home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / crypto / mys00561.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  22.0 KB  |  510 lines
  1.                 DATA ENCRYPTION STANDARD FACT SHEET
  2.  
  3.  
  4. Introduction
  5.  
  6. The National Institute of Standards and Technology (NIST) of the
  7. Department of Commerce has recently received many inquiries
  8. regarding various aspects of the Data Encryption Standard (DES). 
  9. This document addresses those frequently asked questions and
  10. provides interested individuals with sources of additional
  11. information.  The document is not designed to issue new policy;
  12. rather it summarizes and clarifies existing policies.  Additional
  13. guidance concerning the use of National Security Agency (NSA)
  14. developed Type II and Low-cost Encryption Authentication Devices
  15. (LEAD) is planned to be issued in 1990.
  16.  
  17. Background
  18.  
  19. Issued as Federal Information Processing Standard Publication
  20. (FIPS PUB) 46 in 1977, the DES was promulgated by NIST (then the
  21. National Bureau of Standards) to provide a system for the
  22. protection of the confidentiality and integrity of the federal
  23. government's sensitive unclassified computer information.  FIPS
  24. PUB 46 is based upon work by the International Business Machines
  25. Corporation and has been approved as American National Standard
  26. X3.92-1981/R1987.  The DES has been reaffirmed twice, most
  27. recently in 1988.  The current standard, which was issued as FIPS
  28. PUB 46-1, reaffirms the standard until 1993.
  29.  
  30. Technical Overview 
  31.  
  32. The Data Encryption Standard specifies a cryptographic algorithm
  33. that converts plaintext to ciphertext using a key, a process
  34. called encryption.  The same algorithm is used with the same key
  35. to convert ciphertext back to plaintext, a process called
  36. decryption.  The DES consists of 16 "rounds" of operations that
  37. mix the data and key together is a prescribed manner using the
  38. fundamental operations of permutation and substitution.  The goal
  39. is to completely scramble the data and key so that every bit of
  40. the ciphertext depends on every bit of the data and every bit of
  41. the key (a 56-bit quantity for the DES).  After sufficient
  42. "rounds" with a good algorithm, there should be no correlation
  43. between the ciphertext and either the original data or key. 
  44.  
  45. The DES uses 16 rounds for several reasons.  First, a minimum of
  46. 12 rounds were needed to sufficiently scramble the key and data
  47. together; the others provided a margin of safety.  Second, the
  48. operation of 16 rounds would return the key back to its original
  49. position in an electronic device for the next use when used in
  50. accordance with the published algorithm.  Third, numerous
  51. "rounds" were needed to keep an analyst or adversary from working
  52. simultaneously forward and backward and "meeting in the middle"
  53. with a solution. 
  54.  
  55. Security Provided by DES 
  56.  
  57. The security provided by the DES depends on several factors: 
  58. mathematical soundness, length of key, key management, input data
  59. formatting, mode of operation, implementation, application and
  60. threat.   
  61.  
  62. The DES was developed to protect unclassified computer data in
  63. federal computer systems against a number of passive and active
  64. attacks in communications and storage systems.  It was assumed
  65. that a knowledgeable person might seek to comprise the security
  66. system with resources commensurate to the value of the
  67. information to be obtained.  Applications included Electronic
  68. Funds Transfer, privacy protection of personal information,
  69. personal authentication, password protection, access control,
  70. etc.   
  71.  
  72. The DES has been evaluated by several organizations and has been
  73. determined to be mathematically sound.  The effective length of
  74. the data key (56-bits) was challenged by several people as being
  75. too short for high security applications.  Several people have
  76. analyzed the algorithm and have concluded that the algorithm is
  77. sound but would not be "if only this simple change was made." 
  78. The most recent charge was that "if the DES has only 6 or 8
  79. rounds instead of 16, then it could be broken on a personal
  80. computer in 0.3 seconds and 3 minutes respectively. 
  81.  
  82. The two algorithms that were "broken on a personal computer" in
  83. 0.3 seconds and 3 minutes respectively WERE NOT THE DES.  There
  84. is only one DES and any change to it results in an algorithm that
  85. IS NOT THE DES.  Cryptographically, any algorithm that is
  86. obtained by any change to the DES may be significantly different
  87. in the security it provides.  Thus, while the DES is sound, many
  88. algorithms that are similar to, but different from, the DES are
  89. not sound. 
  90.  
