home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / sci / crypt / 2791 < prev    next >
Encoding:
Text File  |  1992-07-30  |  2.8 KB  |  60 lines

  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!usc!cs.utexas.edu!hermes.chpc.utexas.edu!jonathan
  3. From: jonathan@chpc.utexas.edu (Jonathan Thornburg)
  4. Subject: linear congruential RNG cipher (was: Re: Cypher algorithm question.)
  5. Message-ID: <1992Jul31.034244.9150@chpc.utexas.edu>
  6. Summary: this is a very bad cipher, it's easy to break
  7. Keywords: cipher linear congruential random number xor weak Knuth break
  8. Sender: jonathan@einstein.ph.utexas.edu
  9. Organization: U of Texas at Austin / Physics Dept / Center for Relativity
  10. References: <tom.712397505@cluster>
  11. Date: Fri, 31 Jul 92 03:42:44 GMT
  12. Lines: 46
  13.  
  14. In article <tom.712397505@cluster> tom@stallion.oz.au (Thomas Essebier) writes:
  15. >By far not being an expert on cryptology, I would appreciate some 
  16. >comments on the crypto scheme below. 
  17. > [ use a standard linear congruential random number generator (= RNG),
  18. >   primed with the key, to derive a stream of bits, which is then xor-ed
  19. >   with the data ]
  20. >
  21. >Where does it stand in terms of security when compared to transposition 
  22. >cyphers, DES etc.
  23.  
  24. I'm sorry, but this is a very weak cipher -- it's very easy to break.
  25. There are (at least) two main weaknesses:
  26.  
  27. (1)    As you described it, there are only 2^32 possible internal
  28.     states of the RNG.  Computers are fast enough today that
  29.     the brute-force attack of trying all of them is feasable
  30.     for any mildly determined opponent.
  31.  
  32. (2)    The simple structure of a linear congruential RNG makes this
  33.     scheme breakable using a much cheaper and more "elegant"
  34.     attack.  The linear and self-inverse nature of xor
  35.     (i.e. a xor b xor a = b) makes the RNG output stream
  36.     recoverable from the ciphertext only with a bit of work,
  37.     or trivially from a plaintext/ciphertext pair.  Given the
  38.     RNG output stream, Knuth v.2 section 3.6 excercise 7
  39.     describes how to recover the RNG parameters, including the
  40.     starting value = crypto key.
  41.  
  42. In general, the fundamental lesson of crypto history is that good
  43. cryptosystems are designed *only* by people who have both theoretical
  44. knowledge of, *and* practical experience with, breaking existing
  45. high-quality cryptosystems.  In other words, unless you have a lot
  46. of crypto experience you're unlikely to come up with a system that
  47. would withstand professional attack.
  48.  
  49. If you simply want a secure cryptosystem, use DES (appropriately,
  50. i.e. in the right mode, with secure keys, and with proper attention
  51. payed to defense against "practical cryptanalysis").  It's secure
  52. against anyone short of a very big corporation or a medium sized
  53. government.  And if Exxon or the FBI *really* want the contents
  54. of your disk drive, they'll probably get it one way or the other...
  55.  
  56. - Jonathan Thornburg
  57.   <jonathan@einstein.ph.utexas.edu> or <jonathan@hermes.chpc.utexas.edu>
  58.   University of Texas at Austin / Physics Dept / Center for Relativity
  59.   and (for a few more months) U of British Columbia / {Astronomy,Physics}
  60.