2つのキーDESアルゴリズムが80ビットのセキュリティしか提供しない理由

Double-DESで何が起こるかを理解するには、 中間者攻撃 （「 中間者攻撃 "とはまったく関係ありません）」を検討してください。

セットアップ：ダブルDESがあり、データブロックはキーKで暗号化されます₁、そして再びK₂。攻撃者は2つの平文/暗号文ブロックにアクセスできる可能性があります。攻撃者は[〜＃〜] a [〜＃〜]、[〜＃〜]を知っています。 b [〜＃〜]、C = E_K2（E_K1（A））およびD = E_K2（E_K1（B））。

次に、攻撃者はすべてのEを計算できます_K（A）[〜＃〜] k [〜＃〜]のすべての値（2つあります⁵⁶ そのうちの）。次に、彼はすべてのDを計算することもできます_{K '}（C）K 'のすべての値（ここでも、2⁵⁶ 試すキー）。その時点で、彼は約2を持っているでしょう⁴⁸（Kの候補₁、K₂）ペア：これらはすべてのペア（K、K '）であり、E_K（A）= D_{K '}（C）。 「2⁴⁸"は64ビットブロックを暗号化しているという事実から来ているので、256ごとに約1つのブロック値がEの1つです_K（A）値なので、256ごとに約1つの値K 'が一致するDになります_{K '}（C）。

2⁴⁸ 次に、候補は平文[〜＃〜] b [〜＃〜]と暗号文[〜＃〜] d [〜＃〜 ];正しいものだけがそのテストに合格することが期待されます。

コスト：2⁵⁷ DESの呼び出し（さらに平均2⁴⁸ 候補の検証のためですが、それはごくわずかです）、および2を保持できるいくつかのメモリストレージ⁵⁶ 中間値、およびソート済み。値はソートされているため、それぞれが前の値と平均で8ビットだけ異なりますが、対応する[〜＃〜] k [〜＃〜]も格納する必要があります。したがって、実際の実装では値ごとに10バイトを使用するとします。それは10 * 2です⁵⁶ ストレージのバイト数。これはかなり大きいですが（約65万テラバイト）、既存のテクノロジーで想定できます（ただし、安くはありません）。ソートステップは、「アカデミック」な方法で最大のコストになります（約2⁶⁴ 比較）しかし2⁵⁷ DES呼び出しは、実際には、さらにコストがかかります。

ここに「80ビット」は表示されません。実際、Double-DESのセキュリティは「57ビット」に近いと見なす必要があります。ストレージ要件により、単純な「57ビットブロック暗号」よりも解読が困難になりますが、80ビットブロック暗号ほど難しくはありません。

（同様の方法が3DESでも機能します。つまり、3DESは、168ビットのキーにもかかわらず「約112ビット」のセキュリティを備えています。）