  91. NIST has determined that at least until 1993, the DES will
  92. continue to provide more than adequate security for its intended
  93. applications.  It is currently the only cryptographic method to
  94. be used in the federal government to protect unclassified
  95. computer data (except that information described in 10 U.S.C.
  96. Section 2315).  However, NIST does plan to augment the DES with
  97. other cryptographic algorithms in a family of standards that will
  98. provide other types of protection in special applications (e.g.,
  99. digital signatures, key exchange, exportable security).  NIST
  100. will continue to support the use of DES in government security
  101. applications for the foreseeable future. 
  102.  
  103. Applicability
  104.  
  105. Subject to agency waivers as discussed below, use of DES is
  106. mandatory for all federal agencies, including defense agencies,
  107. for the protection of sensitive unclassified data communications
  108. (except information covered by 10 U.S.C. Section 2315, as
  109. described below) when the agency or department determines that
  110. cryptographic protection is required.  Note that the term
  111. unclassified information as used in this document excludes
  112. information covered by 10 U.S.C. 2315.  Use of DES is currently
  113. applicable only to the protection of data communications.  
  114.  
  115. The National Security Agency (NSA) of the U.S. Department of
  116. Defense develops and promulgates requirements for those
  117. telecommunications and automated information systems operated by
  118. the U.S. Government, its contractors, or agents, that contain
  119. classified information or, as delineated in 10 U.S.C. Section
  120. 2315, the function, operation, or use of which:
  121.  
  122.   -    involves intelligence activities;
  123.   -    involves cryptologic activities related to national
  124. security;
  125.   -    involves the direct command and control of military forces;
  126.   -    involves equipment which is an integral part of a weapon or
  127.        weapon systems; or
  128.   -    is critical to the direct fulfillment of a military or
  129.        intelligence mission.
  130.  
  131. DES may be used by private-sector individuals or organizations at
  132. their discretion.  
  133.  
  134. Waivers for the Mandatory Use of DES
  135.  
  136. The head of a federal department or agency may waive the use of
  137. DES for the protection of unclassified information as discussed
  138. below.  
  139.  
  140. Waivers to the mandatory use of DES are required if:
  141.  
  142.   -    cryptographic devices perform an algorithm other than DES
  143.        and are used by federal departments or agencies for
  144.        cryptographic protection of information;
  145.  
  146.   -    DES is implemented in a software-based system (See specific
  147.        exclusions below.); or
  148.  
  149.   -    the agency or department wishes to use Type II (i.e, for
  150.        unclassified applications) cryptographic devices certified
  151.        by NSA (except for current voice only applications). 
  152.        [Note:  Type I products have been approved by NSA for the
  153.        protection of classified information while Type II products
  154.        have been approved for the protection of unclassified
  155.        information.]
  156.  
  157. Waivers to the mandatory use of DES are not required if:
  158.  
  159.   -    the agency or department wishes to use Type I (i.e., for
  160.        classified applications) cryptographic equipment;
  161.  
  162.   -    DES is implemented in software for testing or evaluation
  163.        purposes; or
  164.  
  165.   -    DES is implemented in software for a limited special
  166.        purpose (e.g., encrypting password files).
  167.  
  168. Additionally, no waivers are currently required for use of Type
  169. II products for voice only applications.  
  170.  
  171. Waiver Procedures
  172.  
  173. As mentioned above, the heads of federal departments or agencies
  174. may waive the mandatory use of DES.  This authority may be
  175. redelegated only to a senior official designated pursuant to 44
  176. U.S.C. section 3506(b).  Waivers shall be granted only when:
  177.   
  178.   -    compliance with the standard would adversely affect the
  179.        accomplishment of the mission of an operator of a federal
  180.        computer system; or
  181.  
  182.   -    compliance would cause a major adverse financial impact on
  183.        the operator which is not offset by Governmentwide savings.
  184.  
  185. In addition, when a waiver is being considered to allow for the
  186. use of Type II products, the agency must document that such
  187. devices offer equivalent cost/performance features when compared
  188. to devices conforming to the DES standard.  
  189.  
  190. Agency heads may act upon a written waiver request containing the
  191. information detailed above.  Agency heads may also act without a
  192. written waiver request when they determine that conditions for
  193. meeting the standard cannot be met.  Agency heads may approve
  194. waivers only by a written decision which explains the basis on
  195. which the agency head made the required finding(s).  A copy of
  196. each such decision, with procurement-sensitive or classified
  197. portions clearly identified, shall be sent to:
  198.  
