DESの起源 きげん は1970年代 ねんだい 初 はじ めに遡 さかのぼ る。1972年 ねん 、アメリカ政府 せいふ はコンピュータセキュリティ が重要 じゅうよう であるという研究 けんきゅう 結果 けっか を得 え た。そこでNBS(National Bureau of Standard。合衆国 がっしゅうこく 標準 ひょうじゅん 局 きょく 。現在 げんざい のNIST(アメリカ国立 こくりつ 標準 ひょうじゅん 技術 ぎじゅつ 研究所 けんきゅうじょ ) )が、政府 せいふ 全体 ぜんたい で機密 きみつ 情報 じょうほう を暗号 あんごう 化 か するための標準 ひょうじゅん 規格 きかく が必要 ひつよう だと判断 はんだん した[1] 。それに応 おう じて1973年 ねん 5月 がつ 15日 にち 、NSA と相談 そうだん の上 うえ 、NBSが厳 きび しい設計 せっけい 基準 きじゅん を満 み たした暗号 あんごう を公募 こうぼ した。しかし応募 おうぼ のいずれも条件 じょうけん を満 み たしていなかったため、1974年 ねん 8月 がつ 27日 にち に2回 かい 目 め の公募 こうぼ を行 おこな った。今回 こんかい はIBM の応募 おうぼ した案 あん が条件 じょうけん を満 み たしていると思 おも われた。それは、以前 いぜん からあったアルゴリズムに基 もと づき1973年 ねん から1974年 ねん に開発 かいはつ されたホルスト・ファイステル のLucifer 暗号 あんごう だった。IBMでこの暗号 あんごう の設計 せっけい と解析 かいせき を行 おこな ったチームにはファイステルの他 ほか に、ウォルト・タックマン (Walt Tuchman)、ドン・コッパースミス (Don Coppersmith)、アラン・コンハイム (Alan Konheim)、カール・メイヤー (Carl Meyer)、マイク・マーチャーシュ (Mike Matyas)、ロイ・アドラー (Roy Adler)、エドナ・グロスマン (Edna Grossman)、ビル・ノッツ (Bill Notz)、リン・スミス (Lynn Smith)、ブライアント・タッカーマン (Bryant Tuckerman) らがいた。
Lucifer・DESはホルスト・ファイステルらの考 かんが えたFeistel構造 こうぞう と呼 よ ばれる構造 こうぞう をなしている。この事 こと は後 ご の共通 きょうつう 鍵 かぎ 暗号 あんごう 研究 けんきゅう に多大 ただい な影響 えいきょう を与 あた え、後 のち に提案 ていあん された多 おお くの共通 きょうつう 鍵 かぎ 暗号 あんごう 方式 ほうしき がFeistel構造 こうぞう に基 もと づいて設計 せっけい された。
1975年 ねん 3月 がつ 17日 にち 、規格 きかく 案 あん としてのDESが Federal Register に発表 はっぴょう された。そしてコメントが募集 ぼしゅう され、翌年 よくねん には2回 かい ワークショップを開催 かいさい してこの規格 きかく 案 あん について議論 ぎろん した。各所 かくしょ から様々 さまざま な批判 ひはん が寄 よ せられた。中 なか には公開 こうかい 鍵 かぎ 暗号 あんごう の先駆 せんく 者 しゃ であるマーティン・ヘルマン とホイットフィールド・ディフィー の批判 ひはん があり、鍵 かぎ 長 ちょう が短 みじか いという点 てん と謎 なぞ めいた「Sボックス 」がNSAによる不適切 ふてきせつ な干渉 かんしょう を意味 いみ しているのではないかと指摘 してき した。それは、このアルゴリズムを諜報 ちょうほう 機関 きかん が密 ひそ かに弱 よわ め、その諜報 ちょうほう 機関 きかん だけが暗号 あんごう 化 か されたメッセージを容易 ようい に解読 かいどく できるようにしたのではないかという疑 うたが いが持 も たれたのである[2] 。アラン・コンハイム(DES設計 せっけい 者 しゃ の1人 ひとり )はそれについて「我々 われわれ はSボックスをワシントンに送 おく った。戻 もど ってきたものは送 おく ったものとは全 まった く異 こと なっていた」と述 の べた[3] 。アメリカ合衆国 あめりかがっしゅうこく 上院 じょういん 諜報 ちょうほう 特別 とくべつ 委員 いいん 会 かい がNSAの行為 こうい に不適切 ふてきせつ な干渉 かんしょう があったかどうかを調査 ちょうさ した。調査 ちょうさ 結果 けっか の公開 こうかい された要約 ようやく には次 つぎ のように書 か かれている。
「DESの開発 かいはつ において、NSAはIBM に対 たい して鍵 かぎ 長 ちょう が短 みじか くても大丈夫 だいじょうぶ だと納得 なっとく させ、Sボックスの開発 かいはつ を間接 かんせつ 的 てき に支援 しえん し、最終 さいしゅう 的 てき なDESアルゴリズムが統計 とうけい 学的 がくてき にも数学 すうがく 的 てき にも考 かんが えられる最高 さいこう のものだと保証 ほしょう した」[4]
しかし、同時 どうじ に次 つぎ のようなことも判明 はんめい している。
「NSAはいかなる形 かたち でもアルゴリズムの設計 せっけい を改変 かいへん していない。IBM はこのアルゴリズムを発明 はつめい ・設計 せっけい し、関連 かんれん する設計 せっけい 上 じょう の意思 いし 決定 けってい は全 すべ てIBMが行 おこな い、鍵 かぎ 長 ちょう もDESのあらゆる商用 しょうよう の用途 ようと にとって十分 じゅうぶん な長 なが さとして決定 けってい した」[5]
DES設計 せっけい チームのウォルト・タックマンは「我々 われわれ はIBM内 ない でIBMの人員 じんいん だけでDESアルゴリズム全体 ぜんたい を開発 かいはつ した。NSAに命 めい じられて変更 へんこう した部分 ぶぶん は1つもない」と述 の べた[6] 。一方 いっぽう 、機密 きみつ 解除 かいじょ されたNSAの暗号 あんごう 史 し に関 かん する本 ほん には次 つぎ のように書 か かれている。
