home *** CD-ROM | disk | FTP | other *** search
/ Collection of Internet / Collection of Internet.iso / faq / sci / cryptogr / part05 < prev    next >
Encoding:
Internet Message Format  |  1994-04-03  |  21.3 KB
  1. Path: bloom-beacon.mit.edu!senator-bedfellow.mit.edu!faqserv
  2. From: crypt-comments@math.ncsu.edu
  3. Newsgroups: sci.crypt,talk.politics.crypto,sci.answers,news.answers,talk.answers
  4. Subject: Cryptography FAQ (05/10: Product Ciphers)
  5. Supersedes: <cryptography-faq/part05_763480846@rtfm.mit.edu>
  6. Followup-To: poster
  7. Date: 3 Apr 1994 16:39:58 GMT
  8. Organization: The Crypt Cabal
  9. Lines: 455
  10. Approved: news-answers-request@MIT.Edu
  11. Expires: 8 May 1994 16:39:37 GMT
  12. Message-ID: <cryptography-faq/part05_765391177@rtfm.mit.edu>
  13. References: <cryptography-faq/part01_765391177@rtfm.mit.edu>
  14. Reply-To: crypt-comments@math.ncsu.edu
  15. NNTP-Posting-Host: bloom-picayune.mit.edu
  16. X-Last-Updated: 1993/10/10
  17. Originator: faqserv@bloom-picayune.MIT.EDU
  18. Xref: bloom-beacon.mit.edu sci.crypt:16020 talk.politics.crypto:4161 sci.answers:1046 news.answers:17249 talk.answers:191
  19.  
  20. Archive-name: cryptography-faq/part05
  21. Last-modified: 93/08/14
  22.  
  23.  
  24. This is the fifth of ten parts of the sci.crypt FAQ. The parts are
  25. mostly independent, but you should read the first part before the rest.
  26. We don't have the time to send out missing parts by mail, so don't ask.
  27. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  28.  
  29. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  30. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  31. FAQ is posted to the newsgroups sci.crypt, talk.politics.crypto, 
  32. sci.answers, and news.answers every 21 days.
  33.  
  34.  
  35.  
  36. Contents:
  37.  
  38. 5.1. What is a product cipher?
  39. 5.2. What makes a product cipher secure?
  40. 5.3. What are some group-theoretic properties of product ciphers?
  41. 5.4. What can be proven about the security of a product cipher?
  42. 5.5. How are block ciphers used to encrypt data longer than the block size?
  43. 5.6. Can symmetric block ciphers be used for message authentication?
  44. 5.7. What exactly is DES?
  45. 5.8. What is triple DES?
  46. 5.9. What is differential cryptanalysis?
  47. 5.10. How was NSA involved in the design of DES?
  48. 5.11. Is DES available in software?
  49. 5.12. Is DES available in hardware?
  50. 5.13. Can DES be used to protect classified information?
  51. 5.14. What are ECB, CBC, CFB, OFB, and PCBC encryption?
  52.  
  53.  
  54. 5.1. What is a product cipher?
  55.  
  56.   A product cipher is a block cipher that iterates several weak
  57.   operations such as substitution, transposition, modular
  58.   addition/multiplication, and linear transformation. (A ``block
  59.   cipher'' just means a cipher that encrypts a block of data---8 bytes,
  60.   say---all at once, then goes on to the next block.) The notion of
  61.   product ciphers is due to Shannon [SHA49]. Examples of modern
  62.   product ciphers include LUCIFER [SOR84], DES [NBS77], SP-networks
  63.   [KAM78], LOKI [BRO90], FEAL [SHI84], PES [LAI90], Khufu and Khafre
  64.   [ME91a]. The so-called Feistel ciphers are a class of product
  65.   ciphers which operate on one half of the ciphertext at each round,
  66.   and then swap the ciphertext halves after each round. LUCIFER,
  67.   DES, LOKI, and FEAL are examples of Feistel ciphers.
  68.  
  69.   The following table compares the main parameters of several product 
  70.   ciphers:
  71.  
  72.   cipher   |   block length   |   key bits   |   number of rounds
  73.   LUCIFER          128               128                16
  74.   DES               64                56                16
  75.   LOKI              64                64                16
  76.   FEAL              64               128            2^x, x >= 5
  77.   PES               64               128                 8
  78.  