  199.   National Institute of Standards and Technology
  200.   Attention: FIPS Waiver Decisions
  201.   Technology Building, Room B-154
  202.   Gaithersburg, MD  20899
  203.  
  204. In addition, notice of each waiver granted and each delegation of
  205. authority shall be sent promptly to the Committee on Government
  206. Operations of the House of Representatives and the Committee on
  207. Governmental Affairs of the Senate and shall be published
  208. promptly in the Federal Register.
  209.  
  210. When the determination on a waiver applies to the procurement of
  211. equipment and/or services, a notice of the waiver determination
  212. must be published in the Commerce Business Daily as a part of the
  213. notice of solicitation for offers of an acquisition or, if the
  214. waiver determination is made after that notice is published, by
  215. amendment to such notice.  
  216.  
  217. A copy of the waiver, any supporting documents, the document
  218. approving the waiver and any supporting or accompanying
  219. documents, with such deletions as the agency is authorized and
  220. decides to make under 5 U.S.C. Section 552(b), shall be part of
  221. the procurement documentation and retained by the agency.  
  222.  
  223. Endorsement of DES Products
  224.  
  225. DES products for use in telecommunications equipment and systems
  226. are no longer being endorsed for conformance to FIPS PUB 140
  227. (formerly Federal Standard 1027) by NSA.  NIST has notified the
  228. heads of federal departments that they may wish to consider
  229. waiving the requirements of FIPS PUB 140 in order to buy
  230. equipment which may not meet all of the criteria in the standard. 
  231. This action will enable agencies to procure cost-effective
  232. equipment that meets their needs, but has not been endorsed by
  233. NSA.  
  234.  
  235. FIPS PUB 140 is currently under revision to be reissued as FIPS
  236. PUB 140-1.  All issues contained within the scope of the document
  237. are being readdressed.  Additionally, NIST is examining various
  238. methods for conducting conformance testing against the
  239. requirements of FIPS PUB 140-1.  Until the NIST FIPS 140-1
  240. program is established, federal agencies may accept written
  241. affirmation of conformance to FIPS PUB 140 from vendors as
  242. sufficient indication of conformance.  
  243.  
  244. DES Cryptographic Keys
  245.  
  246. U.S. government users of NSA-endorsed products may obtain DES
  247. cryptographic keys for these products from NSA upon request at no
  248. cost.  Contact your responsible Communications Security (COMSEC)
  249. officer for further information.   
  250. Alternatively, users of the DES, including federal organizations,
  251. may generate their own cryptographic keys.  DES keys must be
  252. properly generated and managed in order to assure a high level of
  253. protection to computer data.  Electronic Key Management includes
  254. generation, distribution, storage, and destruction of
  255. cryptographic keys using automated processes.  Information on
  256. this subject may be obtained from FIPS 74, FIPS 140-1 (future),
  257. ANSI X9.17, and the Secure Data Network System (SDNS) documents
  258. available from NIST.  The specifics of electronic key generation
  259. are outside the scope of this document.
  260.  
  261. The keys used to protect electronic funds transfers must be able
  262. to be changed and should be changed aperiodically, but at least
  263. annually.  Very large electronic funds transfers should be
  264. protected individually with separate keys and the input data must
  265. be properly formatted to assure high security. 
  266.  
  267. Exportability of DES Devices and Software Products
  268.  
  269. Hardware- and software- based implementations of DES are subject
  270. to federal export controls as specified in Title 22, Code of
  271. Federal Regulations (CFR), Parts 120 - 130, the International
  272. Traffic in Arms Regulations (ITAR).  Specific information
  273. regarding export applications, application procedures, types of
  274. licenses, and necessary forms may be found in the CFR. 
  275. Responsibility for granting export licenses (except for those DES
  276. implementations noted below) rests with:
  277.  
  278.        Office of Munitions Control
  279.        Bureau of Politico-Military Affairs
  280.        U.S. Department of State
  281.        Washington, DC, 20250
  282.        Telephone: (202) 875-6650
  283.  
  284. The Office of Munitions Control, U.S. Department of State issues
  285. either individual or distribution licenses.  Under a distribution
  286. license, annual reports must be submitted by the distributor
  287. describing to whom the licensed products have been sold.  License
  288. requests for products to be shipped to certain prohibited
  289. countries (see Section 126.1 of the ITAR) are denied for foreign
  290. policy reasons by the Department of State.  
  291.  
  292. Licenses are normally granted if the end users are either
  293. financial institutions or American subsidiaries abroad.  In
  294. general, either individual or distribution licenses may be used
  295. for financial institutions while only individual licenses may be
  296. used for subsidiaries of U.S. corporations.  