「1973年 ねん 、NBSはDESを民間 みんかん 企業 きぎょう に求 もと めた。最初 さいしょ の応募 おうぼ 案 あん は満足 まんぞく のいくものではなかったため、NSAは独自 どくじ にアルゴリズムの研究 けんきゅう を始 はじ めた。そして、工学 こうがく 研究 けんきゅう 部門 ぶもん の代表 だいひょう であるハワード・ローゼンブラムは、IBMのウォルト・タックマンがLuciferを汎用 はんよう 化 か する修正 しゅうせい を行 おこな っていることに気 き づいた。NSAはタックマンに人物 じんぶつ 証明 しょうめい を与 あた え、当局 とうきょく と共 とも にLuciferを修正 しゅうせい する作業 さぎょう を行 おこな わせた」[7]
Sボックスに関 かん する嫌疑 けんぎ の一部 いちぶ は1990年 ねん に鎮 しず められることになった。同年 どうねん 、エリ・ビハム とアディ・シャミア (RSA のS)が差分 さぶん 解読 かいどく 法 ほう を独自 どくじ に発見 はっけん して公表 こうひょう した。差分 さぶん 解読 かいどく 法 ほう はブロック暗号 あんごう を破 やぶ る汎用 はんよう 技法 ぎほう である。DESのSボックスは無作為 むさくい に選 えら ばれた場合 ばあい よりもこの攻撃 こうげき 法 ほう にずっと抵抗 ていこう 力 りょく があり、IBMが1970年代 ねんだい にこの攻撃 こうげき 法 ほう を知 し っていたことを強 つよ く示唆 しさ していた。1994年 ねん 、ドン・コッパースミスがSボックスの元々 もともと の設計 せっけい 基準 きじゅん について一部 いちぶ を公表 こうひょう したことで、それが裏付 うらづ けられた[8] 。スティーブン・レビー によれば、IBMでは1974年 ねん に差分 さぶん 解読 かいどく 法 ほう を発見 はっけん していたが、NSAがそれを秘密 ひみつ にするよう要請 ようせい していたという[9] 。コッパースミスはIBMの方針 ほうしん について「(差分 さぶん 解読 かいどく 法 ほう )は非常 ひじょう に強力 きょうりょく なツールであり、様々 さまざま な方式 ほうしき に応用 おうよう でき、これを公 おおやけ にすると国家 こっか の安全 あんぜん に悪 わる い影響 えいきょう を及 およ ぼすことが懸念 けねん された」と述 の べている。レビーはタックマンの言葉 ことば として「彼 かれ らは我々 われわれ のあらゆる文書 ぶんしょ に極秘 ごくひ というスタンプを押 お させようとした…それらは合衆国 がっしゅうこく 政府 せいふ の機密 きみつ と見 み なされたので、我々 われわれ は実際 じっさい にそれらに番号 ばんごう を振 ふ り、金庫 きんこ に入 い れた。彼 かれ らがそうしろと言 い ったから、そうしたまでだ」と書 か いている[9] 。
批判 ひはん はあったがDESは1976年 ねん 11月連邦 れんぽう 規格 きかく として承認 しょうにん され、1977年 ねん 1月 がつ 15日 にち には FIPS PUB 46 として公表 こうひょう され、非 ひ 機密 きみつ 政府 せいふ 通信 つうしん での利用 りよう が承認 しょうにん された。さらに1981年 ねん に ANSI として制定 せいてい され、民間 みんかん 標準 ひょうじゅん 規格 きかく にもなった。1983年 ねん 、1988年 ねん (FIPS-46-1 に更新 こうしん )、1993年 ねん (FIPS-46-2 )、1999年 ねん (FIPS-46-3 ) と再 さい 承認 しょうにん され、最後 さいご にはトリプルDES が定 さだ められた。2002年 ねん 5月 がつ 26日 にち 、DESは公開 こうかい のコンペティションで選 えら ばれた Advanced Encryption Standard (AES) で置 お き換 か えられた。2005年 ねん 5月 がつ 19日 にち 、FIPS 46-3は公式 こうしき に廃止 はいし となったが、NIST はトリプルDES については政府 せいふ の重要 じゅうよう 情報 じょうほう 用 よう に使 つか うことを2030年 ねん まで承認 しょうにん している[10] 。
このアルゴリズムは ANSI X3.92[11] 、NIST SP 800-67[10] 、ISO/IEC 18033-3[12] でも指定 してい されている(TDEA の要素 ようそ として)。
もう1つの理論 りろん 的 てき 攻撃 こうげき 法 ほう である線形 せんけい 解読 かいどく 法 ほう は1994年 ねん に公表 こうひょう された。1998年 ねん には総 そう 当 あた り攻撃 こうげき で実用 じつよう 的 てき な時間 じかん でDESを破 わ れることが実証 じっしょう され、アルゴリズムの更新 こうしん の必要 ひつよう 性 せい が高 たか まった。これら攻撃 こうげき 法 ほう については後 ご の節 ふし で詳述 しょうじゅつ する。
DESの登場 とうじょう は暗号 あんごう 研究 けんきゅう 、特 とく に暗号 あんごう 解読 かいどく 法 ほう の研究 けんきゅう を活発 かっぱつ 化 か させる触媒 しょくばい の役割 やくわり を果 は たした。NISTは後 のち にDESについて次 つぎ のように述 の べている。
DESは暗号 あんごう アルゴリズムの非 ひ 軍事 ぐんじ 的 てき 研究 けんきゅう と開発 かいはつ を「ジャンプスタート」させたと言 い える。1970年代 ねんだい 、暗号 あんごう 学者 がくしゃ は軍隊 ぐんたい や諜報 ちょうほう 機関 きかん 以外 いがい にはほとんどおらず、暗号 あんごう の学問 がくもん 的 てき 研究 けんきゅう は限定 げんてい 的 てき だった。今 いま では多数 たすう の学者 がくしゃ が暗号 あんごう を研究 けんきゅう し、数学 すうがく 関係 かんけい の学科 がっか で暗号 あんごう を教 おし え、情報 じょうほう セキュリティ企業 きぎょう やコンサルタントが商売 しょうばい をしている。暗号 あんごう 解読 かいどく 者 しゃ はDESアルゴリズムを解析 かいせき することで経験 けいけん を積 つ んだ。暗号 あんごう 研究 けんきゅう 者 しゃ ブルース・シュナイアー は「DESは暗号 あんごう 解読 かいどく というフィールドを大 おお いに活気 かっき 付 つ けた。今 いま では研究 けんきゅう すべきアルゴリズムのひとつだ」と述 の べている[13] 。1970年代 ねんだい から1980年代 ねんだい にかけて、暗号 あんごう に関 かん する多 おお くの書籍 しょせき がDESを扱 あつか っており、共通 きょうつう 鍵 かぎ 暗号 あんごう を比較 ひかく する際 さい の基準 きじゅん となっている[14] 。
