Standard di crittografia dei dati

Data Encryption Standard ( DES ) è un algoritmo di crittografia, ovvero un metodo per crittografare le informazioni, scelto come standard FIPS negli Stati Uniti nel 1976 , e il cui utilizzo si è diffuso ampiamente in tutto il mondo. L'algoritmo è stato inizialmente controverso, con alcuni elementi di progettazione classificati, una lunghezza della chiave relativamente breve e continui sospetti di una backdoor della National Security Agency (NSA) . DES è stato successivamente sottoposto a un'intensa analisi accademica e ha motivato il moderno concetto di cifrario a blocchi e suoicrittoanalisi .

Oggi, DES è considerato insicuro per molte applicazioni. Ciò è dovuto principalmente al fatto che la dimensione della chiave a 56 bit è breve; Le chiavi DES sono state rotte in meno di 24 ore. Ci sono anche risultati analitici che mostrano debolezze teoriche nella sua crittografia, sebbene non siano fattibili nella pratica. Si ritiene che l'algoritmo sia sicuro nella pratica nella sua variante Triple DES , sebbene ci siano attacchi teorici.

Da qualche anno l'algoritmo è stato sostituito dal nuovo AES (Advanced Encryption Standard).

A volte, DES è anche chiamato DEA ( Data Encryption Algorithm ).

La storia del DES

Le origini del DES risalgono ai primi anni '70 . Nel 1972 , dopo aver completato uno studio sulle esigenze del governo in termini di sicurezza informatica , l'autorità americana per gli standard NBS (National Bureau of Standards), ora ribattezzata NIST (National Institute of Standards and Technology), ha concluso sulla necessità di uno standard a livello governativo per crittografare le informazioni sensibili. Di conseguenza, il 15 maggio 1973 , dopo aver consultato la NSA, la NBS ha richiesto proposte per un algoritmo che soddisfacesse rigorosi criteri di progettazione. Nonostante tutto, nessuno di loro sembrava adatto. Una seconda richiesta è stata avanzata il 27 agosto 1974 . A quel tempo, IBM presentò un candidato considerato accettabile, un algoritmo sviluppato nel periodo 1973-1974 basato su un precedente, l' algoritmo Lucifer di Horst Feistel . Il team IBM dedicato alla progettazione e all'analisi dell'algoritmo includeva Feistel, Walter Tuchman, Don Coppersmith, Alan Conheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith e Bryant Tuckerman.

Il ruolo della NSA nella progettazione

Il 17 marzo 1975 la proposta DES è stata pubblicata nel Registro federale. È stato sollecitato un commento pubblico e l'anno successivo si sono tenuti due seminari gratuiti per discutere lo standard proposto. Ci sono state alcune critiche da alcuni ambienti, inclusi i pionieri della crittografia asimmetrica Martin Hellman e Whitfield Diffie , citando la breve lunghezza della chiave e le misteriose S-box come prova di un'interferenza impropria della NSA. Il sospetto era che l'algoritmo fosse stato segretamente indebolito dall'agenzia di intelligence in modo che loro, e nessun altro, potessero leggere facilmente i messaggi crittografati. Alan Konheim (uno dei designer del DES) una volta ha commentato " hanno inviato le S-box a Washington. Quando sono tornate erano completamente diverse ". Il Comitato di intelligence del Senato degli Stati Uniti ha esaminato le azioni della NSA per determinare se ci fosse stata una cattiva condotta. Nel riassunto declassificato dei suoi risultati, pubblicato nel 1978, il Comitato scrisse: " Nello sviluppo del DES, la NSA ha convinto IBM che una chiave di dimensioni ridotte era sufficiente; è stata indirettamente coinvolta nello sviluppo delle strutture del DES. S-box ; e ha certificato che, al meglio delle loro conoscenze, erano esenti da qualsiasi debolezza matematica o statistica. " Tuttavia, ha anche concluso che " l'NSA non ha esercitato pressioni sulla progettazione dell'algoritmo in alcun modo. IBM ha inventato e progettato l'algoritmo, ha preso tutte le decisioni al riguardo e ha convenuto che la dimensione della chiave era più che appropriata. " per tutte le applicazioni commerciali a cui era destinato DES ." Un altro membro del team DES, Walter Tuchman, ha anche affermato: " Abbiamo sviluppato l'intero algoritmo DES in IBM e con persone di IBM. L'NSA non ha dettato un solo passaggio! "

