Re: Double Encryption Illegal? (WARNING: GERMAN)
Date: Tue, 19 Sep 2000 14:28:19 +0200
Message-ID: <39C75BE3.3F48D377_at_DELETEgmx.de>
Mok-Kong Shen wrote:
>
> Runu Knips wrote:
> >
> > Mok-Kong Shen wrote:
> > > Tom St Denis wrote:
> > > > Mok-Kong Shen <mok-kong.shen_at_t-online.de> wrote:
> > > > > Tom St Denis wrote:
> > > > > > pausch_at_saafNOSPAM.se (Paul Schlyter) wrote:
> > > > > > > So you're claiming that triple-DES is no more secure than single-
> > > > > > DES ???
> > > > > >
> > > > > > Read my message. Geez. I said "double" encryption is not the way
to
> > > > > > go about added security.
> > > > >
> > > > > Could you be more explicit and explain why? Are you
> > > > > saying that superencipherment is always nonsense?
> > > > > Is 2-DES not better than DES?
> > > >
> > > > Given sufficient memory 2-des is not better then des.
> > >
> > > Please exlpain your claim or refer to literature.
> >
> > That is the reason why people use 3DES, and never 2DES.
> >
> > Well this has been explained, for example, in Bruce Schneiers
> > Applied Crypto. At least I think so ;-), I don't have it at
> > hand in the moment. There is an attack which requires masses
> > of memory, but then you can attack 2DES by attacking it from
> > both ends (meet-in-the-middle-attack).
>
> Do you really mean that a 2-DES (with two independent
> keys) is not an jota stronger than DES??
>> > Kryptologie" (Adventure Cryptology), by Reinhard Wobst,
> > It is also explained in my other crypto book, "Abendteuer
> > Addison Wesley, ISBN 3-8273-1413-5, page 192ff.
>
> It is strange that I found p.192 of this book (1997
> edition) deals with RC5 and not DES or 2-DES. I suppose
> you erred. Could you give the correct page number?
Hmm I have the 2nd edition, it is on page 192 there, in the chapter "5.2.1 Triple-DES".
WARNING: the following is GERMAN. Translating it would require too much time and maybe loose details.
"Es gibt eine Methode, doppelte Verschluesselung zu kryptanaylsieren. Dabei handelt es sich um eine Kombination von Brute Force und einem Angriff mit bekanntem Klartext. Der Kryptanalytiker stellt sich sozusagen in die Mitte zwischen beide Verschluesselungen. Auf der einen Seite chiffriert er den bekannten Klartext mit allen Schluesseln, auf der anderen dechiffriert er den Geheimtext, und in der Mitte sollen beide Ergebnisse uebereinstimmen."
[...]
"Im Prinzip reichen schon zwei Klartext-Geheimtext-Blockpaare fuer diesen Angriff aus. Der Gedanke ist sehr einfach:
Bekannt seien ein Klartextblock P und der zugehoerige Geheimtext C, entstanden aus der doppelten Verschluesselung:
C = DES(K, DES(K', (P)) Wir chiffriern nun P mit allen moeglichen Schluesseln K' und speichern die Ergebnisse. Anschliessend dechiffrieren wir C mit allen moeglichen Schluesseln K und schauen nach, ob das Dechiffrat unter den erzeugten Chiffraten vorkommt. Wenn ja, dann testen wir die beiden Schluessel K und K' an einem zweiten Paar. Bestehen K und K' diesen Test, dann sind es mit ziemlicher Wahrscheinlichkeit die richtigen Schluessel. Wir koennen nun weitere, aufwendigere Tests durchfuehren."
[...]
Of course, this attack requires masses of memory, which are not available today, but this theoretical weakness is enough that people prefer to use 3DES, instead of 2DES. Received on Tue Sep 19 2000 - 14:28:19 CEST