日付 ひづけ
出来事 できごと
1973年 ねん 5月 がつ 15日 にち
NBSが標準 ひょうじゅん 暗号 あんごう アルゴリズムの要求 ようきゅう 仕様 しよう を公開 こうかい (1回 かい 目 め )。
1974年 ねん 8月 がつ 27日 にち
NBSが標準 ひょうじゅん 暗号 あんごう アルゴリズムの要求 ようきゅう 仕様 しよう を公開 こうかい (2回 かい 目 め )。
1975年 ねん 3月 がつ 17日 にち
コメントを求 もと めるため、DESが Federal Register で公表 こうひょう された。
1976年 ねん 8月 がつ
DESに関 かん する最初 さいしょ のワークショップ開催 かいさい 。
1976年 ねん 9月 がつ
2回 かい 目 め のワークショップ。DESの数学 すうがく 的 てき 基盤 きばん について議論 ぎろん 。
1976年 ねん 11月
DESを標準 ひょうじゅん として承認 しょうにん 。
1977年 ねん 1月 がつ 15日 にち
DESを FIPS PUB 46 として公表 こうひょう 。
1983年 ねん
DESについて、1回 かい 目 め の再 さい 承認 しょうにん を実施 じっし 。
1986年 ねん
HBO がDESをベースとした衛星 えいせい テレビ放送 ほうそう のスクランブリングシステム Videocipher II を実用 じつよう 化 か 。
1988年 ねん 1月 がつ 22日 にち
DES について2回 かい 目 め の再 さい 承認 しょうにん を行 おこな い、FIPS PUB 46 を置 お き換 か える FIPS 46-1 を制定 せいてい 。
1990年 ねん 7月 がつ
ビハムとシャミアが差分 さぶん 解読 かいどく 法 ほう を再 さい 発見 はっけん し、DESに似 に た15ラウンドの暗号 あんごう に適用 てきよう 。
1992年 ねん
ビハムとシャミアが総 そう 当 あた り攻撃 こうげき よりも計算 けいさん 量 りょう が少 すく ない理論 りろん 上 じょう の攻撃 こうげき 法 ほう (差分 さぶん 解読 かいどく 法 ほう )があることを発表 はっぴょう 。ただし、必要 ひつよう とする選択 せんたく 平文 へいぶん 数 すう は非 ひ 現実 げんじつ 的 てき な247 だった。
1993年 ねん 12月30日 にち
DES について3回 かい 目 め の承認 しょうにん を行 おこな い、FIPS 46-2 とした。
1994年 ねん
線形 せんけい 解読 かいどく 法 ほう を用 もち いた既知 きち 平文 へいぶん 攻撃 こうげき によって、DESの解読 かいどく が初 はじ めて実際 じっさい に行 おこな われた (松井 まつい 充 たかし )。平文 へいぶん と暗号 あんごう 文 ぶん の組 くみ 数 すう は、243 だった。
1997年 ねん 6月 がつ
DESCHALL (英語 えいご 版 ばん ) によりDESで暗号 あんごう 化 か されたメッセージの解読 かいどく が行 おこな われ、初 はじ めて一般 いっぱん に公表 こうひょう 。
1998年 ねん 7月 がつ
電子 でんし フロンティア財団 ざいだん のDESクラッカー (英語 えいご 版 ばん ) が56時 じ 間 あいだ でDESの鍵 かぎ を破 やぶ った。
1999年 ねん 1月 がつ
Deep Crack と distributed.net が共同 きょうどう で22時 じ 間 あいだ 15分 ふん でDESの鍵 かぎ を破 やぶ った。
1999年 ねん 10月 がつ 25日 にち
DESについて4回 かい 目 め の承認 しょうにん を行 おこな い FIPS 46-3としたが、トリプルDES の使用 しよう を推奨 すいしょう し、シングルDESは古 ふる いシステムでのみ使用 しよう することとした。
2001年 ねん 11月26日 にち
Advanced Encryption Standard (AES) を FIPS 197として公表 こうひょう 。
2002年 ねん 5月 がつ 26日 にち
AES規格 きかく が発効 はっこう 。
2004年 ねん 7月 がつ 26日 にち
FIPS 46-3(および関連 かんれん する規格 きかく 群 ぐん )の廃止 はいし が Federal Register で提案 ていあん された[15] 。
2005年 ねん 5月 がつ 19日 にち
NISTがFIPS 46-3を廃止 はいし [16]
2006年 ねん 4月 がつ
ルール大学 だいがく ボーフム とキール大学 だいがく でFPGA を使 つか った並列 へいれつ マシンCOPACOBANA を開発 かいはつ し、1万 まん ドルのハードウェアコストで9日間 にちかん をかけてDESを破 やぶ った[17] 。 その後 ご 1年 ねん 以内 いない にソフトウェアを改良 かいりょう し、平均 へいきん で6.4日 にち で破 わ れるようになった。
図 ず 1 — DESのFeistel構造 こうぞう 全体 ぜんたい
図 ず 2 — DESのFeistel関数 かんすう (F-関数 かんすう )
図 ず 3 — DESの鍵 かぎ スケジュール
DESは原型 げんけい ともいうべきブロック暗号 あんごう であり、固定 こてい ビット長 ちょう の平文 へいぶん を入力 にゅうりょく とし、一連 いちれん の複雑 ふくざつ な操作 そうさ によって同 おな じ長 なが さの暗号 あんごう 文 ぶん を出力 しゅつりょく するアルゴリズム である。DESの場合 ばあい 、ブロック長 ちょう は64ビットである。また、変換 へんかん をカスタマイズする鍵 かぎ を使 つか うため、暗号 あんごう 化 か に使 つか った鍵 かぎ を知 し っている者 もの だけが復号 ふくごう できる。鍵 かぎ は見 み た目 め は64ビットだが、そのうち8ビットはパリティ チェックに使 つか うため、アルゴリズム上 じょう の実際 じっさい の鍵 かぎ の長 なが さは56ビットである。
他 た のブロック暗号 あんごう と同様 どうよう 、DES自体 じたい は暗号 あんごう 化 か の安全 あんぜん な手段 しゅだん ではなく、暗号 あんごう 利用 りよう モード で使 つか う必要 ひつよう がある。FIPS-81 はDES用 よう のいくつかのモードを示 しめ している[18] 。その他 た のDESの利用 りよう 法 ほう については FIPS-74 に詳 くわ しい[19] 。