Alcuni dei sospetti sulle debolezze nascoste negli S-box sono stati dissipati nel 1990 , con la scoperta indipendente e la pubblicazione gratuita da parte di Eli Biham e Adi Shamir della crittoanalisi differenziale , un metodo generale per violare i cifrari a blocchi. Le S-box DES erano molto più resistenti agli attacchi che se fossero state scelte casualmente, suggerendo che IBM conosceva la tecnica negli anni '70. Questo era davvero il caso, nel 1994 Don Coppersmith ha pubblicato i criteri per il design originale per le S-box . IBM aveva scoperto la crittoanalisi differenziale negli anni '70 e, dopo aver protetto il DES, la NSA ordinò loro di mantenere segreta la tecnica. Coppersmith spiega: "Questo perché la crittoanalisi differenziale può essere uno strumento molto potente, contro molti schemi diversi, e si temeva che le informazioni di pubblico dominio potessero influenzare negativamente la sicurezza nazionale " . Shamir ha anche commentato " Direi, contrariamente a quanto alcuni credono, non ci sono prove di alcuna influenza del design sul DES per indebolirne la struttura di base " .

Le altre critiche, che la lunghezza della chiave fosse troppo breve, erano basate sul fatto che il motivo addotto dalla NSA per ridurre la lunghezza della chiave da 64 bit a 56 era che i restanti 8 bit potevano fungere da bit di sicurezza . alquanto sospettoso. È ampiamente accettato che la decisione della NSA sia stata motivata dalla possibilità che avrebbero potuto effettuare un attacco di forza bruta contro una chiave a 56 bit diversi anni prima del resto del mondo.

L'algoritmo come standard

Nonostante la controversia, DES è stato approvato come standard federale nel novembre 1976 e pubblicato il 15 gennaio 1977 come FIPS PUB 46 , concesso in licenza per l'uso di dati non classificati. Successivamente è stato confermato come standard nel 1983 , 1988 (rivisto come FIPS-46-1 ), 1993 ( FIPS-46-2 ), e ancora nel 1998 ( FIPS-46-3 ), quest'ultimo definendo " TripleDES " (vedi più giù). Il 26 maggio 2002 , DES è stato finalmente sostituito da AES (Advanced Encryption Standard), dopo concorso pubblico (vedi processo Advanced Encryption Standard ). Ad oggi (2006) , DES continua ad essere ampiamente utilizzato.

Un altro attacco teorico, la crittoanalisi lineare , è stato pubblicato nel 1994, ma è stato un attacco di forza bruta nel 1998 che ha dimostrato che il DES poteva essere attaccato in pratica ed è stata evidenziata la necessità di un algoritmo di backup. Questi e altri metodi di crittoanalisi sono discussi più dettagliatamente più avanti in questo articolo.

L'introduzione del DES è vista come un fattore scatenante per lo studio accademico della crittografia, in particolare dei metodi per rompere i cifrari a blocchi. Bruce Schneier scrive:

"Dall'interno, la NSA ha visto il DES come uno dei loro grandi errori. Se avessero saputo che i dettagli sarebbero stati pubblicati in modo che le persone potessero scrivere software, non avrebbero mai accettato. Il DES ha fatto di più per galvanizzare il campo della crittografia che mai. Ora c'era un algoritmo da studiare: uno che secondo la NSA era sicuro".