  297.  
  298.  
  299. Specific Cryptographic Implementations under Jurisdiction of the
  300. Department of Commerce
  301.  
  302. The Bureau of Export Administration, U.S. Department of Commerce
  303. is responsible for the granting of export licenses for the
  304. following categories of cryptographic products (including DES):
  305.  
  306.   -    Authentication.  Software or hardware which calculates a
  307.        Message Authentication Code (MAC) or similar result to
  308.        assure no alteration of text has taken place, or to
  309.        authenticate users, but does not allow for encryption of
  310.        data, text or other media other than that needed for the
  311.        authentication.
  312.  
  313.   -    Access Control.  Software or hardware which protect
  314.        passwords or Personal Identification Numbers (PIN) or
  315.        similar data to prevent unauthorized access to computing
  316.        facilities, but does not allow for encryption of files or
  317.        text, except as directly related to password or PIN
  318.        protection.
  319.  
  320.   -    Proprietary Software Protection.  Decryption-only routines
  321.        for encrypted proprietary software, fonts, or other
  322.        computer-related proprietary information for the purpose of
  323.        maintaining vendor control over said information when such
  324.        decryption routines are not accessible to users of said
  325.        software, font or other information, and cannot be used for
  326.        any other purpose.
  327.  
  328.   -    Automatic Teller Devices.  Devices limited to the issuance
  329.        of cash or travellers checks, acceptance of deposits, or
  330.        account balance reporting. 
  331.  
  332. Vendors of products in the above four categories should contact
  333. the following for a product classification determination:
  334.  
  335.        Bureau of Export Administration
  336.        U.S. Department of Commerce
  337.        P.O. Box 273
  338.        Washington, DC 20044
  339.        Telephone: (202) 377-0708
  340.  
  341. Following this determination, the vendor will be informed whether
  342. an export license from the U.S. Department of Commerce is
  343. necessary.  The Bureau of Export Administration will provide
  344. vendors with license procedures and further information as
  345. appropriate.  
  346.  
  347. Please note that vendors whose products do not fall clearly into
  348. the above categories should follow procedures set forth in the
  349. ITAR, 22 CFR 120-130.
  350.  
  351. Validation of Devices for Compliance with FIPS PUBS 46 and 113
  352.  
  353. NIST performs validations of products for compliance with FIPS
  354. PUBS 46 and 113.  For further information about submitting
  355. products for validation or to obtain a list of devices validated
  356. under either standard, please contact:
  357.   
  358.        Manager, Security Technology Group
  359.        Computer Security Division
  360.        National Computer Systems Laboratory
  361.        Building 225, Room A266
  362.        National Institute of Standards and Technology
  363.        Gaithersburg, MD  20899
  364.        Telephone (301) 975-2920
  365.  
  366. Reference Documents
  367.  
  368. NIST Documents
  369.  
  370. NIST has issued FIPS PUBS and special publications regarding DES,
  371. its implementation, and modes of operation.
  372.  
  373.   FIPS PUB 46-1, Data Encryption Standard
  374.  
  375.   This standard provides the technical specifications for the DES
  376.   algorithm.
  377.  
  378.   FIPS PUB 74, Guidelines for Implementation and Using the NBS
  379.   Data Encryption Standard
  380.  
  381.   This guideline on DES discusses how and when data encryption
  382.   should be used, various encryption methods, the reduction of
  383.   security threats, implementation of the DES algorithm, and key
  384.   management.
  385.  
  386.   FIPS PUB 81, DES Modes of Operation
  387.  
  388.   FIPS PUB 81 defines four modes of operation for DES which may be
  389.   used in a wide variety of applications.  The modes specify how
  390.   data will be encrypted and decrypted.  The four modes are: (1)
  391.   Electronic Codebook (ECB), (2) the Cipher Block Chaining (CBC),
  392.   (3) Cipher Feedback (CFB), and (4) Output Feedback (OFB).  
  393.  
  394.   FIPS PUP 113, Computer Data Authentication
  395.  
  396.   This standard specifies a Data Authentication Algorithm, based
  397.   upon DES, which may be used to detect unauthorized
  398.   modifications, both intentional and accidental, to data.  The
  399.   Message Authentication Code as specified in ANSI X9.9 is
  400.   computed in the same manner as the Data Authentication Code as
  401.   specified in this standard.  
  402.  