アルゴリズムの全体 ぜんたい 構造 こうぞう を図 ず 1に示 しめ す。16の処理 しょり 工程 こうてい があり、それらを「ラウンド」と呼 よ ぶ。また、最初 さいしょ と最後 さいご に並 なら べ替 が え処理 しょり があり、それぞれ IP および FP と呼 よ ぶ。IP と FP はちょうど逆 ぎゃく の処理 しょり を行 おこな う。IP と FP は暗号 あんごう 化 か にはほとんど関係 かんけい ないが、1970年代 ねんだい のハードウェア でブロックの入出力 にゅうしゅつりょく を行 おこな う部分 ぶぶん として含 ふく まれており、同時 どうじ にそれによってソフトウェア によるDESの処理 しょり が遅 おそ くなる原因 げんいん にもなっている。
ラウンドでの処理 しょり の前 まえ にブロックは半分 はんぶん (32ビット)ずつに分 わ けられ、それぞれ異 こと なる処理 しょり を施 ほどこ される。この十字 じゅうじ 交差 こうさ 構造 こうぞう をFeistel構造 こうぞう と呼 よ ぶ。Feistel構造 こうぞう を使 つか うと、暗号 あんごう 化 か と復号 ふくごう は非常 ひじょう に良 よ く似 に た処理 しょり になる。違 ちが いは、復号 ふくごう ではラウンド鍵 かぎ を逆 ぎゃく の順序 じゅんじょ で適用 てきよう するという点 てん だけであり、アルゴリズムは同一 どういつ である。このため実装 じっそう が単純 たんじゅん 化 か でき、特 とく にハードウェアで実装 じっそう する場合 ばあい に両者 りょうしゃ を別々 べつべつ に実装 じっそう する必要 ひつよう が無 な い。
⊕ という記号 きごう は排他 はいた 的 てき 論理 ろんり 和 わ (XOR) を意味 いみ する。F-関数 かんすう はブロックの半分 はんぶん を何 なん らかの鍵 かぎ でかき混 ま ぜる。F-関数 かんすう の出力 しゅつりょく をブロックの残 のこ り半分 はんぶん と結合 けつごう し、次 つぎ のラウンドに行 い く前 まえ にその半分 はんぶん 同士 どうし を入 い れ替 か える。最後 さいご のラウンドの後 のち には入 い れ替 か えは行 おこな わない。これは、暗号 あんごう 化 か と復号 ふくごう を似 に たプロセスで行 おこな うFeistel構造 こうぞう の特徴 とくちょう である。
図 ず 2にあるF-関数 かんすう はブロックの半分 はんぶん (32ビット)を一 いち 度 ど に処理 しょり する。以下 いか の4段階 だんかい がある。
Expansion - expansion permutation と呼 よ ばれる方式 ほうしき で32ビットを48ビットに拡張 かくちょう する。図 ず では E で示 しめ されている部分 ぶぶん である。入力 にゅうりょく のうち半分 はんぶん のビットの複製 ふくせい 16ビット分 ぶん を出力 しゅつりょく のビット列 びっとれつ に追加 ついか する。その出力 しゅつりょく は8個 こ の6ビットの部分 ぶぶん からなり、それら6ビットのうちの中央 ちゅうおう 4ビットは入力 にゅうりょく の対応 たいおう する4ビットの部分 ぶぶん と同 おな じで、両 りょう 端 はし の1ビットずつは入力 にゅうりょく 上 じょう で隣接 りんせつ する部分 ぶぶん のビットの複製 ふくせい である。
Key mixing - ラウンド鍵 かぎ と上 うえ の出力 しゅつりょく 結果 けっか をXOR操作 そうさ で結合 けつごう する。ラウンド鍵 かぎ は48ビットで、もともとの鍵 かぎ から「鍵 かぎ スケジュール」(後述 こうじゅつ )によって16個 こ のラウンド鍵 かぎ が生成 せいせい される。
Substitution - ラウンド鍵 かぎ を混 ま ぜた後 のち 、6ビットずつに分 わ けてSボックス (substitution box) に入力 にゅうりょく する。8個 こ のSボックスは入力 にゅうりょく の6ビットから4ビットの出力 しゅつりょく を生成 せいせい し、このときルックアップテーブル の形 かたち で提供 ていきょう される非線形 ひせんけい な変換 へんかん を行 おこな う。SボックスがDESの安全 あんぜん 性 せい の根幹 こんかん であり、これが無 な かったならば暗号 あんごう 化 か の処理 しょり は線形 せんけい であり容易 ようい に破 やぶ ることができることになる。
Permutation - Sボックス群 ぐん の出力 しゅつりょく である32ビットに固定 こてい の並 なら べ替 が え を施 ほどこ す。図 ず では P で示 しめ した部分 ぶぶん である。このとき、各 かく Sボックスの出力 しゅつりょく が次 つぎ のラウンドでSボックスに展開 てんかい されるとき、6個 こ の異 こと なるSボックスに分散 ぶんさん するよう並 なら べ替 か える。
Sボックスでの置換 ちかん とPボックスでの並 なら べ替 が えとEでの拡張 かくちょう を交互 こうご に行 おこな うことで、クロード・シャノン が安全 あんぜん で実用 じつよう 的 てき な暗号 あんごう に必要 ひつよう な条件 じょうけん とした「拡散 かくさん とかく乱 らん 」を提供 ていきょう する。
図 ず 3は暗号 あんごう 化 か での「鍵 かぎ スケジュール」、すなわちラウンド鍵 かぎ を生成 せいせい するアルゴリズムを示 しめ している。まず64ビットの入力 にゅうりょく から56ビットを選択 せんたく して並 なら べ替 が えを行 おこな う Permuted Choice 1 (PC-1 ) がある。選 えら ばれなかった8ビットは単 たん に捨 す ててもよいし、パリティビット として鍵 かぎ のチェックに使 つか ってもよい。その56ビットは2つの28ビットに分割 ぶんかつ され、その後 ご 別々 べつべつ に処理 しょり される。ラウンドを次 つぎ に進 すす める際 さい にそれぞれを左 ひだり に1ビットか2ビットローテート する(ラウンドによってローテートするビット数 すう が異 こと なる)。そして、それらを Permuted Choice 2 (PC-2 ) に入力 にゅうりょく して48ビットのラウンド鍵 かぎ を出力 しゅつりょく する。このときそれぞれの半分 はんぶん (28ビット)から24ビットずつを選 えら び、並 なら べ替 が えも左右 さゆう 別々 べつべつ に行 おこな う。ローテートを行 おこな うことでラウンドごとに選択 せんたく するビットが変化 へんか する(PC-2自体 じたい は固定 こてい であり、毎回 まいかい 同 おな じ位置 いち のビットを選 えら んで同 おな じ順序 じゅんじょ で並 なら べ替 か える)。各 かく ビットは16ラウンドのうち、だいたい14回 かい 使 つか われる。