Mutevole

Cronologia

Data	Anno	Evento
15 maggio	1973	NBS pubblica una prima richiesta per un algoritmo di crittografia standard
27 agosto	1974	NBS pubblica una seconda petizione per algoritmi di crittografia
17 marzo	1975	DES è pubblicato nel registro federale per i commenti
agosto	1976	Primo workshop su DES
settembre	1976	Secondo workshop, sui fondamenti matematici del DES
novembre	1976	DES è approvato come standard
15 gennaio	1977	DES è pubblicato da FIPS come standard FIPS PUB 46.
	1983	DES è confermato per la prima volta
22 gennaio	1988	DES viene confermato per la seconda volta come FIPS 46-1, sostituendo FIPS PUB 46
	1992	Biham e Shamir pubblicano il primo attacco teorico con meno complessità della forza bruta: la crittanalisi differenziale . In ogni caso, richiede un numero irrealistico di ²⁴⁷ testi in chiaro scelti (Biham e Shamir, 1992).
30 dicembre	1993	DES viene confermato per la terza volta come FIPS 46-2
	1994	La prima crittanalisi sperimentale del DES viene effettuata utilizzando la crittanalisi lineare (Matsui, 1994).
Luglio	1998	Il cracker DES EFF (Electronic Frontier Foundation) noto come Deep Crack cracca una chiave DES in 56 ore.
Gennaio	1999	Insieme, Deep Crack e Distribution.net rompono una chiave DES in 22 ore e 15 minuti.
25 ottobre	1999	DES viene confermato per la quarta volta come FIPS 46-3, che specifica la preferenza per l'utilizzo di Triple DES , con DES singolo consentito solo su sistemi legacy.
26 novembre	2001	L' algoritmo AES (Advanced Encryption Standard) è pubblicato come FIPS 197
26 maggio	2002	Lo standard AES entra in vigore
26 luglio	2004	Si propone di ritirare il FIPS 46-3 (e un paio di standard correlati) dal registro federale ^{[ 1} ]

Algoritmi di sostituzione

Molti degli ex utenti di DES ora usano Triple DES (3DES) che è stato descritto e discusso in uno dei brevetti DES (vedi FIPS PUB 46-3); Consiste nell'applicazione di DES tre volte consecutive utilizzando due (2TDES, la prima chiave nei passaggi 1 e 3) o tre (3TDES). 3DES è stato ampiamente riconosciuto come sicuro ormai, sebbene sia piuttosto lento. Un'alternativa più economica in termini di calcolo è DES-X , che aumenta la dimensione della chiave eseguendo un XOR logico sugli elementi extra della chiave prima e dopo DES. GDES era una variante di DES proposta per accelerare il processo di crittografia, ma si è dimostrato suscettibile di crittoanalisi differenziale .

Nel 2001, dopo un concorso internazionale, il NIST ha scelto un nuovo algoritmo: AES (Advanced Encryption Standard), in sostituzione del DES. L'algoritmo scelto come sostituto è stato proposto dai suoi progettisti con il nome di Rijndael . Altri finalisti del concorso NIST AES includevano RC6 , Serpent , MARS e Twofish .

In generale, non esiste un algoritmo perfettamente adatto a tutti gli usi. Un algoritmo da utilizzare su macchine generiche (ad esempio, SSH o alcuni tipi di crittografia e-mail), non sempre funziona bene su sistemi embedded o smart card e viceversa.

Descrizione

Figura 1 — Struttura generale di Feistel in DES.

Per brevità, la descrizione seguente omette le esatte trasformazioni e permutazioni specificate dall'algoritmo.

DES è l'algoritmo prototipo per i cifrari a blocchi , un algoritmo che prende un testo in chiaro di una lunghezza fissa di bit e lo trasforma attraverso una serie di operazioni di base in un altro testo cifrato della stessa lunghezza. Nel caso di DES la dimensione del blocco è di 64 bit. DES utilizza anche una chiave crittografica per modificare la trasformazione, quindi la decrittazione può essere eseguita solo da coloro che conoscono la chiave specifica utilizzata per la crittografia. La chiave misura 64 bit, anche se in realtà solo 56 di essi vengono utilizzati dall'algoritmo. Gli otto bit rimanenti vengono utilizzati solo per il controllo di parità e vengono quindi eliminati. Pertanto, la lunghezza effettiva della chiave in DES è di 56 bit, ed è così che viene solitamente specificata.

