这是为什么?
#1 楼
这就是说,如果密码系统的功能组成为$ h_ {k}(x)= f_ {k_1}(g_ {k_2}(x))$$
,那么您可以找到可以用作双重加密的单一加密密钥。
例如:考虑置换密码,其中置换是密钥。排列在组合下形成一个组,称为排列组。因此,置换密码中的双重加密仅是另一置换,即另一密钥。因此,您将不会受益。
要看到这一点,请将字母简化为5个字母,并让$ P $和$ Q $作为5个字母置换密码的两个键:
$$ P = \ begin {pmatrix} 1&2&3&4&5 \\ 2&4&1&3&5 \ end {pmatrix} \ text {and} Q = \ begin {pmatrix} 1&2&3&4& 5 \\ 5&4&3&2&1 \ end {pmatrix} $$两个键的组合为
$$ R = QP = \ begin {pmatrix} 1&2&3&4&5 \\ 4&2&5&3&1 \ end {pmatrix} $$,这是另一个置换$ R $,即$ R $是用作单个键的键。
现在回到DES :
Campbell和Wiener在1992年的研究表明DES不是一个(付费专区)(并且没有付费专区)的组织。他们表明,由DES置换集合生成的
子组的大小大于$ 10 ^ {2499} $。因此,此值远大于对DES的潜在攻击,后者可能会利用一个小的子组。结果,DES没有这种弱点。实际上,我们会惊讶地发现精心设计的分组密码将形成一个组。
如果存在这样的性质,即DES构成置换组的子组,则存在对DES的已知明文攻击,平均来说,需要Judy H. Moore和Simmons(paywalled)显示的$ 2 ^ {28} $步骤。
此外,组成一个小组将把Triple-DES或更一般地将多种加密减少为单一加密。
DES封闭的学术研究
1982年-D. Coppersmith,“捍卫DES”,个人交流•Don Coppersmith首次提出这一要求。并且他开发了一种方法,以显示由DES置换生成的子组的大小的下限应大于DES置换的数量,从而提供确凿的证据证明DES置换的集合未闭合。
1988年-Burton S. Kaliskir.Ronald L. RivestAlan T. Sherman,数据加密标准是一个小组吗? (在DES上进行循环实验的结果)(有偿付款)和无偿付款。
他们介绍了一种新颖的循环关闭测试,该证明提供了证明DES置换集未关闭的证据。但是,他们在实验中假设使用DES伪随机函数。因此,这些说法很难证明。
1989年-让·雅克·奎斯夸特(Jean-Jacques Quisquater),让·保罗·德莱斯卡耶(Jean-Paul Delescaille)。 DES(付费墙)的新结果和应用
1989年Jean-Jacques Quisquater和Jean-Paul Delescaille碰撞搜索有多容易?应用于DES(付费隔离墙)
1992-坎贝尔和维纳DES并非一个团体(付费隔离墙)(且无付费隔离墙)。在结论性工作中,他们使用了Quisquater和Delescaille的类似技术。
‡该工作声称被
简短地描述在Usenet News上的sci.crypt上,1992年5月18日。这需要一个链接!
评论
$ \ begingroup $
“组”密码的另一个简单示例是XOR密码,其中(M ^ K1)^ K2 = M ^(K1 ^ K2)。
$ \ endgroup $
– dan04
19-10-17在19:41
$ \ begingroup $
@ dan04是,周期长度为2。置换组是一个更好的示例,因为分组密码实际上是从可能的置换中随机选择置换。我们期望概率性对手无法将其与随机排列区分开。
$ \ endgroup $
– kelalaka
19-10-17在19:57
$ \ begingroup $
...然后有些人认为ROT-13太容易损坏并应用两次
$ \ endgroup $
–哈根·冯·埃森(Hagen von Eitzen)
19-10-18在7:31
评论
我假设问题确实是,“双重加密如何等效于单一加密”?因为if / then非常简单。@chepner的解释正确吗?因为可以编辑此问题,以更好地反映您对询问的兴趣。
好吧,如果它是等效的,则您在任何一种情况下都具有相同的二进制Blob。很明显,它没有比加密一次更好的了。没有?有趣的是,即使不相等,逻辑1 + 1 = 2也不成立(认为在中间相遇)。