home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / crypto / breaking.des < prev    next >
Encoding:
Text File  |  2003-06-11  |  10.8 KB  |  211 lines
  1. Newsgroups: sci.crypt
  2. From: kaplan@bpavms.bpa.arizona.edu (Steve... friends don't let friends do DOS.)
  3. Subject: Is DES breakable?
  4. Keywords: DES breakability
  5. Message-ID: <23MAR199319384593@bpavms.bpa.arizona.edu>
  6. Date: 24 Mar 93 02:38:00 GMT
  7. Organization: University of Arizona MIS Department
  8. Lines: 201
  9.  
  10. Greetings sci.crypters
  11.  
  12. This is a lengthy posting born of my idea that one good turn deserves
  13. another.  Carl Ellison (cme@ellisun.sw.stratus.com) was kind enough to send
  14. me the out dated, but still useful FAQ for this news group.  So, I figure
  15. that I should add to the positive karma of it by sharing some stuff.  Not
  16. new news - just restatement of what some have already said.  Hope that it
  17. is worthy of your time.  If not - send me mail and complain!  In other
  18. groups I get flamed for not being able to find my butt in the dark with
  19. both hands, so - sorry if I've violated and status quo of which I am not
  20. aware!
  21.  
  22. RayK 8)
  23.  
  24. ----
  25. (Previously submitted for publication in Wynn Schwartau's Security Insider
  26. newsletter: 1157 Grove St. N., Seminole, FL 34642, 813-393-6600 and the
  27. Computer Security Institute's ALERT newsletter: 600 Harrison St., San
  28. Franciscon, Ca. 94107, 415-905-2370)
  29.  
  30. Is DES breakable?  Of course.
  31. by Ray Kaplan
  32. Copyright Ray Kaplan 1993 - All rights attempting to be reserved - At
  33. least, please make the site correct if you use it!
  34.  
  35. Day two of the second annual RSA Data Security Data Security 
  36. Conference in Redwood City, CA (January 15, 1993) was packed 
  37. full of great sessions.  Right out of the can in the 
  38. cryptographer's track was Dr. Martin Hellman presenting a talk 
  39. entitled DES Revisited.  The Data Encryption Standard (DES) was 
  40. first approved in January 1977, so it is now 16 years old.  NIST 
  41. did approve extending it at least once since then, but Rthe DESS 
  42. (as crypto insiders seem to refer to it) is due for a look-see.  
  43.  
  44. Since Dr. Hellman has been involved with DES from its 
  45. beginning, I trust his critical academic appraisal - especially 
  46. since he and Whit Diffie were embattled with NBS over 
  47. questions of key size and the existence of trap doors when DES 
  48. was being introduced.  In the question of DES breakability, I 
  49. like his approach.  They designed an attack on DES that is based 
  50. on the most intensive cryptanalysis: exhaustive search.  The 
  51. beauty of this theoretical DES solution machine is that is can be 
  52. used for plain text, ciphertext and chosen text attacks on the 
  53. algorithm.  Solve the hardest problems first and the easy ones 
  54. follow quickly, I say.  
  55.  
  56. He presented their 1976 design for an exhaustive DES solution 
  57. engine and updated it to 1993.  Since the DES algorithm is 
  58. roughly equivalent to 6,000 gates, it is about the complexity of 
  59. a Z80 microprocessor to implement in silicon.  DES uses a 64 bit 
  60. key with 8 bits reserved for parity and that means that there 
  61. are 2**56 (10**17) possible DES keys for any given DES 
  62. encoding.  Building the exhaustive search machine in 1976 
  63. would have required 1,000,000 special DES search engine ICs 
  64. and would have cost $20 million.  Today, this would be10,000 
  65. special DES search engine ICs since IC's are about 100x denser 
  66. than in 1976.  Dr, Hellman points out that the $20M cost figure 
  67. has been criticized as optimistic and he indicates that his 
  68. estimate may have been a bit low.  $50M is a safer figure and 
  69. doesn't change his basic argument about how you go about 
  70. breaking the DES.