Come altri codici a blocchi, DES deve essere utilizzato nella modalità operativa di crittografia a blocchi se viene applicato a un messaggio di dimensioni superiori a 64 bit. FIPS-81 specifica diverse modalità per l'utilizzo con DES, inclusa una per l'autenticazione [1] . Ulteriori documenti sull'uso di DES possono essere trovati in FIPS-74 [2] .

Struttura di base

La struttura di base dell'algoritmo è rappresentata in Figura 1: ci sono 16 fasi di processo identiche, dette round . C'è anche una permutazione di inizio e fine chiamata PI e PF , che sono funzioni inverse l'una dell'altra (PI "annulla" l'azione di PF e viceversa). PI e PF non sono crittograficamente significativi, ma presumibilmente sono stati inclusi per semplificare il caricamento e il download di blocchi sull'hardware della metà degli anni 1970. Prima dei round, il blocco viene diviso in due metà a 32 bit ed elaborato alternativamente. Questo crossover è noto come schema Feistel .

La struttura di Feistel garantisce che la crittografia e la decrittografia siano processi molto simili: l'unica differenza è che le sottochiavi vengono applicate in ordine inverso durante la decrittografia. Il resto dell'algoritmo è identico. Ciò semplifica notevolmente l'implementazione, soprattutto sull'hardware, poiché non sono necessari algoritmi separati per la crittografia e la decrittografia.

Il simbolo rosso "⊕" rappresenta l' operazione OR esclusivo (XOR). La funzione F mescola metà del blocco con parte della chiave. L'uscita della funzione F viene quindi combinata con l'altra metà del blocco e i blocchi vengono scambiati prima del round successivo. Dopo l'ultimo round, le metà non vengono scambiate; questa è una caratteristica della struttura Feistel che rende i processi di crittografia e decrittazione simili.

La funzione di Feistel (F)

La funzione F, rappresentata in Figura 2, opera su mezzo blocco (32 bit) alla volta e si compone di quattro fasi:

Figura 2 —La funzione Feistel (funzione F) di DES.

Espansione : metà del blocco a 32 bit viene espansa a 48 bit utilizzando la permutazione di espansione , denominata E nel diagramma, raddoppiando alcuni bit.
Unisci : il risultato viene combinato con una sottochiave utilizzando un'operazione XOR. Sedici sottochiavi, una per ogni round, sono derivate dalla chiave iniziale utilizzando la generazione di sottochiavi descritta di seguito.
Sostituzione : dopo aver mescolato con la sottochiave, il blocco viene diviso in otto blocchi da 6 bit prima di essere elaborato dalle S-box o dalle caselle di sostituzione . Ciascuna delle otto S-box sostituisce i suoi sei bit di ingresso con quattro bit di uscita, secondo una trasformazione non lineare specificata da una tabella di ricerca. Le S-box sono il fulcro della sicurezza DES: senza di esse, la crittografia sarebbe lineare e facile da violare.
Permutazione — infine, le 32 uscite delle S-box vengono riordinate secondo una permutazione fissa ; la scatola P

L'alternanza della sostituzione S-box, lo scambio di bit P-box e l'espansione E forniscono rispettivamente la cosiddetta " confusione e diffusione ", un concetto identificato da Claude Shannon negli anni '40 come una condizione necessaria per un cifrario sicuro e pratico.

Generazione chiave

Figura 3 — La generazione della chiave DES.

