home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 5028 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  3.2 KB
  1. Path: sparky!uunet!cis.ohio-state.edu!rutgers!igor.rutgers.edu!zodiac.rutgers.edu!leichter
  2. From: leichter@zodiac.rutgers.edu
  3. Newsgroups: sci.crypt
  4. Subject: Re: Triple DES
  5. Message-ID: <1992Nov19.150611.1@zodiac.rutgers.edu>
  6. Date: 19 Nov 92 20:06:11 GMT
  7. References: <921116133628.385022@DOCKMASTER.NCSC.MIL> <1eg516INNrrq@uniwa.uwa.edu.au> <1992Nov19.150019.19072@news.nd.edu>
  8. Sender: news@igor.rutgers.edu
  9. Organization: Rutgers University Department of Computer Science
  10. Lines: 53
  11. Nntp-Posting-Host: cancer.rutgers.edu
  12.  
  13. In article <1992Nov19.150019.19072@news.nd.edu>, scharle@lukasiewicz.cc.nd.edu
  14. (scharle) writes:
  15. | || The recently demonstrated fact that DES is *not* a group indicates that
  16. | || a double encryption *is* stronger than single encryption.
  18. |     Excuse me, for I am really an amateur in this subject, but I
  19. | don't see the chain of reasoning here.  If I am just being particularly
  20. | dense, please keeps the flames low, and I'll shut up.
  22. |     What has been shown is that iteration of DES with different keys 
  23. | results, in general, in encryption which is different from DES.  I 
  24. | believe that that is different from showing that iteration results
  25. | in something _stronger_.  As far as I can see, it is consistent
  26. | with someone discovering that two applications of DES could result
  27. | in a encryption which is in fact easier to break -- for example,
  28. | there could be some interaction between keys, that would result in
  29. | an easy cipher to break, so that there would have to be some care
  30. | in choosing keys.  It is also consistent with it being discovered
  31. | that iterations of DES are _equally_ difficult to break as single 
  32. | uses, perhaps just a different method has to be used.
  33.  
  34. This situation provides an excellent way to demonstrate a fundamental
  35. approach for reasoning about cryptosystems.
  36.  
  37. Can double DES encryption be weaker than single DES encryption?  The
  38. answer is, in general, no - and I can prove this knowing nothing at all
  39. about DES.
  40.  
  41. Suppose it were true that double encryption was weaker, and suppose I'm
  42. a cryptanalyst with access to E(C,k), where E is DES encryption, C is
  43. cleartext, and k is the unknown key.  Rather than attack the "hard"
  44. problem of single DES encryption, I'd simply choose my own k' and do my
  45. own double encryption:  I'd attack the "easier" encryption E(E(C,k),k').
  46. It cannot possibly hurt me that I *know* k'!
  47.  
  48. Conclusion:  While it may be that for SOME values of k', some kind of
  49. cancellation takes place, if they are at all common, then SINGLE DES
  50. encryption is *already* weak, since looking for such a k' would amount
  51. to an easy attack against it.
  52.  
  53. General principle:  Anything the cryptanalyst can already do for himself
  54. cannot weaken the cryptosystem significantly - since if it did, he WOULD
  55. do it for himself.
  56.  
  57. Note that this approach cannot prove that double encryption is HARDER to
  58. break than single encryption - it can only show that it cannot be EASIER.
  59. Whether DES forms a group or not, it is possible that double encryption is
  60. stronger, and it's possible that double encryption is equally strong.
  61. Without further work, we just don't know.  (Actually, "meet in the middle"
  62. attacks show that double encryption, done this way, cannot be MUCH stronger
  63. than single encryption - though it may be SOMEWHAT stronger.)
  64.  
  65.                             -- Jerry
  66.