home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / sci / crypt / 6442 < prev    next >
Encoding:
Text File  |  1993-01-06  |  3.0 KB  |  61 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!linac!att!att!dptg!ulysses!ulysses!smb
  3. From: smb@research.att.com (Steven Bellovin)
  4. Subject: Re: DES (Was: Re: 800MHz
  5. Message-ID: <1993Jan6.143853.8182@ulysses.att.com>
  6. Date: Wed, 6 Jan 1993 14:38:53 GMT
  7. References:  <23.2B4A0D74@purplet.demon.co.uk>
  8. Organization: AT&T Bell Laboratories
  9. Lines: 50
  10.  
  11. In article <23.2B4A0D74@purplet.demon.co.uk>, Owen.Lewis@purplet.demon.co.uk (Owen Lewis) writes:
  12. >         What first world government permits the use of DES for the protection 
  13. >         of classified material? Does the US government? I believe not.
  14.  
  15. Definitely not in the U.S.  Bamford quotes Kahn (I think from ``Kahn on
  16. Codes'', but that book is in my office, and I'm at home) as speculating
  17. that there was a debate within NSA on how strong a putative DES should
  18. be.  Certainly, they wanted to be able to crack it, but they also had
  19. to ensure that enemies couldn't.  Remember that espionage against American
  20. companies was (and is) a significant threat.
  21.  
  22. >  And while we are discussing theories, I believe James Bamforth, the NSA 
  23. >  watcher, went on record some time ago with a claim that the cost to the US 
  24. >  taxpayer for breaking each DES ciphertext is $56. Can anyone supply the  
  25. >  assumptions from which he must have made this extrapolation?
  26.  
  27. These appear to be Diffie and Hellman's numbers.  That is, design a
  28. brute-force cracker with a million chips at $10 apiece.  Double that for
  29. power supplies, control circuitry, etc.  If each chip can do a trial
  30. decryption in 1 microsecond, an average solution takes ~10 hours.
  31. Depreciating over five years gives ~$5K per solution.  They then
  32. noted that the cost of computation has been dropping by a factor of 10
  33. every five years, so ten years later, the machine should cost $200,000
  34. instead of $20,000,000, and each solution would cost $50.
  35.  
  36. I don't think that that projection has held up.  Chips of that sophistication
  37. don't, I think, cost that little, even in such large quantities.  For a
  38. more recent analysis of the cost of a brute-force cracker, see
  39.  
  40. @article{deswatch,
  41.         author = {Gilles Garon and Richard Outerbridge},
  42.         title = {{DES} {Watch}:  An Examination of the Sufficiency of the Data
  43.                 Encryption Standard for Financial Institution Information Securi
  44. ty
  45.                 in the 1990's},
  46.         journal = {Cryptologia},
  47.         month = {July},
  48.         year = {1991},
  49.         volume = {XV},
  50.         number = 3,
  51.         pages = {177--193}
  52. }
  53.  
  54. Their conclusion -- and I agree with it -- is that straight DES is
  55. probably still useful for protecting individual sessions, but is not
  56. suitable for encrypting keys.  Why?  An enemy can turn a cracker loose
  57. on a single message, and -- at a considerable cost -- achieve a solution.
  58. But that solution gives you the plaintext to a key distribution message,
  59. which will let you recover the master key.  And after that, you're home
  60. free.  They suggest using triple encryption for key distribution.
  61.