  79. 5.2. What makes a product cipher secure?
  80.  
  81.   Nobody knows how to prove mathematically that a product cipher is
  82.   completely secure. So in practice one begins by demonstrating that the
  83.   cipher ``looks highly random''. For example, the cipher must be
  84.   nonlinear, and it must produce ciphertext which functionally depends
  85.   on every bit of the plaintext and the key. Meyer [MEY78] has shown
  86.   that at least 5 rounds of DES are required to guarantee such a
  87.   dependence. In this sense a product cipher should act as a ``mixing''
  88.   function which combines the plaintext, key, and ciphertext in a
  89.   complex nonlinear fashion.
  90.  
  91.   The fixed per-round substitutions of the product cipher are
  92.   referred to as S-boxes. For example, LUCIFER has 2 S-boxes, and DES
  93.   has 8 S-boxes. The nonlinearity of a product cipher reduces to a
  94.   careful design of these S-boxes. A list of partial design criteria
  95.   for the S-boxes of DES, which apply to S-boxes in general, may be
  96.   found in Brown [BRO89] and Brickell et al. [BRI86].
  97.  
  98. 5.3. What are some group-theoretic properties of product ciphers?
  99.  
  100.   Let E be a product cipher that maps N-bit blocks to N-bit blocks.
  101.   Let E_K(X) be the encryption of X under key K. Then, for any fixed K,
  102.   the map sending X to E_K(X) is a permutation of the set of N-bit
  103.   blocks. Denote this permutation by P_K. The set of all N-bit
  104.   permutations is called the symmetric group and is written S_{2^N}.
  105.   The collection of all these permutations P_K, where K ranges over all
  106.   possible keys, is denoted E(S_{2^N}). If E were a random mapping from
  107.   plaintexts to ciphertexts then we would expect E(S_{2^N}) to generate
  108.   a large subset of S_{2^N}.
  109.  
  110.   Coppersmith and Grossman [COP74] have shown that a very simple
  111.   product cipher can generate the alternating group A_{2^N} given a
  112.   sufficient number of rounds. (The alternating group is half of the
  113.   symmetric group: it consists of all ``even'' permutations, i.e., all
  114.   permutations which can be written as an even number of swaps.)
  115.   Even and Goldreich [EVE83] were able to extend these results to show
  116.   that Feistel ciphers can generate A_{2^N}, given a sufficient number
  117.   of rounds.
  118.  
  119.   The security of multiple encipherment also depends on the
  120.   group-theoretic properties of a cipher. Multiple encipherment is an
  121.   extension over single encipherment if for keys K1, K2 there does
  122.   not exist a third key K3 such that
  123.  
  124.   E_K2(E_K1(X)) == E_(K3)(X)                (**)
  125.  
  126.   which indicates that encrypting twice with two independent keys
  127.   K1, K2 is equal to a single encryption under the third key K3. If
  128.   for every K1, K2 there exists a K3 such that eq. (**) is true then
  129.   we say that E is a group.
  130.  
  131.   This question of whether DES is a group under this definition was
  132.   extensively studied by Sherman, Kaliski, and Rivest [SHE88]. In their
  133.   paper they give strong evidence for the hypothesis that DES is not a
  134.   group. In fact DES is not a group [CAM93].
  135.  
  136. 5.4. What can be proven about the security of a product cipher?
  137.  
  138.   Recall from above that P_K is a permutation produced by E under
  139.   some key K. The goal of the designer of E is to ensure that P_K
  140.   appears to be a random element of S_{2^N}, the symmetric group.
  141.   Let R be an element of S_{2^N} selected randomly. We will say that P_K
  142.   and R are indistinguishable if an observer given P_K and R in some
  143.   order cannot distinguish between these two permutations in polynomial
  144.   time. That is, with time bounded resources, the observer cannot
  145.   determine which of the permutations is produced by E: the optimal
  146.   decision is no better than simply guessing.
  147.  
  148.   Luby and Rackoff [LUB88] have shown that a class of Feistel ciphers
  149.   are secure in this sense when the round mapping is replaced by
  150.   random boolean functions.
  151.  
  152. 5.5. How are block ciphers used to encrypt data longer than the block size?
  153.  