La figura 3 rappresenta la generazione delle chiavi per la crittografia, l'algoritmo responsabile della fornitura delle sottochiavi. Innanzitutto, vengono selezionati 56 bit della chiave dai 64 iniziali utilizzando l' Elezione Permutata 1 ( PC-1 ): i restanti otto bit possono essere scartati o utilizzati come bit di controllo di parità . I 56 bit vengono quindi divisi in due metà da 28 bit; quindi ogni metà viene trattata in modo indipendente. Nei round successivi, entrambe le metà vengono spostate a sinistra di uno o due bit (a seconda di ciascun round), quindi vengono selezionati 48 bit di sottochiave mediante Permuted Choice 2 ( PC-2 ): 24 bit dalla metà sinistra e 24 dalla metà sinistra .il diritto. Gli offset (indicati da "<<<" nel diagramma) implicano che in ciascuna sottochiave viene utilizzato un diverso insieme di bit; ogni bit viene utilizzato in circa 14 delle 16 sottochiavi.

La generazione di chiavi per la decrittazione è simile: devi generare le chiavi in ordine inverso.

Sicurezza e crittoanalisi

Sebbene siano state pubblicate più informazioni sulla crittoanalisi di DES rispetto a qualsiasi altro cifrario a blocchi, l'attacco più pratico oggi è ancora la forza bruta. Sono note diverse proprietà crittoanalitiche minori e sono possibili tre tipi di attacchi teorici che, pur richiedendo una complessità teorica inferiore rispetto a un attacco di forza bruta, richiedono una quantità irrealistica di testo in chiaro noto o scelto per essere eseguiti e non vengono presi in considerazione. la pratica.

Il cracker DES della Electronic Frontier Foundation conteneva 1.536 chip e potrebbe forzare una chiave DES in pochi giorni: la foto mostra un circuito con diversi chip Deep Crack.

Attacco di forza bruta

Per qualsiasi tipo di crittografia, il metodo di attacco più semplice è un attacco di forza bruta, provando ogni possibile chiave una alla volta. La lunghezza della chiave determina il numero possibile di chiavi, e quindi la fattibilità dell'attacco. Nel caso del DES, le domande sulla sua lunghezza della chiave sono state sollevate all'inizio, anche prima che fosse adottato come standard, era la sua piccola dimensione della chiave, piuttosto che la crittanalisi teorica, a suggerire la necessità di sostituirla. È noto che la NSA ha incoraggiato, o addirittura persuaso, IBM a ridurre la dimensione della chiave da 128 bit a 64 e da lì a 56 bit; questo è stato spesso interpretato come una prova che la NSA possedeva una potenza di calcolo sufficiente per violare chiavi di queste dimensioni anche a metà degli anni '70.

A livello accademico, sono state avanzate diverse proposte per una macchina di rottura DES. Nel 1977 , Diffie e Hellman proposero una macchina del costo stimato di 20 milioni di dollari in grado di trovare una chiave DES in un solo giorno. Intorno al 1993 , Wiener propose una macchina per la ricerca di chiavi da un milione di dollari che avrebbe trovato una chiave in 7 ore. La vulnerabilità di DES è stata dimostrata nella pratica nel 1998 quando la Electronic Frontier Foundation (EFF), un gruppo per i diritti civili del cyberspazio, ha costruito un cracker DES personalizzato al costo di circa $ 250.000 (vedi EFF DEScracker ). La sua motivazione era mostrare che il DES poteva essere rotto sia in teoria che in pratica: " Ci sono molte persone che non crederanno a una verità finché non potranno vederla con i propri occhi. Mostrando loro una macchina fisica che può rompere il DES in pochi giorni è l'unico modo per convincere alcune persone che non possono davvero fidarsi di DES per la loro sicurezza. ” La macchina ha forzato una chiave in una ricerca durata poco più di 2 giorni; Più o meno nello stesso periodo, un avvocato del Dipartimento di Giustizia degli Stati Uniti stava proclamando che il DES era indistruttibile.

Attacca più velocemente della forza bruta

Esistono tre attacchi noti che possono interrompere tutti i sedici round di DES con una complessità inferiore rispetto a un attacco di forza bruta: crittoanalisi differenziale (CD), crittoanalisi lineare (LC) e l' attacco di Davies . In ogni caso, questi attacchi sono solo teorici e non è possibile metterli in pratica; questi tipi di attacchi sono talvolta chiamati punti deboli della certificazione.