  71.  
  72. In 1976, their solution machine yielded one DES solution per 
  73. day at a cost of $10,000 each.  Updating this to 1993 costs and 
  74. computing speeds, the capital cost of such an exhaustive search 
  75. DES solution machine that would yield one DES solution per day 
  76. would be between $1 and $10 million dollars.  This nets a cost 
  77. per DES solution of only $100.  Dr. Hellman points out that the 
  78. $10M figure is a relatively safe one that includes the design 
  79. cost.  The $1M figure is optimistic if it includes design cost, but 
  80. is safe if it is the replication cost after design.  This, should one 
  81. want to build more than one machine - quite possible 
  82. depending on who one is and how many messages he would 
  83. like to read.  He also indicated the replication cost might go as 
  84. low as $100k per machine.  The $100 figure per solution was 
  85. an order of magnitude estimate.  It could be as high as $1,000 
  86. (using the $10M figure) or as low as $10 (using the $100k 
  87. figure).
  88.  
  89. Such a special DES search engine ICs would be about as complex 
  90. as a modern 386 microprocessor and cost about as much as a 
  91. Z80 to design.  The whole machine has 10,000 such search 
  92. chips.  The reason: the 1976 design (comparable to a Z80) is 
  93. replicated 128 times on the chip, but only needs to be designed 
  94. once.  Using 128 search engines per IC (plus spares) and a 
  95. common data bus (considering the very low I/O level), the DES 
  96. solution machine has only about 10,000 ICs.  
  97.  
  98. Past the fascinating technical details of his machine were his 
  99. summary comments about DES.  It has many honors: world's 
  100. most widely used, cheapest and public cryptosystem.  Despite 
  101. major incentives, it has not been publicly broken.  For those 
  102. who remember him as a combatant 15 years ago, it might be 
  103. helpful to mention that he indicated that he has recognized that 
  104. in the heat of previous battle, he tended to overlook arguments 
  105. that supported NSA/NBS and was trying now, with the benefit 
  106. of age and a relative peace, to summarize the pros and cons in 
  107. a more unbiased fashion.
  108.  
  109. His concerns: 1) the 56 bit key size allows exhaustive searches 
  110. by dedicated opponents at a capital cost of between $1 and $10 
  111. million, 2) Biham and Shamir's differential cryptanalysis can 
  112. break an 8 round DES implementation and 3) DES's design 
  113. principals are secret (despite the fact that the algorithm itself 
  114. is public) and may allow trap doors.  His conclusions: there is 
  115. probably no trap door in DES, but the 56 bit key size and 
  116. decades of experience in production cryptanalysis probably 
  117. give the NSA and its foreign counterparts a crude trap door.  
  118. According to Dr. Hellman, this needs a bit of explanation since 
  119. these two ideas two sound counter to one another.  He 
  120. indicated that, while he was very concerned about a possible 
  121. trap door in the 70's, direct denial of NSA pressure on S-box 
  122. design from relevant IBM personnel caused him to doubt their 
  123. presence for some time.  However, he says he could be wrong, 
  124. hence the "may allow" in his statement about possible trap 
  125. doors.  The key appears to be that it is all speculation since the 
  126. design principals of DES (not the algorithm itself) are carefully 
  127. guarded.
  128.  
  129. In summary: DES protected data is probably secure against all 
  130. commercial attacks today, but is almost surely vulnerable to 
  131. attack by a major power.  DES will continue to dominate the 
  132. market for a decade.  He recommends immediate triple 
  133. encryption (the use of a 48 round algorithm - Rstandard DESS 
  134. uses a 16 round algorithm.) to defeat differential cryptanalysis.  
  135. Continued federal support of DES is critical to vendors and 
  136. users.  
  137.  
