home *** CD-ROM | disk | FTP | other *** search
/ Collection of Internet / Collection of Internet.iso / faq / sci / cryptogr / part03 < prev    next >
Internet Message Format  |  1994-04-03  |  13KB
  1. Path: bloom-beacon.mit.edu!senator-bedfellow.mit.edu!faqserv
  2. From: crypt-comments@math.ncsu.edu
  3. Newsgroups: sci.crypt,talk.politics.crypto,sci.answers,news.answers,talk.answers
  4. Subject: Cryptography FAQ (03/10: Basic Cryptology)
  5. Supersedes: <cryptography-faq/part03_763480846@rtfm.mit.edu>
  6. Followup-To: poster
  7. Date: 3 Apr 1994 16:39:50 GMT
  8. Organization: The Crypt Cabal
  9. Lines: 251
  10. Approved: news-answers-request@MIT.Edu
  11. Expires: 8 May 1994 16:39:37 GMT
  12. Message-ID: <cryptography-faq/part03_765391177@rtfm.mit.edu>
  13. References: <cryptography-faq/part01_765391177@rtfm.mit.edu>
  14. Reply-To: crypt-comments@math.ncsu.edu
  15. NNTP-Posting-Host: bloom-picayune.mit.edu
  16. X-Last-Updated: 1993/10/10
  17. Originator: faqserv@bloom-picayune.MIT.EDU
  18. Xref: bloom-beacon.mit.edu sci.crypt:16018 talk.politics.crypto:4159 sci.answers:1044 news.answers:17247 talk.answers:189
  19.  
  20. Archive-name: cryptography-faq/part03
  21. Last-modified: 93/08/30
  22.  
  23.  
  24. This is the third of ten parts of the sci.crypt FAQ. The parts are
  25. mostly independent, but you should read the first part before the rest.
  26. We don't have the time to send out missing parts by mail, so don't ask.
  27. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  28.  
  29. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  30. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  31. FAQ is posted to the newsgroups sci.crypt, talk.politics.crypto, 
  32. sci.answers, and news.answers every 21 days.
  33.  
  34.  
  35. Contents:
  36.  
  37. 3.1. What is cryptology? Cryptography? Plaintext? Ciphertext? Encryption? Key?
  38. 3.2. What references can I start with to learn cryptology?
  39. 3.3. How does one go about cryptanalysis?
  40. 3.4. What is a brute-force search and what is its cryptographic relevance?
  41. 3.5. What are some properties satisfied by every strong cryptosystem?
  42. 3.6. If a cryptosystem is theoretically unbreakable, then is it
  43.   guaranteed analysis-proof in practice?
  44. 3.7. Why are many people still using cryptosystems that are
  45.   relatively easy to break?
  46. 3.8. What are the basic types of cryptanalytic `attacks'?
  47.  
  48.  
  49. 3.1. What is cryptology? Cryptography? Plaintext? Ciphertext? Encryption? Key?
  50.  
  51.   The story begins: When Julius Caesar sent messages to his trusted
  52.   acquaintances, he didn't trust the messengers. So he replaced every A
  53.   by a D, every B by a E, and so on through the alphabet. Only someone
  54.   who knew the ``shift by 3'' rule could decipher his messages.
  55.  
  56.   A cryptosystem or cipher system is a method of disguising messages so
  57.   that only certain people can see through the disguise. Cryptography is
  58.   the art of creating and using cryptosystems. Cryptanalysis is the art
  59.   of breaking cryptosystems---seeing through the disguise even when
  60.   you're not supposed to be able to. Cryptology is the study of both
  61.   cryptography and cryptanalysis.
  62.  
  63.   The original message is called a plaintext. The disguised message is
  64.   called a ciphertext. Encryption means any procedure to convert
  65.   plaintext into ciphertext. Decryption means any procedure to convert
  66.   ciphertext into plaintext.
  67.  
  68.   A cryptosystem is usually a whole collection of algorithms. The
  69.   algorithms are labelled; the labels are called keys. For instance,
  70.   Caesar probably used ``shift by n'' encryption for several different
  71.   values of n. It's natural to say that n is the key here.
  72.  
  73.   The people who are supposed to be able to see through the disguise are
  74.   called recipients. Other people are enemies, opponents, interlopers,
  75.   eavesdroppers, or third parties.
  76.  
  77. 3.2. What references can I start with to learn cryptology?
  78.  
  79.   For an introduction to technical matter, the survey articles given
  80.   in part 10 are the best place to begin as they are, in general,
  81.   concise, authored by competent people, and well written. However,
  82.   these articles are mostly concerned with cryptology as it has
  83.   developed in the last 50 years or so, and are more abstract and
  84.   mathematical than historical. The Codebreakers by Kahn [KAH67] is
  85.   encyclopedic in its history and technical detail of cryptology up
  86.   to the mid-60's.