復号 ふくごう の際 さい の鍵 かぎ スケジュールもほぼ同様 どうよう である。ラウンド鍵 かぎ は暗号 あんごう 化 か のときとは逆順 ぎゃくじゅん に適用 てきよう される。その点 てん を除 のぞ けば暗号 あんごう 化 か と全 まった く同 おな じ工程 こうてい で処理 しょり される。
DESについては安全 あんぜん 性 せい とソフトウェア による処理 しょり が相対 そうたい 的 てき に遅 おそ い点 てん が懸念 けねん され、1980年代 ねんだい 末 すえ から1990年代 ねんだい 初 はじ めごろから研究 けんきゅう 者 しゃ らが様々 さまざま なブロック暗号 あんごう を代替 だいたい 案 あん として提案 ていあん してきた。例 たと えば、RC5 、Blowfish 、IDEA 、NewDES 、SAFER 、CAST5 、FEAL などがある。その多 おお くはDESと同 おな じ64ビットのブロック長 ちょう で、そのまま代替 だいたい として使 つか えるようになっているが、鍵 かぎ には64ビットか128ビットを使 つか っているものが多 おお い。ソビエト連邦 れんぽう ではGOST アルゴリズムが導入 どうにゅう された。これはブロック長 ちょう 64ビットで256ビットの鍵 かぎ を使 つか っており、後 のち にロシア でも使 つか われた。
DES自身 じしん をもっと安全 あんぜん な形 かたち にして再 さい 利用 りよう することもできる。かつてDESを使 つか っていたところでは、DESの特許 とっきょ 権 けん 保持 ほじ 者 しゃ の1人 ひとり が考案 こうあん したトリプルDES (TDES) を使 つか っている(FIPS Pub 46-3 参照 さんしょう )。この方式 ほうしき では2つ (2TDES) ないし3つ (3TDES) の鍵 かぎ を用 もち いて、暗号 あんごう ‐復号 ふくごう ‐暗号 あんごう の順 じゅん でDESを3回 かい 行 おこ なう事 こと で暗号 あんごう 化 か する。TDESは十分 じゅうぶん 安全 あんぜん だが、極 きわ めて時間 じかん がかかる。それほど計算 けいさん 量 りょう が増 ふ えない代替 だいたい 方式 ほうしき としてDES-X があり、鍵 かぎ 長 ちょう を長 なが くしてDESの処理 しょり の前後 ぜんご で外部 がいぶ 鍵 かぎ をXORする。GDES はDESの暗号 あんごう 処理 しょり を高速 こうそく にする方式 ほうしき だが、差分 さぶん 解読 かいどく 法 ほう に弱 よわ いことが分 わ かっている。
その後 ご NISTがDESに代 か わる米国 べいこく 標準 ひょうじゅん 暗号 あんごう 方式 ほうしき Advanced Encryption Standard (AES) を公募 こうぼ した。そして2000年 ねん 10月 がつ 、ベルギーのホァン・ダーメン (英語 えいご 版 ばん ) とフィンセント・ライメン により提案 ていあん されたRijndael(ラインデール)が新 あたら しい米国 べいこく 標準 ひょうじゅん 暗号 あんごう 方式 ほうしき AES に選 えら ばれた。トリプルDES のようなad-hoc な方法 ほうほう で設計 せっけい された暗号 あんごう 方式 ほうしき とは異 こと なり、AESはSPN構造 こうぞう と呼 よ ばれるより整備 せいび された構造 こうぞう を持 も つ暗号 あんごう 方式 ほうしき である。公募 こうぼ には他 た にRC6 、Serpent 、MARS 、Twofish も応募 おうぼ したがどれも選 えら ばれなかった。AESは2001年 ねん 11月に FIPS 197 として正式 せいしき に公表 こうひょう された。
DESの解読 かいどく 法 ほう については他 た のブロック暗号 あんごう よりも多数 たすう の情報 じょうほう があるが、今 いま も最 もっと も実用 じつよう 的 てき な攻撃 こうげき 法 ほう は総 そう 当 あた り攻撃 こうげき である。暗号 あんごう 解読 かいどく 上 じょう の各種 かくしゅ 特性 とくせい が知 し られており、3種類 しゅるい の理論 りろん 上 じょう の攻撃 こうげき 方法 ほうほう が知 し られている。それらは総 そう 当 あた り攻撃 こうげき よりも理論 りろん 上 じょう は計算 けいさん 量 りょう が少 すく ないが、非 ひ 現実 げんじつ 的 てき な量 りょう の既知 きち 平文 へいぶん か選択 せんたく 平文 へいぶん を必要 ひつよう とし、実用 じつよう 化 か はされていない。
The EFF が25万 まん ドルで製作 せいさく したDES解読 かいどく 機 き 。1,856のカスタムチップで構成 こうせい され、DESの鍵 かぎ を総 そう 当 あた りで数日 すうじつ 間 あいだ で破 やぶ ることができる。写真 しゃしん は Deap Crack チップをいくつか装備 そうび したDES解読 かいどく 機 き 用 よう 回路 かいろ 基板 きばん 。
どんな暗号 あんごう についても、最 もっと も基本 きほん となる攻撃 こうげき 法 ほう は総 そう 当 あた り攻撃 こうげき 、すなわち鍵 かぎ のとりうる値 ね を全 すべ て試 ため す方法 ほうほう である。鍵 かぎ の長 なが さが鍵 かぎ のとりうる値 ね の個数 こすう に直接 ちょくせつ 関係 かんけい してくるため、総 そう 当 あた りが現実 げんじつ 的 てき かどうかも鍵 かぎ の長 なが さで決 き まる。DESについては標準 ひょうじゅん として採用 さいよう される以前 いぜん から鍵 かぎ の短 みじか さが懸念 けねん されていた。NSAを含 ふく む外部 がいぶ コンサルタントを交 まじ えた議論 ぎろん の結果 けっか 、1つのチップで暗号 あんごう 化 か できるよう鍵 かぎ の長 なが さを128ビットから56ビットに減 へ らすことになった[20] 。
