home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #23 / NN_1992_23.iso / spool / sci / crypt / 3809 < prev    next >
Encoding:
Text File  |  1992-10-15  |  4.9 KB  |  112 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!utcsri!torn!cunews!nrcnet0!bnrgate!bcars267!keith
  3. From: keith@bnr.ca (Keith W. Campbell)
  4. Subject: Re: DES Encryption/ Encrypting more than once.
  5. Message-ID: <1992Oct15.211300.27098@bnr.ca>
  6. Sender: keith@bnr.ca
  7. Nntp-Posting-Host: bcars15
  8. Organization: Bell-Northern Research, Ontario, Canada
  9. References: <1992Oct13.174505.24230@b11.b11.ingr.com> <1992Oct15.125830.25539@bnr.ca> <unruh.719169829@unixg.ubc.ca>
  10. Date: Thu, 15 Oct 1992 21:13:00 GMT
  11. Lines: 99
  12.  
  13. In article <1992Oct15.144341.15104@rchland.ibm.com> lwloen@vnet.ibm.com writes:
  14. >In article <1992Oct14.184555.26717@sqwest.wimsey.bc.ca> Mark Henderson
  15. >writes:
  16. >
  17. >>In article <ARI.HUTTUNEN.92Oct13203817@cardhu.cs.hut.fi> Ari.Huttunen@hut.fi
  18. >> (Ari Huttunen) writes:
  19. >>>In article <wa6JsB7w165w@works.uucp> ferret@works.uucp (Dave Ferret) writes:
  20. >>>
  21. >>>Any encryption scheme that has a fixed block length *must* do this. Think
  22. >>>of a series of encryptions:
  23. >>>    x_1 -> x_2 -> x_3 -> ... -> x_k -> ... -> x_n -> ...
  24. >>>If 'n' is greater than the possible number of messages that can be encoded
  25. >>>in the fixed length block, there must be some blocks in the chain that
  26. >>>are the same (pigeonhole principle). Let x_k and x_n be the same blocks.
  27. >>>Then by encrypting x_k (n-k)-times yields x_k.
  28. >>>
  29. >>>(n-k) might be quite large, though. ;-)>
  30. >>
  31. >>However there is nothing in your argument to say that (k,n) are not
  32. >>dependent on the original block being encrypted.>
  33. >>
  34. >>for "circular", we want something more like:>
  35. >>
  36. >>there exists n such that
  37. >>
  38. >> n
  39. >>E (x) = x   for all blocks x  >>
  40. >>
  41. >>where E is the encryption function in question.
  42. >
  43. >Few encryption systems have this property in general.  As I recall, the
  44. >system known as Bifid (see H. F. Gaines' Cryptanalysis for a brief
  45. >summary) has this property.  For a given keysquare and period, n is not
  46. >known, but is fixed for that particular set.
  47.  
  48. All encryption systems must have this property.  While it is true that
  49. there will often be many different orders of blocks
  50.                                i
  51.     order(x) = smallest i  such that  E (x) = x
  52.  
  53. we can always take n = lcm( order(x) : over all blocks x ) to get
  54.  
  55.           n
  56.          E (x) = x for all x
  57.  
  58. We would hope that n is large for any system in use.  This is true for
  59. DES, as you will see below.
  60.  
  61. In article <unruh.719169829@unixg.ubc.ca> unruh@unixg.ubc.ca (Bill Unruh) writes:
  62. >keith@bnr.ca (Keith W. Campbell) writes:
  63. >
  64. >>It is only a problem if the cycle length is very short.  A cycle length of
  65. >>one means that the plaintext and ciphertext are the same.  If the cycle
  66. >>length is two, an attacker who can arrange to have a chosen text encrypted
  67. >>may discover the plaintext by having the ciphertext re-encrypted.
  68. >
  69. >>For DES these short cycles are very rare and such keys are easy to avoid.
  70. >>DES and other good ciphers which may be considered to be random mappings
  71. >>have average cycle lengths of sqrt(pi*n/8) steps where n is the number of
  72. >>possible plaintexts.
  73. >
  74. >>For DES, n=2^64 so the average cycle length is about 0.627*2^32.
  75. >>So in practice, the cycles of an
  76. >>encryption algorithm are not problematic.
  77. >
  78. >So a chosen plaintext attack of "only" 2^32 should crack DES, rather
  79. >than the 2^47 or something of the differential analysis attack? Sounds
  80. >like a significant advance in the breaking of DES since the former has
  81. >been widely reported as breaking DES:)?
  82.  
  83. Sorry, but this does NOT lead to a practical attack on a system which
  84. uses DES. If you can entice the victim into n1 ~ 2^32 encryptions, you
  85. can get the plaintext. (Note that this only applies to systems which use
  86. DES in ECB mode). You still don't have the key nor an efficient method
  87. for encrypting or decrypting blocks not included in this cycle.
  88.  
  89. You may continue to collect more plaintext-ciphertext pairs by following
  90. other cycles yielding cycle lengths n2, n3, ..., n_k. This process should
  91. give a complete description of the mapping after traversing k ~ 2^32 cycles.
  92. (There 2^64 points with about 2^32 in each cycle).  Your obliging victim
  93. has done 2^64 encryptions for you; it would have been more efficient to
  94. check each of the 2^56 keys yourself.
  95.  
  96. Michael Wiener and I submitted a paper to Crypto '92 entitled "DES is not
  97. a Group". The principal argument is as follows.
  98.  
  99. Consider the closure of DES encryptions under composition.  Our claim is
  100. that this group must include permutations which are not equivalent to DES
  101. encryption with any key.  Each of the n_i collected above must divide
  102. the order of the group.  Compute n = lcm( n_i, i=1..k ).  If n > 2^56 then
  103. the group must be larger than the set of DES encryptions.
  104.  
  105. The paper includes the lengths of several hundred cycles of DES.
  106. The lcm of those lengths exceeds 10^2499.  It is clearly not practical
  107. to use E^n(x) to recover x for such large n.
  108. -- 
  109. Keith W. Campbell                                Bell-Northern Research
  110.                       P.O. Box 3511, Station C, Ottawa, Canada, K1Y 4H7
  111. e-mail:    keith@bnr.ca                          voice:  (613) 765-4564
  112.