  138. In the end, he admonished NIST/NSA to stop dragging their 
  139. feet on a public key exchange standard but suggests that 
  140. perhaps a de facto standard is better (in which case it doesn't 
  141. matter if NIST/NSA do anything since RSA and Diffie-Hellman 
  142. are filling this de facto role).  Adding some humor, he softened 
  143. the harsh "dragging their feet" in his talk by noting that NIST's 
  144. Dennis Branstad credited his ruckuses for two promotions and 
  145. indicated that Branstad had asked him to help him with a third.  
  146.  
  147. As is usually the case, the hallway conversations were best.  
  148. We speculated on cheap DES solution machine technology.  The 
  149. fact is that for about $5,000 you can buy a gate array 
  150. programmer and at a cost of about $250 per part, you could 
  151. build your own DES solution machine without the cost and 
  152. complexity of a custom silicon implementation.  Scary, huh?  
  153. Yes.  But, the higher higher cost per part translates into a 
  154. higher cost per solution so you'd have to check the speed, 
  155. density, etc. and see what the associated cost would be.
  156.  
  157. I asked Hellman how in the hell a layman could possibly keep 
  158. up with this crypto technology and come to trust it.  His answer 
  159. was revealing: read and study it - get politically involved and, 
  160. it will yield to your efforts.  He suggests that you contact your 
  161. congressional rep and let them know you are unhappy at DoD 
  162. (NSA) messing around with your personal privacy (e.g. medical 
  163. records are protected by DES) when Commerce is supposed to 
  164. be setting standards with regard to commercial and individual 
  165. needs, rather than NSA's needs.  He said that a reasonably 
  166. trained EE or CS type can understand the technical details and 
  167. you have a responsibility to help keep the technology on track 
  168. and to help answer some of the hard questions surrounding its 
  169. use.  Go find a trusted member of the community to talk with 
  170. about these important issues.
  171.  
  172. We also had a spirited discussion of Dr. Hellman's involvement 
  173. with the Russian Institute for Problems of Information 
  174. Transmission (IPPI after the Russian name Institut Problem 
  175. Peredachi Informatsii) in his efforts to help some old friends of 
  176. his and help the budding democratic movement in the former 
  177. Soviet Union.  I agree with him that we need to help them.  I 
  178. was comforted to find that this world-class crypotgrapher is 
  179. quite a humanitarian.  I agree that we do have a responsibility 
  180. to help - lest we see our technology (such as cryptography) 
  181. protect and nurture backward and barbaric customs.  Consider 
  182. that white supremacist groups such as the KKK and the Aryan 
  183. Nation are a similar threat to our humanity right here in our 
  184. own back yard.  Heady stuff.  The IPPI is interested in hard 
  185. currency (e.g.: dollar vs. ruble) contracts for work.  They are 
  186. reported to be quite a bit less expensive that other 
  187. alternatives.  If you are interested in hiring them, you can 
  188. contact Deputy Director Dr. Josef Ovseyevitch at IPPI via Email 
  189. at ovseev@ippi.msk.su.  They are interested in error 
  190. correcting/detecting codes, data compression, crypto, signal 
  191. processing, computer and communications networks, 
  192. computational linguistics and machine translation, and 
  193. experimental data processing.
  194.  
  195. My thanks to Dr. Hellman for help in writing up this account of 
  196. his talk and to Jim Bidzos from RSA for inviting Dr. Hellman to 
  197. speak at the RSA Data Security Conference.
  198.  
  199. Ray Kaplan is a principle in the Tucson, Arizona-based 
  200. independent consulting firm Kaplan, Kovara and Associates.  
  201. They specialize in systems and network management, and 
  202. security with an emphasis on Open VMS, UNIX, DECnet and 
  203. TCP/IP.  They are currently producing a series of audio 
  204. teleconferences on contemporary security-related topics.  For a 
  205. catalog of their offerings, contact them at P.O. Box 42650 - 
  206. Tucson, AZ  85733 - FAX (602) 791-3325 - (602) 885-2807.  
  207. They'll be conducting live audio teleconferences on encryption 
  208. and authentication which will include a live interviews and 
  209. Q/A sessions with Dr. Hellman and other experts on April 7 and 
  210. 8, 1992. 
  211.