学界 がっかい では様々 さまざま なDES解読 かいどく 機 き が提案 ていあん されてきた。1977年 ねん 、ディフィーとヘルマンは1日 にち でDESの鍵 かぎ を見 み つけることができるマシンのコストを2000万 まん ドルと見積 みつ もった。1993年 ねん になると、ウィーナーは7時 じ 間 あいだ で鍵 かぎ を見 み つけることができる機械 きかい のコストを100万 まん ドルと見積 みつ もった。しかし、そのような初期 しょき の提案 ていあん に基 もと づいて実際 じっさい に解読 かいどく 機 き を製作 せいさく した例 れい はないし、少 すく なくともそのような実例 じつれい が公表 こうひょう されたことはなかった。DESの脆弱 ぜいじゃく 性 せい が実際 じっさい に示 しめ されたのは1990年代 ねんだい 後半 こうはん のことである。1997年 ねん 、RSAセキュリティ は一連 いちれん のコンテストを主催 しゅさい し、DESで暗号 あんごう 化 か されたメッセージを最初 さいしょ に解読 かいどく したチームに1万 まん ドルを賞金 しょうきん として提示 ていじ した。このコンテストで優勝 ゆうしょう したのは、Rocke Verser、Matt Curtin、Justin Dolske が主導 しゅどう する DESCHALL Project で、インターネット上 じょう の数 すう 千 せん 台 だい のコンピュータのアイドル時間 じかん (何 なに もしていない時間 じかん )を利用 りよう したプロジェクトだった。1998年 ねん には電子 でんし フロンティア財団 ざいだん (EFF) が約 やく 25万 まん ドルをかけてDES解読 かいどく 機 き を製作 せいさく した。EFFの意図 いと は、DESを理論 りろん 上 じょう だけでなく実際 じっさい に破 やぶ ることができることを示 しめ すことであり、「多 おお くの人々 ひとびと は実際 じっさい に自分 じぶん の目 め で見 み るまで真実 しんじつ を信 しん じようとしない。DESを数日 すうじつ 間 あいだ で破 やぶ ることができるマシンを実際 じっさい に示 しめ すことで、DESによるセキュリティが信用 しんよう できないことを明 あき らかにできる」と述 の べている。この機械 きかい は2日 にち 強 きょう かけて総 そう 当 あた り攻撃 こうげき で鍵 かぎ を見 み つけることができる。1999年 ねん 1月 がつ に行 おこな われた3回 かい 目 め のコンテストでは、22時 じ 間 あいだ でdistributed.net によりDESが解読 かいどく された[21] 。この解読 かいどく にはEFFのDES解読 かいどく 機 き とインターネット経由 けいゆ で募集 ぼしゅう された10万 まん 台 だい の計算 けいさん 機 き が用 もち いられた。
もう1つのDES解読 かいどく 機 き としてCOPACOBANA (cost-optimized parallel code breaker の略 りゃく )が2006年 ねん 、ドイツ のルール大学 だいがく ボーフム とキール大学 だいがく のチームで開発 かいはつ された。EFFの解読 かいどく 機 き とは異 こと なり、COPACOBANAは一般 いっぱん に入手 にゅうしゅ 可能 かのう な部品 ぶひん (集積 しゅうせき 回路 かいろ )のみを使 つか っている。20個 こ のDIMMモジュールで構成 こうせい され、それぞれに6個 こ のFPGA (XILINX Spartan3-1000)を装備 そうび し、それらが並列 へいれつ に動作 どうさ する。FPGAを使 つか っているため、DES以外 いがい の暗号 あんごう 解読 かいどく にも応用 おうよう 可能 かのう である。COPACOBANAの重要 じゅうよう な特徴 とくちょう はその低 てい コストであり、1台 だい を約 やく 1万 まん ドルで製作 せいさく できる。EFFのDES解読 かいどく 機 き に比 くら べて約 やく 25分 ぶん の1であり、8年間 ねんかん の物価 ぶっか 上昇 じょうしょう 率 りつ を考慮 こうりょ すれば約 やく 30分 ぶん の1ということができる。
総 そう 当 あた り攻撃 こうげき よりも高速 こうそく な攻撃 こうげき 法 ほう
編集 へんしゅう
総 そう 当 あた り攻撃 こうげき よりも少 すく ない計算 けいさん 量 りょう で16ラウンドのDESを破 やぶ ることができる攻撃 こうげき 法 ほう が3種類 しゅるい 知 し られている。差分 さぶん 解読 かいどく 法 ほう (DC)、線形 せんけい 解読 かいどく 法 ほう (LC)、Davies' attack である。しかし、これらの攻撃 こうげき 法 ほう は理論 りろん 上 じょう のものであって、実際 じっさい に応用 おうよう するのは現実 げんじつ 的 てき ではない。これらを certificational weaknesses と呼 よ ぶこともある。
差分 さぶん 解読 かいどく 法 ほう
1980年代 ねんだい 末 すえ にエリ・ビハム とアディ・シャミア が再 さい 発見 はっけん した。IBMとNSAにはそれ以前 いぜん から知 し られていたが、秘密 ひみつ にされていた。16ラウンドのDESを破 やぶ るには、247 の選択 せんたく 平文 へいぶん を必要 ひつよう とする。DESはDCへの耐 たい 性 せい を考慮 こうりょ して設計 せっけい されている。
線形 せんけい 解読 かいどく 法 ほう
1993年 ねん 、松井 まつい 充 たかし が発見 はっけん 。243 の既知 きち 平文 へいぶん を必要 ひつよう とする。これを実際 じっさい に実装 じっそう して(Matsui, 1994)、DESの解読 かいどく 実験 じっけん が行 おこな われている。DESがこの解読 かいどく 法 ほう への耐 たい 性 せい を考慮 こうりょ して設計 せっけい されたという証拠 しょうこ はない。1994年 ねん には、これを拡張 かくちょう した multiple linear cryptanalysis (Kaliski and Robshaw) が提案 ていあん され、その後 ご も改良 かいりょう が Biryukov らによって行 おこな われている。研究 けんきゅう によると、複数 ふくすう の線形 せんけい 近似 きんじ を用 もち いることで必要 ひつよう なデータ量 りょう が4分 ぶん の1になる(つまり、243 を241 に減 へ らせる)ことが示唆 しさ されている。また、選択 せんたく 平文 へいぶん を使 つか った線形 せんけい 解読 かいどく 法 ほう でも同様 どうよう にデータ量 りょう を削減 さくげん できる (Knudsen and Mathiassen, 2000)。Junod (2001) は実験 じっけん によって線形 せんけい 解読 かいどく 法 ほう の時間 じかん 計算 けいさん 量 りょう を測定 そくてい し、DESの解読 かいどく は予想 よそう よりも時間 じかん がかからず 239 から 241 になるとした。