  87.  
  88.   Introductory cryptanalysis can be learned from Gaines [GAI44] or
  89.   Sinkov [SIN66]. This is recommended especially for people who want
  90.   to devise their own encryption algorithms since it is a common
  91.   mistake to try to make a system before knowing how to break one.
  92.  
  93.   The selection of an algorithm for the DES drew the attention of
  94.   many public researchers to problems in cryptology. Consequently
  95.   several textbooks and books to serve as texts have appeared. The
  96.   book of Denning [DEN82] gives a good introduction to a broad range
  97.   of security including encryption algorithms, database security,
  98.   access control, and formal models of security. Similar comments
  99.   apply to the books of Price & Davies [PRI84] and Pfleeger [PFL89].
  100.  
  101.   The books of Konheim [KON81] and Meyer & Matyas [MEY82] are quite
  102.   technical books. Both Konheim and Meyer were directly involved in
  103.   the development of DES, and both books give a thorough analysis of
  104.   DES. Konheim's book is quite mathematical, with detailed analyses
  105.   of many classical cryptosystems. Meyer and Matyas concentrate on
  106.   modern cryptographic methods, especially pertaining to key management
  107.   and the integration of security facilities into computer systems and
  108.   networks. For more recent documentation on related areas, try
  109.   G. Simmons in [SIM91].
  110.  
  111.   The books of Rueppel [RUE86] and Koblitz [KOB89] concentrate on
  112.   the application of number theory and algebra to cryptography.
  113.  
  114. 3.3. How does one go about cryptanalysis?
  115.  
  116.   Classical cryptanalysis involves an interesting combination of
  117.   analytical reasoning, application of mathematical tools, pattern
  118.   finding, patience, determination, and luck. The best available
  119.   textbooks on the subject are the Military Cryptanalytics series
  120.   [FRIE1]. It is clear that proficiency in cryptanalysis is, for
  121.   the most part, gained through the attempted solution of given
  122.   systems. Such experience is considered so valuable that some of the
  123.   cryptanalyses performed during WWII by the Allies are still
  124.   classified.
  125.  
  126.   Modern public-key cryptanalysis may consist of factoring an integer,
  127.   or taking a discrete logarithm. These are not the traditional fare
  128.   of the cryptanalyst. Computational number theorists are some of the
  129.   most successful cryptanalysts against public key systems.
  130.  
  131. 3.4. What is a brute-force search and what is its cryptographic relevance?
  132.  
  133.   In a nutshell: If f(x) = y and you know y and can compute f, you can
  134.   find x by trying every possible x. That's brute-force search.
  135.  
  136.   Example: Say a cryptanalyst has found a plaintext and a corresponding
  137.   ciphertext, but doesn't know the key. He can simply try encrypting the
  138.   plaintext using each possible key, until the ciphertext matches---or
  139.   decrypting the ciphertext to match the plaintext, whichever is faster.
  140.   Every well-designed cryptosystem has such a large key space that this
  141.   brute-force search is impractical.
  142.     
  143.   Advances in technology sometimes change what is considered
  144.   practical. For example, DES, which has been in use for over 10 years
  145.   now, has 2^56, or about 10^17, possible keys. A computation with
  146.   this many operations was certainly unlikely for most users in the
  147.   mid-70's. The situation is very different today given the dramatic
  148.   decrease in cost per processor operation. Massively parallel
  149.   machines threaten the security of DES against brute force search.
  150.   Some scenarios are described by Garron and Outerbridge [GAR91].
  151.  
  152.   One phase of a more sophisticated cryptanalysis may involve a
  153.   brute-force search of some manageably small space of possibilities.
  154.  
  155. 3.5. What are some properties satisfied by every strong cryptosystem?
  156.  
  157.   The security of a strong system resides with the secrecy of the key
  158.   rather than with the supposed secrecy of the algorithm.
  159.  
  160.   A strong cryptosystem has a large keyspace, as mentioned above. It
  161.   has a reasonably large unicity distance; see question 8.8.
  162.  
  163.   A strong cryptosystem will certainly produce ciphertext which appears
  164.   random to all standard statistical tests (see, for example, [CAE90]).
  165.     
  166.   A strong cryptosystem will resist all known previous attacks. A
  167.   system which has never been subjected to scrutiny is suspect.
  168.  
  169.   If a system passes all the tests mentioned above, is it necessarily
  170.   strong? Certainly not. Many weak cryptosystems looked good at first.
  171.   However, sometimes it is possible to show that a cryptosystem is
  172.   strong by mathematical proof. ``If Joe can break this system, then
  173.   he can also solve the well-known difficult problem of factoring
  174.   integers.'' See part 6. Failing that, it's a crap shoot.
  175.  
  176. 3.6. If a cryptosystem is theoretically unbreakable, then is it
  177.   guaranteed analysis-proof in practice?