  154.   There are four standard ``modes of operation'' (and numerous non-standard
  155.   ones as well). The standard modes of operation are defined in the U.S.
  156.   Department of Commerce Federal Information Processing Standard (FIPS) 81,
  157.   published in 1980. See the question about ECB below for more details.
  158.  
  159.   Although they are defined for the DES block cipher, the ``modes of
  160.   operation'' can be used with any block cipher.
  161.  
  162. 5.6. Can symmetric block ciphers be used for message authentication?
  163.  
  164.   You may use a symmetric cryptosystem block cipher to prove to yourself
  165.   that you generated a message, and that the message wasn't altered
  166.   after you created it. But you cannot prove these things to anyone else
  167.   without revealing your key. Thereafter you cannot prove anything about
  168.   messages authenticated with that key.
  169.   
  170.   See ANSI X3.106-1983 and FIPS 113 (1985) for a standard method of message
  171.   authentication using DES.
  172.  
  173. 5.7. What exactly is DES?
  174.  
  175.   DES is the U.S. Government's Data Encryption Standard, a product 
  176.   cipher that operates on 64-bit blocks of data, using a 56-bit key. 
  177.  
  178.   It is defined in FIPS 46-1 (1988) [which supersedes FIPS 46 (1977)].
  179.   FIPS are Federal Information Processing Standards published by NTIS.
  180.   DES is identical to the ANSI standard Data Encryption Algorithm (DEA)
  181.   defined in ANSI X3.92-1981. 
  182.  
  183. 5.8. What is triple DES?
  184.  
  185.   Triple DES is a product cipher which, like DES, operates on 64-bit 
  186.   data blocks. There are several forms, each of which uses the DES
  187.   cipher 3 times. Some forms use two 56-bit keys, some use three.
  188.   The DES ``modes of operation'' may also be used with triple-DES.
  189.  
  190.   Some people refer to E(K1,D(K2,E(K1,x))) as triple-DES.
  191.  
  192.   This method is defined in chapter 7.2 of the ANSI standard X9.17-1985
  193.   ``Financial Institution Key Management'' and is intended for use in
  194.   encrypting DES keys and IVs for ``Automated Key Distribution''. Its
  195.   formal name is ``Encryption and Decryption of a Single Key by a Key
  196.   Pair'', but it is referenced in other standards documents as EDE.
  197.  
  198.   That standard says (section 7.2.1): ``Key encrypting keys may be a single
  199.   DEA key or a DEA key pair. Key pairs shoud be used where additional
  200.   security is needed (e.g., the data protected by the key(s) has a long
  201.   security life). A key pair shall not be encrypted or decrypted using a
  202.   single key.''
  203.  
  204.   Others use the term ``triple-DES'' for E(K1,D(K2,E(K3,x))) or
  205.   E(K1,E(K2,E(K3,x))).
  206.  
  207.   Carl Ellison advocates triple DES use in the form
  208.  
  209.     E(K1, Tran( E(K2, Tran( E(K3, Compress( x )))))),
  210.  
  211.   where each DES instance has its own key and IV (for CBC mode) and Tran
  212.   is a large-block transposition program. Tran is available from [FTPTR].
  213.  
  214. 5.9. What is differential cryptanalysis?
  215.  
  216.   Differential cryptanalysis is a statistical attack that can be
  217.   applied to any iterated mapping (i.e., any mapping which is based on
  218.   a repeated round function). The method was recently popularized by
  219.   Biham and Shamir [BIH91], but Coppersmith has remarked that the
  220.   S-boxes of DES were optimized against this attack some 20 years ago.
  221.   This method has proved effective against several product ciphers,
  222.   notably FEAL [BI91a].
  223.  
  224.   Differential cryptanalysis is based on observing a large number of
  225.   ciphertexts Y, Y' whose corresponding plaintexts X, X' satisfy a
  226.   known difference D = X+X', where + is componentwise XOR. In the
  227.   basic Biham-Shamir attack, 2^{47} such plaintext pairs are required
  228.   to determine the key for DES. Substantially fewer pairs are required
  229.   if DES is truncated to 6 or 8 rounds. In these cases, the actual key
  230.   can be recovered in a matter of minutes using a few thousand pairs.
  231.   For full DES this attack is impractical because it requires so many
  232.   known plaintexts.
  233.  