Davies' attack
差分 さぶん 解読 かいどく 法 ほう も線形 せんけい 解読 かいどく 法 ほう もDESだけに限 かぎ らずに任意 にんい の暗号 あんごう 解読 かいどく にも使 つか えるが、Davies' attack はDES専用 せんよう の解読 かいどく 法 ほう であり、ドナルド・デービス が1980年代 ねんだい に提案 ていあん して、ビハムとBiryukov (1997) が改良 かいりょう を施 ほどこ した。最 もっと も強力 きょうりょく な形式 けいしき の攻撃 こうげき には 250 の既知 きち 平文 へいぶん を必要 ひつよう とし、計算 けいさん 量 りょう も 250 、成功 せいこう 率 りつ は51%である。
ラウンド数 すう を減 へ らした暗号 あんごう (DESの16ラウンドを減 へ らしたもの)への攻撃 こうげき 法 ほう も提案 ていあん されている。そのような研究 けんきゅう によってラウンド数 すう がどれだけあれば安全 あんぜん かという考察 こうさつ も行 おこな われている。また、16ラウンドのDESにどれだけ安全 あんぜん マージンがあるかも研究 けんきゅう されてきた。1994年 ねん にはラングフォードとヘルマンが差分 さぶん 解読 かいどく 法 ほう と線形 せんけい 解読 かいどく 法 ほう を組 く み合 あ わせた差分 さぶん 線形 せんけい 解読 かいどく 法 ほう を提案 ていあん した。改良 かいりょう 版 ばん の解読 かいどく 法 ほう では、9ラウンドのDESを 215.8 の既知 きち 平文 へいぶん を使 つか って 229.2 の時間 じかん 計算 けいさん 量 りょう で破 やぶ ることができる (Biham et al., 2002)。
その他 た の暗号 あんごう 解読 かいどく 上 じょう の特性 とくせい
編集 へんしゅう
DESには相補 そうほ 性 せい がある。すなわち次 つぎ が成 な り立 た つ。
Ek (P) = C ⇔ EK (P ) = C
ここで
x
¯
{\displaystyle {\overline {x}}}
は
x
{\displaystyle x}
のビット毎 ごと の反転 はんてん である。
E
K
{\displaystyle E_{K}}
は鍵 かぎ
K
{\displaystyle K}
を使 つか った暗号 あんごう 化 か を意味 いみ する。
P
{\displaystyle P}
は平文 へいぶん 、
C
{\displaystyle C}
は暗号 あんごう ブロック列 れつ である。相補 そうほ 性 せい があるということは、総 そう 当 あた り攻撃 こうげき に必要 ひつよう な試行 しこう 回数 かいすう は2分 ぶん の1で済 す むことを意味 いみ する。
DESには4つのいわゆる「弱 よわ い鍵 かぎ 」がある。暗号 あんごう 化 か (E ) と復号 ふくごう (D ) で弱 よわ い鍵 かぎ を使 つか うと、どちらも同 おな じ効果 こうか がある。
E
K
(
E
K
(
P
)
)
=
P
{\displaystyle E_{K}(E_{K}(P))=P}
または
E
K
=
D
K
{\displaystyle E_{K}=D_{K}}
また、6組 くみ の「やや弱 よわ い鍵 かぎ 」もある。弱 よわ い鍵 かぎ の1つ
K
1
{\displaystyle K_{1}}
を使 つか った暗号 あんごう 化 か は、ペアのもう一方 いっぽう の
K
2
{\displaystyle K_{2}}
を使 つか った復号 ふくごう と等価 とうか である。
E
K
1
(
E
K
2
(
P
)
)
=
P
{\displaystyle E_{K_{1}}(E_{K_{2}}(P))=P}
または
E
K
2
=
D
K
1
{\displaystyle E_{K_{2}}=D_{K_{1}}}
弱 よわ い鍵 かぎ ややや弱 よわ い鍵 かぎ を実装 じっそう で使 つか わないようにするのは容易 ようい である。もともと無 む 作為 さくい に鍵 かぎ を選 えら んでも、それらを選 えら ぶ確 かく 率 りつ は極 きわ めて低 ひく い。それらの鍵 かぎ は理論 りろん 上 じょう は他 た の鍵 かぎ より弱 よわ いわけではなく、攻撃 こうげき に際 さい しても特 とく に利用 りよう できるわけでもない。
DESは群 ぐん にならないことが証明 しょうめい されている。つまり、集合 しゅうごう
{
E
K
}
{\displaystyle \{E_{K}\}}
(鍵 かぎ
K
{\displaystyle K}
がとりうる全 すべ ての値 ね の集合 しゅうごう )は関数 かんすう 合成 ごうせい において群 ぐん ではないし、1つの群 ぐん に閉 と じていない (Campbell and Wiener, 1992)。これがもし群 ぐん であるならば、DESは容易 ようい に破 やぶ ることができ、トリプルDESにしても安全 あんぜん 性 せい は向上 こうじょう しなかったとされている。
DESの暗号 あんごう 学 がく 的 てき 安全 あんぜん 性 せい は最大 さいだい でも約 やく 64ビットである。例 たと えば、個々 ここ のラウンド鍵 かぎ を元 もと の1つの鍵 かぎ から生成 せいせい せずそれぞれ独立 どくりつ に供給 きょうきゅう すれば、安全 あんぜん 性 せい は768ビットになりそうなものだが、この限界 げんかい によりそうならないことが知 し られている。
^ Walter Tuchman (1997). "A brief history of the data encryption standard". Internet besieged:countering cyberspace scofflaws . ACM Press/Addison-Wesley Publishing Co. New York, NY, USA. pp. 275–280.