  178.  
  179.   Cryptanalytic methods include what is known as ``practical
  180.   cryptanalysis'': the enemy doesn't have to just stare at your
  181.   ciphertext until he figures out the plaintext. For instance, he might
  182.   assume ``cribs''---stretches of probable plaintext. If the crib is
  183.   correct then he might be able to deduce the key and then decipher the
  184.   rest of the message. Or he might exploit ``isologs''---the same
  185.   plaintext enciphered in several cryptosystems or several keys. Thus
  186.   he might obtain solutions even when cryptanalytic theory says he
  187.   doesn't have a chance.
  188.  
  189.   Sometimes, cryptosystems malfunction or are misused. The one-time pad,
  190.   for example, loses all security if it is used more than once! Even
  191.   chosen-plaintext attacks, where the enemy somehow feeds plaintext into
  192.   the encryptor until he can deduce the key, have been employed. See
  193.   [KAH67].
  194.   
  195. 3.7. Why are many people still using cryptosystems that are
  196.   relatively easy to break?
  197.  
  198.   Some don't know any better. Often amateurs think they can design
  199.   secure systems, and are not aware of what an expert cryptanalyst
  200.   could do. And sometimes there is insufficient motivation for anybody
  201.   to invest the work needed to crack a system.
  202.  
  203. 3.8. What are the basic types of cryptanalytic `attacks'?
  204.  
  205.   A standard cryptanalytic attack is to know some plaintext matching a
  206.   given piece of ciphertext and try to determine the key which maps one 
  207.   to the other.  This plaintext can be known because it is standard (a
  208.   standard greeting, a known header or trailer, ...) or because it is
  209.   guessed.  If text is guessed to be in a message, its position is probably
  210.   not known, but a message is usually short enough that the cryptanalyst
  211.   can assume the known plaintext is in each possible position and do
  212.   attacks for each case in parallel.  In this case, the known plaintext can
  213.   be something so common that it is almost guaranteed to be in a message.
  214.  
  215.   A strong encryption algorithm will be unbreakable not only under known
  216.   plaintext (assuming the enemy knows all the plaintext for a given
  217.   ciphertext) but also under "adaptive chosen plaintext" -- an attack
  218.   making life much easier for the cryptanalyst.  In this attack, the enemy
  219.   gets to choose what plaintext to use and gets to do this over and over,
  220.   choosing the plaintext for round N+1 only after analyzing the result of
  221.   round N.
  222.  
  223.   For example, as far as we know, DES is reasonably strong even under an
  224.   adaptive chosen plaintext attack (the attack Biham and Shamir used).  Of
  225.   course, we do not have access to the secrets of government cryptanalytic
  226.   services.  Still, it is the working assumption that DES is reasonably
  227.   strong under known plaintext and triple-DES is very strong under all
  228.   attacks.
  229.  
  230.   To summarize, the basic types of cryptanalytic attacks in order of
  231.   difficulty for the attacker, hardest first, are:
  232.  
  233.   cyphertext only: the attacker has only the encoded message from which 
  234.     to determine the plaintext, with no knowledge whatsoever of the
  235.     latter.
  236.  
  237.     A cyphertext only attack is usually presumed to be possible, and
  238.     a code's resistance to it is considered the basis of its 
  239.     cryptographic security.
  240.  
  241.   known plaintext: the attacker has the plaintext and corresponding 
  242.     cyphertext of an arbitrary message not of his choosing. The
  243.     particular message of the sender's is said to be `compromised'.
  244.  
  245.     In some systems, one known cyphertext-plaintext pair will 
  246.     compromise the overall system, both prior and subsequent
  247.     transmissions, and resistance to this is characteristic of a 
  248.     secure code.
  249.  
  250.   Under the following attacks, the attacker has the far less likely
  251.   or plausible ability to `trick' the sender into encrypting or 
  252.   decrypting arbitrary plaintexts or cyphertexts. Codes that resist 
  253.   these attacks are considered to have the utmost security.
  254.  
  255.   chosen plaintext: the attacker has the capability to find the 
  256.     cyphertext corresponding to an arbitrary plaintext message of his 
  257.     choosing.
  258.  
  259.   chosen cyphertext: the attacker can choose arbitrary cyphertext and
  260.     find the corresponding decrypted plaintext. This attack can show
  261.     in public key systems, where it may reveal the private key.
  262.  
  263.   adaptive chosen plaintext: the attacker can determine the cyphertext
  264.     of chosen plaintexts in an interactive or iterative process based on
  265.     previous results. This is the general name for a method of attacking 
  266.     product ciphers called `differential cryptanalysis'.
  267.  
  268.   The next part of the FAQ gives the mathematical detail behind the 
  269.   various types of cryptoanalytic attacks.
  270.  
  271.