  403.   FIPS PUB 139, Interoperability and Security Requirements for Use
  404.   of the Data Encryption Standard in the Physical Layer of Data
  405.   Communications
  406.  
  407.   This standard specifies interoperability and security-related
  408.   requirements for using encryption at the Physical Layer of the
  409.   ISO Open Systems Interconnection (OSI) Reference Model in
  410.   telecommunications systems conveying digital information.  FIPS
  411.   PUB 139 was previously issued by the General Services
  412.   Administration as Federal Standard 1026.
  413.  
  414.   FIPS PUB 140, General Security Requirements for Equipment Using
  415.   the Data Encryption Standard
  416.  
  417.   This document establishes the physical and logical security
  418.   requirements for the design and manufacture of DES equipment. 
  419.   FIPS PUB 140 was previously issued by the General Services
  420.   Administration as Federal Standard 1027.
  421.  
  422.   FIPS PUB 141, Interoperability and Security Requirements for Use
  423.   of the Data Encryption Standard With CCITT Group 3 Facsimile
  424.   Equipment
  425.  
  426.   This document specifies interoperability and security related
  427.   requirements for use of encryption with the International
  428.   Telegraph and Telephone Consultative Committee (CCITT), Group 3-
  429.   type facsimile equipment.  
  430.  
  431.   NBS Special Publication 500-61, Maintenance Testing for the Data
  432.   Encryption Standard
  433.  
  434.   This special publication describes the design of four
  435.   maintenance tests for the Data Encryption Standard.  The tests
  436.   consist of an iterative procedure that tests the operation of
  437.   DES devices using a small program and minimal data.  The tests
  438.   are defined as four specific stopping points in a general
  439.   testing process and satisfy four testing requirements of
  440.   increasing degree of completeness depending on the thoroughness
  441.   of testing desired.  
  442.  
  443.   NBS Special Publication 500-156, Message Authentication Code
  444.   (MAC) Validation System: Requirements and Procedures
  445.  
  446.   This special publication describes a Message Authentication Code
  447.   (MAC) Validation System (MVS) to test message authentication
  448.   devices for conformance to two data authentication standards: 
  449.   FIPS PUB 113 and ANSI X9.9-1986, Financial Institution Message
  450.   Authentication (Wholesale).  The MVS is designed to perform
  451.   automated testing on message authentication devices which are
  452.   remote to NIST.  This publication provides brief overviews of
  453.   the two data authentication standards and introduces the basic
  454.   design and configuration of the MVS.  The requirements and
  455.   administrative procedures to be followed by those seeking formal
  456.   NIST validation of a message authentication device are
  457.   presented.  
  458.  
  459. Copies of these publications are for sale by the National
  460. Technical Information Service, at:
  461.  
  462.        National Technical Information Service
  463.        U.S. Department of Commerce
  464.        5285 Port Royal Road
  465.        Springfield, VA 22161
  466.        Telephone (703) 487-4650, FTS: 737-4650
  467.  
  468.  
  469.  
  470.  
  471. Other Documents
  472.  
  473. DES has been incorporated into a number of other standards,
  474. including:
  475.  
  476.   American National Standard for Financial Institution Message
  477.   Authentication, ANSI X9.9-1982, 1430 Broadway, New York, NY.
  478.  
  479.   American National Standard for Personal Identification Number
  480.   (PIN) Management and Security, ANSI X9.8-1982, 1430 Broadway,
  481.   New York, NY.
  482.  
  483.   Data Encryption Algorithm (DEA), ANSI X3.92-1981, 1430 Broadway,
  484.   New York, NY.
  485.  
  486.   Key Management Standard, Document 4.3, American Bankers
  487.   Association, Washington, DC, 1980.
  488.  
  489.   Management and Use of Personal Identification Numbers, Cat. No.
  490.   207213, American Bankers Association, Washington, DC, 1979.
  491.  
  492.   Protection of Personal Identification Numbers in Interchange,
  493.   Document 4.5.6, American Bankers Association, Washington, DC,
  494.   1981.
  495.  
  496. NIST's Computer Security Program
  497.  
  498. For further information regarding other aspects of NIST's
  499. computer security program, including NIST's federal agency
  500. assistance program, please contact:
  501.  
  502.        Computer Security Division
  503.        National Computer Systems Laboratory
  504.        Building 225, Room A216
  505.        National Institute of Standards and Technology
  506.        Gaithersburg, MD  20899
  507.        Telephone (301) 975-2934
  508.  
  509. (end) 
  510.