La crittoanalisi differenziale è stata scoperta alla fine degli anni '80 da Eli Biham e Adi Shamir , sebbene in precedenza fosse nota sia all'NSA che all'IBM e fosse tenuta segreta. Per interrompere tutti i 16 round, la crittoanalisi differenziale richiede 2 ^{47 testi in} chiaro scelti . DES è stato progettato per essere resistente ai CD.
La crittanalisi lineare è stata scoperta da Mitsuru Matsui e richiede ^{243 testi in} chiaro noti (Matsui, 1993); il metodo è stato implementato (Matsui, 1994), ed è stata la prima crittoanalisi sperimentale di DES ad essere riportata. Non ci sono prove che il DES sia stato adattato per resistere a questo tipo di attacco. Una generalizzazione di CL - crittoanalisi lineare multipla - è stata proposta nel 1994 (Kaliski e Robshaw) e migliorata da Biryukov ed altri (2004); la loro analisi suggerisce che più approssimazioni lineari potrebbero essere utilizzate per ridurre i requisiti di dati dell'attacco di almeno un fattore 4 (cioè, 2 ⁴¹ invece di 2 ⁴³ ). Una simile riduzione della complessità dei dati può essere ottenuta con una variante della crittoanalisi lineare di testi in chiaro selezionati (Knudsen e Mathiassen, 2000). Junod (2001) ha eseguito diversi esperimenti per determinare l'effettiva complessità della crittoanalisi lineare e ha scoperto che era in qualche modo più veloce del previsto, richiedendo un tempo equivalente a ^239–241 controlli in ^DES .
L' attacco di Davies avanzato - Mentre l'analisi lineare e differenziale sono tecniche generali e possono essere applicate a una moltitudine di schemi diversi, l'attacco di Davies è una tecnica specializzata per DES. Proposto per la prima volta da Davies negli anni '80 e migliorato da Biham e Biryukov (1997). La forma più potente dell'attacco richiede ^{250 testi in} chiaro noti , ha una complessità computazionale di ²⁵⁰ e ha una probabilità di successo del 51%.

Esistono anche attacchi progettati per versioni dell'algoritmo con meno round, ovvero versioni di DES con meno di sedici round. Tali analisi offrono informazioni dettagliate su quanti round sono necessari per ottenere la sicurezza e quanto "margine di sicurezza" fornisce la versione completa. La crittoanalisi lineare -differenziale è stata proposta da Langford e Hellman nel 1994 e combina la crittoanalisi lineare e differenziale in un unico attacco. Una versione migliorata dell'attacco può rompere un DES di 9 round con 2 ^15,8 testi in chiaro noti e ha una complessità temporale di 2 ^29,2 (Biham et al., 2002).

Proprietà crittoanalitiche

DES espone la proprietà complementare , poiché

E_K(P)=C \Freccia sinistradestra E_{\overline{K}}(\overline{P})=\overline{C}

dove è il complemento in bit di . è la crittografia con la chiave e sono rispettivamente il testo in chiaro e il testo cifrato. La proprietà complementare implica che il fattore di lavoro per un attacco di forza bruta potrebbe essere ridotto di un fattore 2 (o un singolo bit) assumendo un attacco di testo in chiaro scelto. $\overline{x}$ $X$ $E_K$ $K.$ $P$ $C$

DES ha anche quattro chiavi deboli . La crittografia ( E ) e la decrittazione ( D ) con una chiave debole hanno lo stesso effetto (vedi involuzione ):

E_K(E_K(P)) = P

o qual è lo stesso, . Ci sono anche sei coppie di chiavi semideboli . La crittografia con una delle chiavi di una coppia di chiavi semidebole, , funziona allo stesso modo della decrittografia con l'altra, :

E_K = D_K

K_1

K_2

E_{K_1}(E_{K_2}(P)) = P

O cos'è lo stesso,

E_{K_2} = D_{K_1}

È abbastanza facile evitare chiavi deboli e semideboli nell'implementazione, sia testandole esplicitamente, sia semplicemente scegliendole casualmente; le possibilità di prendere una chiave debole o semidebole sono trascurabili.