  234.   The work of Biham and Shamir on DES revealed several startling
  235.   observations on the algorithm. Most importantly, if the key
  236.   schedule was removed from DES and a 16*48 = 768-bit key was used,
  237.   the key could be recovered in less than 2^{64} steps. Thus
  238.   independent subkeys do not add substantial security to DES.
  239.   Further, the S-boxes of DES are extremely sensitive in that
  240.   changing even single entries in these tables yields significant
  241.   improvement in the differential attack.
  242.  
  243.   Adi Shamir is quoted to say (NYTimes Oct 13 1991), ``I would say
  244.   that, contrary to what some people believe, there is no evidence
  245.   of tampering with the DES so that the basic design was weakened.''
  246.  
  247. 5.10. How was NSA involved in the design of DES?
  248.  
  249.   According to Kinnucan [KIN78], Tuchman, a member of the group that
  250.   developed DES at IBM is quoted as saying, ``We developed the DES
  251.   algorithm entirely within IBM using IBMers. The NSA did not
  252.   dictate a single wire!'' Tuchman and Meyer (another developer of
  253.   DES) spent a year breaking ciphers and finding weaknesses in
  254.   Lucifer. They then spent two years strengthening Lucifer. ``Their
  255.   basic approach was to look for strong substitution, permutation,
  256.   and key scheduling functions ... IBM has classified the notes
  257.   containing the selection criteria at the request of the NSA....
  258.   `The NSA told us we had inadvertently reinvented some of the deep
  259.   secrets it uses to make its own algorithms,' explains Tuchman.''
  260.   
  261.   On the other hand, a document called ``Involvement of the NSA in
  262.   the development of DES: unclassified summary of the United States
  263.   Select Committee on Intelligence'', printed in the IEEE
  264.   Communications Magazine, p53-55, 1978, states: ``In the development
  265.   of DES, NSA convinced IBM that a reduced keysize was sufficient;
  266.   indirectly assisted in the development of the S-box structures; and
  267.   certified that the final DES algorithm was, to the best of their
  268.   knowledge, free from any statistical or mathematical weakness.''
  269.  
  270.   Clearly the key size was reduced at the insistence of the NSA.
  271.   The article further states that the NSA did not tamper with the
  272.   algorithm itself, just the parameters, which in some sense
  273.   resolves the apparent conflict in the remarks of Meyer and Tuchman
  274.   presented above.
  275.  
  276. 5.11. Is DES available in software?
  277.  
  278.   Several people have made DES code available via ftp (see part 10 for
  279.   pathnames): Stig Ostholm [FTPSO]; BSD [FTPBK]; Eric Young [FTPEY];
  280.   Dennis Furguson [FTPDF]; Mark Riordan [FTPMR]; Phil Karn [FTPPK].
  281.   A Pascal listing of DES is also given in Patterson [PAT87]. Antti 
  282.   Louko <alo@kampi.hut.fi> has written a version of DES with BigNum
  283.   packages in [FTPAL].
  284.  
  285.   FIPS 46-1 says ``The algorithm specified in this standard is to be
  286.   implemented ... using hardware (not software) technology. ...
  287.   Software implementations in general purpose computers are not in
  288.   compliance with this standard.''  Despite this, software
  289.   implementations abound, and are used by government agencies.
  290.  
  291. 5.12. Is DES available in hardware?
  292.  
  293.   The following paragraphs are quoted from messages sent to the editors.
  294.   We don't vouch for the quality or even existence of the products.
  295.  
  296.   Chip Rosenthal says: ``Dallas Semiconductor makes a DES
  297.   encryption/decryption device for use on standard, digital 64Kbps PCM
  298.   telecom data streams. It is capable of processing data in real time,
  299.   e.g. one sample/frame. It is the DS2160. Their phone number is
  300.   214-450-0400. You would probably need to talk with Dewight in Telecom
  301.   marketing.''
  302.  
  303.   Christian Franke, franke@informatik.rwth-aachen.de, says: ``1.
  304.   Cryptech CRY12C102: 22.5Mbit/s according to Data Sheet, with 32 Bit
  305.   interface. We use this one, because it was the only one available when
  306.   we started the project. No problems !  2. Pijnenburg PCC100: 20Mbit/s
  307.   according to Data Sheet. Address: PIJNENBURG B.V., Boxtelswweg 26,
  308.   NL-5261 NE Vught, The Netherlands. 3. INFOSYS DES Chip (Germany):
  309.   S-Boxes must be loaded by software. So you can modify the Algorithm.
  310.   Sorry, I don't have the data sheet handy. Please E-Mail me if you need
  311.   further information.''
