home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #23 / NN_1992_23.iso / spool / sci / crypt / 3823 < prev    next >
Encoding:
Internet Message Format  |  1992-10-16  |  1.5 KB
  1. Path: sparky!uunet!usc!cs.utexas.edu!sun-barr!ames!agate!dog.ee.lbl.gov!ucbvax!WATSON.IBM.COM!copper
  2. From: copper@WATSON.IBM.COM ("Don Coppersmith ", 914-945-2288 tie 862)
  3. Newsgroups: sci.crypt
  4. Subject: Re: DES Encryption/ Encrypting more than once.
  5. Message-ID: <9210161331.AA10621@ucbvax.Berkeley.EDU>
  6. Date: 16 Oct 92 13:19:38 GMT
  7. Sender: daemon@ucbvax.BERKELEY.EDU
  8. Reply-To: COPPER@watson.ibm.com
  9. Lines: 23
  10.  
  11. Keith Campbell claims that repeated encryption under a single DES key
  12. comes back to the original plaintext in about 2^32 rounds.  This is
  13. not true; it usually takes about 2^64 rounds.
  14.  
  15. The confusion may have two sources: First, he is treating DES (with a
  16. fixed key) as a random function, when in fact it acts like a random
  17. permutation.  (Different plaintexts must yield different ciphertexts.)
  18. A random permutation will have cycle length on the order of 2^64.
  19. A random function will repeat values in time about 2^32, but will not
  20. return to the starting point in that time; so you cannot use the random
  21. function to discover the original starting point.
  22.  
  23. "Random functions" and "random permutations" should be in the required
  24. syllabus for any cryptographer.
  25.  
  26. An exception is when the so-called "weak keys" are used.  These are
  27. sixteen keys with special properties, discovered by Donald Davies.
  28. Using these weak keys we can produce short cycles (about 2^32).
  29. I proposed in 1985 to use the l.c.m. of these cycle lengths as a lower
  30. bound on the size of the group generated by DES, and my recent
  31. experiments showed that this group has size at least 10^277.
  32.  
  33. Don Coppersmith
  34.