È stato anche dimostrato che DES non ha una struttura di gruppo , o più specificamente, il set (per tutte le chiavi possibili ) non è un gruppo, nemmeno "vicino" ad essere un gruppo (Campbell e Wiener, 1992). Questa è stata una domanda aperta per un po' di tempo e, se fosse stato così, sarebbe stato possibile violare DES e modalità di crittografia multiple come Triple DES non avrebbero aumentato la sicurezza. $\{E_K\}$ $K$

Riferimenti

^ (in inglese) Registro federale. Vol. 69, n. 142 (26 luglio 2004)

Eli Biham, Adi Shamir, Crittoanalisi differenziale dello standard di crittografia dei dati, Springer Verlag, 1993. ISBN 0-387-97930-1 , ISBN 3-540-97930-1 .
Eli Biham, Alex Biryukov: un miglioramento dell'attacco di Davies al DES. J. Cryptologs 10(3): 195-206 (1997)
Eli Biham, Orr Dunkelman, Nathan Keller: miglioramento della cripdanalisi differenziale-lineare. CRIPTA ASIA 2002: pp254–266
A.Biryukov, C.De Canniedsdrfegfegtggbfgfe, Msa.Quisquater, "Onsadasdasdasd Multisdple Linear Approssimations", CRYPTO 2004 (a comparire); prestampa (daPDF) .
Keith W. Campbell, Michael J. Wiener: DES non è un gruppo. CRYPTO 1992: pp512–520
Don ramaio. (1994). Lo standard di crittografia dei dati (DES) e la sua forza contro gli attacchi. IBM Journal of Research and Development , 38 (3), 243–250. [3]
Witfield Diffie, Martin Hellman, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard" IEEE Computer 10(6), giugno 1977, pp74-84
John Gilmore , "Cracking DES: Secrets of Encryption Research, Wiretap Politics and Chip Design", 1998, O'Reilly, ISBN 1-56592-520-3 .
Pascal Junod, "Sulla complessità dell'attacco di Matsui. Aree selezionate nella crittografia", 2001, pp199-211.
Burton S. Kaliski Jr., Matthew JB Robshaw: crittoanalisi lineare utilizzando approssimazioni multiple. CRYPTO 1994: pp26–39
Lars R. Knudsen, John Erik Mathiassen: un attacco lineare scelto in chiaro su DES. FSE 2000: pp262–272
Susan K. Langford, Martin E. Hellman: crittoanalisi differenziale-lineare. CRYPTO 1994: 17–25
Steven Levy , Crypto: come i ribelli del codice battono il governo salvando i Privasdasdsadascy nell'era digitale ( ISBN 0-14-024432-8 )
Mitsuru Matsui: metodo di crittoanalisi lineare per DES Cipher. EUROCRYPT 1993: pp386-397
Mitsuru Matsui: la prima crittoanalisi sperimentale dello standard di crittografia dei dati. CRYPTO 1994: pp1-11
National Bureau of Standards, Data Encryption Standard, FIPS-Pub.46. National Bureau of Standards, Dipartimento del Commercio degli Stati Uniti, Washington DC, gennaio 1977.

Vedi anche

Collegamenti esterni

FIPS 46-3: Il documento ufficiale che descrive lo standard DES (PDF); Una versione precedente in HTML.
Il progetto cracker EFF DES
Puntatori di crittografia per DES
Programma DES in Java (inglese) ( collegamento interrotto disponibile su Internet Archive ; vedi cronologia , prima e ultima versione ).
La descrizione di John Savard di DES
Un esempio funzionante dell'algoritmo DES
Un calcolatore Javascript DES che mostra valori intermedi
Implementazione Java di DES ( collegamento interrotto disponibile su Internet Archive ; vedere cronologia , prima e ultima versione ).

[1] (in inglese) Registro federale. Vol. 69, n. 142 (26 luglio 2004)

[ 1