  312.  
  313.   Marcus J Ranum, mjr@tis.com, says: ``SuperCrypt'' 100Mb/sec and faster
  314.   DES and Proprietary Storage for 16 56-bit keys Key stream generator
  315.   Integrated hardware DES3 procedure Extended mode with 112 bit keys;
  316.   Computer Elektronik Infosys; 512-A Herndon Parkway,; Herndon, VA
  317.   22070; 800-322-3464.
  318.  
  319.   Tim Hember, thember@gandalf.ca, says: Newbridge Microsystems sells
  320.   an AM9568 compatible DES chip that operates at 25MHz, performs a
  321.   round of encryption in 18 clocks, has a three-stage pipeline,
  322.   supports ECB, CBC, CFB-8 and >>> CFB-1 <<<<. Further it is very
  323.   reasonable priced as opposed to other high-end DES chips. Call
  324.   Newbridge Microsystems, Ottawa, 613-592-0714. (... there are no
  325.   import/export issues with Canada and the US). If you require custom
  326.   DES or Public Key ICs then Timestep Engineering developed
  327.   Newbridge's crypto chips and ICs for other commercial and
  328.   educational establishments. They can be reached at 613-820-0024.
  329.  
  330. 5.13. Can DES be used to protect classified information?
  331.  
  332.   DES is not intended to protect classified data. FIPS 46-1 says:
  333.   ``This standard will be used by Federal departments and agencies for
  334.   the cryptographic protection of computer data when the following
  335.   conditions apply: 1. ... cryptographic protection is required; and
  336.   2. the data is not classified according to the National Security Act
  337.   of 1947, as amended, or the Atomic Energy Act of 1954, as amended.''
  338.  
  339. 5.14. What are ECB, CBC, CFB, OFB, and PCBC encryption?
  340.  
  341.   These are methods for using block ciphers, such as DES, to encrypt 
  342.   messages, files, and blocks of data, known as ``modes of operation.''
  343.   Four ``modes of operation'' are defined in FIPS 81 (1980 December 2), 
  344.   and also in ANSI X3.106-1983. 
  345.  
  346.   FIPS 81 specifies that when 7-bit ASCII data is sent in octets, the
  347.   unused most-significant bit is to be set to 1.
  348.  
  349.   FIPS 81 also specifies the padding for short blocks.
  350.  
  351.   The four FIPS/ANSI standard DES modes of operation are: 
  352.         Electronic Code Book  (ECB), 
  353.         Cipher Block Chaining (CBC), 
  354.         K-bit Cipher FeedBack (CFB), and 
  355.         K-bit Output FeedBack (OFB).
  356.  
  357.   All four of the ANSI/FIPS modes have very little "error extension".
  358.   For a single bit error in the cipherstream, none of them produce an
  359.   error burst in the decrypted output stream of longer than 128 bits.
  360.  
  361.   A fifth mode of operation, used in Kerberos and elsewhere but not
  362.   defined in any standard, is error-Propagating Cipher Block Chaining 
  363.   (PCBC).  Unlike the 4 standard modes, PCBC extends or propagates the
  364.   effect of a single bit error in the cipherstream throughout remainder 
  365.   of the decrypted textstream after the point of error.
  366.  
  367.   These 5 methods are explained below in a C-language-like notation.
  368.  
  369.   Some symbols:
  370.  
  371.   P[n]  The n'th block of plaintext, input to encryption, output from
  372.         decryption. Size of block determined by the mode.
  373.  
  374.   C[n]  The n'th block of ciphertext, output from encryption, input to
  375.         decryption. Size of block determined by the mode.
  376.  
  377.   E(m)  The DES encryption function, performed on 64-bit block m, using
  378.         the 16-key schedule derived from some 56-bit key.
  379.  
  380.   D(m)  The DES decryption function, performed on 64-bit block m, using
  381.         the same key schedule as in E(m), except that the 16 keys
  382.         in the schedule are used in the opposite order as in E(m).
  383.  
  384.   IV    A 64-bit ``initialization vector'', a secret value which, along with
  385.         the key, is shared by both encryptor and decryptor.
  386.  
  387.   I[n]  The n'th value of a 64-bit variable, used in some modes.
  388.   R[n]  The n'th value of a 64-bit variable, used in some modes.
  389.  
  390.   LSB(m,k) The k least significant (right-most) bits of m.
  391.         e.g. m & ((1 << k) - 1)
  392.  
  393.   MSB(m,k) The k most significant (left-most) bits of m.
  394.         e.g. (m >> (64-k)) & ((1 << k) - 1)
  395.  
  396.   = ^ << >> &  operators as defined in the c langage.
  397.  
  398.  
  399.   Electronic Code Book (ECB):
  400.  
  401.           P[n] and C[n] are each 64-bits long.
  402.  
  403.           Encryption:                   Decryption:
  404.           C[n] = E(P[n])                P[n] = D(C[n])
  405.  
  406.  
  407.   Cipher Block Chaining (CBC):
  408.  
  409.           P[n] and C[n] are each 64-bits long.
  410.  
  411.           Encryption:                   Decryption:
  412.           C[0] = E(P[0]^IV)             P[0] = D(C[0])^IV
  413.   (n>0)   C[n] = E(P[n]^C[n-1])         P[n] = D(C[n])^C[n-1]
  414.  
  415.  
  416.   Propagating Cipher Block Chaining (PCBC):
  417.  
  418.           P[n] and C[n] are each 64-bits long.
  419.  
  420.           Encryption:                   Decryption:
  421.           C[0] = E(P[0]^IV)             P[0] = D(C[0])^IV
  422.   (n>0)   C[n] = E(P[n]^P[n-1]^C[n-1])  P[n] = D(C[n])^P[n-1]^C[n-1]
  423.  
  424.  
  425.   k-bit Cipher FeedBack (CFB):
  426.  
  427.           P[n] and C[n] are each k bits long, 1 <= k <= 64. 
  428.  
  429.           Encryption:                   Decryption:
  430.           I[0] = IV                     I[0] = IV
  431.   (n>0)   I[n] = I[n-1]<<k | C[n-1]     I[n] = I[n-1]<<k | C[n-1]       
  432.   (all n) R[n] = MSB(E(I[n]),k)         R[n] = MSB(E(I[n]),k)
  433.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  434.  
  435.           Note that for k==64, this reduces to:
  436.  
  437.           I[0] = IV                     I[0] = IV
  438.   (n>0)   I[n] = C[n-1]                 I[n] = C[n-1]   
  439.   (all n) R[n] = E(I[n])                R[n] = E(I[n])
  440.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  441.  
  442.   CFB notes: Since I[n] depends only on the plain or cipher text from the
  443.   previous operation, the E() function can be performed in parallel with
  444.   the reception of the text with which it is used.
  445.  
  446.  
  447.   k-bit Output FeedBack (OFB):
  448.  
  449.           P[n] and C[n] are each k bits long, 1 <= k <= 64. 
  450.  
  451.           Encryption:                   Decryption:
  452.           I[0] = IV                     I[0] = IV
  453.   (n>0)   I[n] = I[n-1]<<k | R[n-1]     I[n] = I[n-1]<<k | R[n-1]       
  454.   (all n) R[n] = MSB(E(I[n]),k)         R[n] = MSB(E(I[n]),k)
  455.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  456.  
  457.           Note that for k==64, this reduces to:
  458.  
  459.           I[0] = IV                     I[0] = IV
  460.   (n>0)   I[n] = R[n-1]                 I[n] = R[n-1]   
  461.   (all n) R[n] = E(I[n])                R[n] = E(I[n])
  462.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  463.  
  464.   OFB notes: encryption and decryption are identical. Since I[n] is
  465.   independent of P and C, the E() function can be performed in advance of
  466.   the receipt of the plain/cipher text with which it is to be used.
  467.  
  468.  
  469.   Additional notes on DES ``modes of operation'':
  470.  
  471.   ECB and CBC use E() to encrypt and D() to decrypt, but the feedback
  472.   modes use E() to both encrypt and decrypt. This disproves the following 
  473.   erroneous claim: ``DES implementations which provide E() but not D()
  474.   cannot be used for data confidentiality.''
  475.