depends on previous blocks and the same 64-bit plaintext
  961. block can encrypt to different ciphertext depending on its context in the
  962. overall message. CBC mode helps protect against certain attacks, although
  963. not against exhaustive search or differential cryptanalysis. CFB (cipher
  964. feedback) mode allows one to use DES with block lengths less than 64 bits.
  965. Detailed descriptions of the various DES modes can be found in [60].
  966.  
  967. In practice, CBC is the most widely used mode of DES, and is specified in
  968. several standards. For additional security, one could use triple encryption
  969. with CBC, but since single DES in CBC mode is usually considered secure
  970. enough, triple encryption is not often used.
  971.  
  972.  
  973. 5.4 Can DES be exported from the U.S.?
  974.  
  975. Export of DES, either in hardware or software, is strictly regulated by
  976. the U.S. State Department and the NSA (see Question 1.6). The government
  977. rarely approves export of DES, despite the fact that DES is widely
  978. available overseas; financial institutions and foreign subsidiaries of
  979. U.S. companies are exceptions.
  980.  
  981.  
  982. 5.5 What are the alternatives to DES?
  983.  
  984. Over the years, various bulk encryption algorithms have been designed as
  985. alternatives to DES. One is FEAL (Fast Encryption ALgorithm), a cipher for
  986. which attacks have been discovered [6], although new versions have been
  987. proposed. Another recently proposed cipher designed by Lai and Massey
  988. [44] and known as IDEA seems promising, although it has not yet received
  989. sufficient scrutiny to instill full confidence in its security. The U.S.
  990. government recently announced a new algorithm called Skipjack (see Question
  991. 6.5) as part of its Capstone project. Skipjack operates on 64-bit blocks of
  992. data, as does DES, but uses 80-bit keys, as opposed to 56-bit keys in DES.
  993. However, the details of Skipjack are classified, so Skipjack is only
  994. available in hardware from government-authorized manufacturers.
  995.  
  996. Rivest has developed the ciphers RC2 and RC4 (see Question 8.6), which can
  997. be made as secure as necessary because they use variable key sizes. Faster
  998. than DES, at least in software, they have the further advantage of special
  999. U.S. government status whereby the export approval is simplified and
  1000. expedited if the key size is limited to 40 bits.
  1001.  
  1002.  
  1003. 5.6 Is DES a group?
  1004.  
  1005. It has been frequently asked whether DES encryption is closed under
  1006. composition; i.e., is encrypting a plaintext under one DES key and
  1007. then encrypting the result under another key always equivalent to a
  1008. single encryption under a single key? Algebraically, is DES a group?
  1009. If so, then DES might be weaker than would otherwise be the case; see
  1010. [39] for a more complete discussion. However, the answer is no, DES
  1011. is not a group [18]; this issue was settled only recently, after many
  1012. years of speculation and circumstantial evidence. This result seems to
  1013. imply that techniques such as triple encryption do in fact increase
  1014. the security of DES.
  1015.  
  1016.  
  1017.        --------------------------------------------
  1018.  
  1019. RSA Laboratories is the research and consultation division of RSA Data
  1020. Security, Inc., the company founded by the inventors of the RSA
  1021. public-key cryptosystem. RSA Laboratories reviews, designs and
  1022. implements secure and efficient cryptosystems of all kinds. Its
  1023. clients include government agencies, telecommunications companies,
  1024. computer manufacturers, software developers, cable TV broadcasters,
  1025. interactive video manufacturers, and satellite broadcast companies,
  1026. among others.
  1027.  
  1028. For more information about RSA Laboratories, call or write to
  1029.                         RSA Laboratories
  1030.                         100 Marine Parkway
  1031.                         Redwood City, CA 94065
  1032.                         (415) 595-7703
  1033.                         (415) 595-4126 (fax)
  1034.  
  1035.  
  1036.  
  1037. PKCS, RSAREF and RSA Laboratories are trademarks of RSA Data
  1038. Security, Inc. All other trademarks belong to their respective
  1039. companies.
  1040.  
  1041. This document is available in ASCII, Postscript, and Latex formats
  1042. via anonymous FTP to rsa.com:/pub/faq.
  1043.  
  1044. Please send comments and corrections to faq-editor@rsa.com.
  1045.  
  1046.  
  1047.  
  1048. ===
  1049. DISTRIBUTION: How to obtain this document
  1050.  
  1051. This document has been brought to you in part by CRAM, involved in the
  1052. redistribution of valuable information to a wider USENET audience (see
  1053. below). The most recent version of this document can be obtained via
  1054. the author's instructions above. The following directions apply to
  1055. retrieve the possibly less-current USENET FAQ version.
  1056.  
  1057.   FTP
  1058.   ---
  1059.     This FAQ is available from the standard FAQ server rtfm.mit.edu via
  1060.     FTP in the directory /pub/usenet/news.answers/cryptography-faq/rsa/
  1061.  
  1062.   Email
  1063.   -----
  1064.     Email requests for FAQs go to mail-server@rtfm.mit.edu with commands
  1065.     on lines in the message body, e.g. `help' and `index'.
  1066.  
  1067.   Usenet
  1068.   ------
  1069.     This FAQ is posted every 21 days to the groups
  1070.  
  1071.       sci.crypt
  1072.       talk.politics.crypto
  1073.       alt.security.ripem
  1074.       sci.answers
  1075.       talk.answers
  1076.       alt.answers
  1077.       news.answers
  1078.  
  1079. ===
  1080. CRAM: the Cyberspatial Reality Advancement Movement
  1081.  
  1082. In an effort to bring valuable information to the masses, and
  1083. as a service to motivated information compilers, I
  1084. (L. Detweiler) will help others unfamiliar with Usenet
  1085. `publish' their documents for widespread dissemination via the
  1086. FAQ structure, and act as a `sponsor' knowledgable in the
  1087. submissions process. This document is being distributed under
  1088. this arrangement.
  1089.  
  1090. I have found these compilations tend to appear on various
  1091. mailing lists and are valuable enough to deserve wider
  1092. distribution. If you know of an existing compilation of
  1093. Internet information that is not currently a FAQ, please
  1094. contact me and I may `sponsor' it. The benefits to the author
  1095. include:
  1096.  
  1097. - use of the existing FAQ infrastructure for distribution:
  1098.   - automated mail server service
  1099.   - FTP archival
  1100.   - automated posting
  1101.  
  1102. - a far wider audience that can improve the quality, accuracy,
  1103.   and coverage of the document enormously through email
  1104.   feedback
  1105.  
  1106. - potential professional inquiries for the use of your
  1107.   document in other settings, such as newsletters, books,
  1108.   etc.
  1109.  
  1110. - with me as your sponsor, I will also take care of the
  1111.   technicalities in the proper format of the posted version
  1112.   and updating procedures, leaving you free of the `overhead'
  1113.   to focus on the basic updates alone
  1114.  
  1115. Send comments relating to the *distribution* of this document
  1116. (particularly relevant newsgroups not currently covered in
  1117. its current distribution) or inquiries on other documents to
  1118. <ld231782@longs.lance.colostate.edu>.
  1119.  
  1120. The choice of who I `sponsor' is entirely arbitrary. You always
  1121. have the option of handling the submission process yourself.
  1122. See the FAQ submission guidelines FAQ in news.answers.
  1123.  
  1124.  
  1125.  
  1126.