^ RSA Laboratories. “Has DES been broken? ”. 2009年 ねん 5月 がつ 27日 にち 閲覧 えつらん 。
^ Schneier. Applied Cryptography (2nd ed.). p. 280
^ Davies, D.W.; W.L. Price (1989). Security for computer networks, 2nd ed. . John Wiley & Sons
^ Robert Sugarman (editor) (July 1979). “On foiling computer crime”. IEEE Spectrum (IEEE ).
^ P. Kinnucan (October 1978). “Data Encryption Gurus:Tuchman and Meyer”. Cryptologia 2 (4): 371. doi :10.1080/0161-117891853270 .
^ Thomas R. Johnson. “American Cryptology during the Cold War, 1945-1989.Book III:Retrenchment and Reform, 1972-1980”. United States Cryptologic History 5 (3).
^ Konheim. Computer Security and Cryptography . p. 301
^ a b Levy, Crypto , p. 55
^ a b “NIST Special Publication 800-67 Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher , Version 1.1 ” (PDF) (English). National Institute of Standards and Technology . p. 6. 2016年 ねん 10月 がつ 9日 にち 閲覧 えつらん 。
^ American National Standards Institute , ANSI X3.92-1981 American National Standard, Data Encryption Algorithm
^ “ISO/IEC 18033-3:2005 Information technology — Security techniques — Encryption algorithms — Part 3:Block ciphers ”. Iso.org (2008年 ねん 10月 がつ 15日 にち ). 2009年 ねん 6月 がつ 2日 にち 閲覧 えつらん 。
^ Bruce Schneier, Applied Cryptography, Protocols, Algorithms, and Source Code in C, Second edition, John Wiley and Sons, New York (1996) p. 267
^ William E. Burr, "Data Encryption Standard", in NIST's anthology "A Century of Excellence in Measurements, Standards, and Technology:A Chronicle of Selected NBS/NIST Publications, 1901–2000. HTML PDF
^ “FR Doc 04-16894 ”. Edocket.access.gpo.gov. 2009年 ねん 6月 がつ 2日 にち 閲覧 えつらん 。
^ “Federal Register vol 70, number 96 ” (PDF) (English). Office of the Federal Register, National Archives and Records Administration (2005年 ねん 5月 がつ 19日 にち ). 2016年 ねん 10月 がつ 9日 にち 閲覧 えつらん 。
^ S. Kumar, C. Paar, J. Pelzl, G. Pfeiffer, A. Rupp, M. Schimmler, "How to Break DES for Euro 8,980". 2nd Workshop on Special-purpose Hardware for Attacking Cryptographic Systems — SHARCS 2006, Cologne, Germany, April 3-4, 2006.
^ “FIPS 81 - Des Modes of Operation ”. Itl.nist.gov. 2016年 ねん 10月 がつ 9日 にち 閲覧 えつらん 。
^ “FIPS 74 - Guidelines for Implementing and Using the NBS Data ”. Itl.nist.gov. 2014年 ねん 1月 がつ 3日 にち 時点 じてん のオリジナル よりアーカイブ。2016年 ねん 10月 がつ 9日 にち 閲覧 えつらん 。
^ Stallings, W. Cryptography and network security:principles and practice . Prentice Hall, 2006. p. 73
^ “US GOVERNMENT'S ENCRYPTION STANDARD BROKEN IN LESS THAN A DAY ” (PDF) (English). distributed.net (1999年 ねん 1月 がつ 19日 にち ). 2016年 ねん 10月 がつ 9日 にち 閲覧 えつらん 。
Biham, Eli and Adi Shamir (1991). “Differential Cryptanalysis of DES-like Cryptosystems” . Journal of Cryptology 4 (1): 3–72. doi :10.1007/BF00630563 . http://www.springerlink.com/content/k54h077np8714058/ . (preprint )
Biham, Eli and Adi Shamir, Differential Cryptanalysis of the Data Encryption Standard, Springer Verlag, 1993. ISBN 0-387-97930-1 , ISBN 3-540-97930-1 .
Biham, Eli and Alex Biryukov:An Improvement of Davies' Attack on DES. J. Cryptology 10(3):195–206 (1997)
Biham, Eli, Orr Dunkelman, Nathan Keller:Enhancing Differential-Linear Cryptanalysis. ASIACRYPT 2002:pp254–266
Biham, Eli. A Fast New DES Implementation in Software Cracking DES:Secrets of Encryption Research, Wiretap Politics, and Chip Design , Electronic Frontier Foundation
Biryukov, A, C. De Canniere and M. Quisquater (2004). “On Multiple Linear Approximations” . Lecture Notes in Computer Science 3152 : 1–22. doi :10.1007/b99099 . http://www.springerlink.com/content/16udaqwwl9ffrtxt/ . (preprint ).
Campbell, Keith W., Michael J. Wiener:DES is not a Group. CRYPTO 1992:pp512–520
Coppersmith, Don. (1994). The data encryption standard (DES) and its strength against attacks . IBM Journal of Research and Development , 38 (3), 243–250.
Diffie, Whitfield and Martin Hellman , "Exhaustive Cryptanalysis of the NBS Data Encryption Standard" IEEE Computer 10(6), June 1977, pp74–84
Ehrsam et al., Product Block Cipher System for Data Security, アメリカ合衆国 あめりかがっしゅうこく 特許 とっきょ 第 だい 3,962,539号 ごう , Filed February 24, 1975
Gilmore, John , "Cracking DES:Secrets of Encryption Research, Wiretap Politics and Chip Design", 1998, O'Reilly, ISBN 1-56592-520-3 .
Junod, Pascal. On the Complexity of Matsui's Attack. - ウェイバックマシン (2009年 ねん 5月 がつ 27日 にち アーカイブ分 ぶん ) Selected Areas in Cryptography, 2001, pp199–211.
Kaliski, Burton S., Matt Robshaw:Linear Cryptanalysis Using Multiple Approximations. CRYPTO 1994:pp26–39
Knudsen, Lars, John Erik Mathiassen:A Chosen-Plaintext Linear Attack on DES. Fast Software Encryption - FSE 2000:pp262–272
Langford, Susan K., Martin E. Hellman:Differential-Linear Cryptanalysis. CRYPTO 1994:17–25
Levy, