home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / sci / crypt / 5747 < prev    next >
Encoding:
Text File  |  1992-12-16  |  3.0 KB  |  59 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!spool.mu.edu!uwm.edu!linac!att!att!dptg!ulysses!ulysses!smb
  3. From: smb@research.att.com (Steven Bellovin)
  4. Subject: Re: Enlarging key size of the DES algorithm
  5. Message-ID: <1992Dec16.164704.5456@ulysses.att.com>
  6. Date: Wed, 16 Dec 1992 16:47:04 GMT
  7. References:  <6681@tuegate.tue.nl>
  8. Organization: AT&T Bell Laboratories
  9. Keywords: DES, key size
  10. Lines: 47
  11.  
  12. In article <6681@tuegate.tue.nl>, bartjan@blade.stack.urc.tue.nl (Bartjan Wattel) writes:
  13. > Hi,
  15. > I'm currently working on a project which involves the design of a DES cryto-
  16. > chip. When reading some papers on this subject, it appeared to me that there
  17. > is a great need for enlarging the number of bits used in the cipher key. I read
  18. > about an implementation of the DES with a cipher key of 768 bits in the paper
  19. > of T.Kropf, J.Fr"ossl, W.Beller and T.Giesler: A hardware implementation of a
  20. > modified DES-algorithm, in North-Holland Micorprocessing and Microprogramming
  21. > 30, 1990.
  23. > Questions:
  25. >   1)  Does anybody know the reason(s) for the number of circular left shifts
  26. >       which are performed on the cipher key each iteration in the original
  27. >       DES algorithm ?
  28. >   2)  Does anybody know of other modifications concerning the key size ?
  29. >   3)  Do modifications exist which have been published or proposed by the
  30. >       NBS, or do other (de facto) standard modifications exist ?
  31.  
  32. First of all, when adopting any sort of cryptosystem, you have to decide
  33. who the enemy is.  Increasing the key size is useful in defending against
  34. brute-force attacks.  The Biham/Shamir paper showed that picking all 768
  35. bits independently did not make a significant difference in how long it took
  36. to use differential cryptanalysis.  To me, that says that the strength
  37. of DES, under that attack at least, is something on the close order of 56
  38. bits.  I would not be at all surprised to learn of other attacks that
  39. showed the same property.
  40.  
  41. There are weaknesses that come about from picking the bits independently.
  42. Specifically, DES now has the property that changing 1 key bit will change,
  43. on the average, 50% of the bits in the output for constant inputs.  That
  44. wouldn't be the case with the proposed change.  Key bits near the end
  45. of the 768 bits should be much easier to recover.
  46.  
  47. And that, in turn, brings up the reason for shifting the key bits around
  48. to produce the 16 subkeys.  The intent is to have each key bit operate
  49. on each plaintext bit as soon as possible.  The E-box is tied in to this,
  50. too, and as I recall Shamir's talk it in turn interacts with the S-boxes.
  51.  
  52. I'm certainly not saying that you can't design a better cipher than DES.
  53. But I doubt that the sort of localized tampering you're suggesting is
  54. likely to result in a cipher that's stronger overall.  What you may
  55. accomplish is to confound some canned techniques -- possibly even including
  56. NSA's -- simply because the attacker has bothered to invest the upfront capital
  57. to attack DES.  Your system may be more effective in practice, though not
  58. stronger in theory, simply because it may not be worth attacking.
  59.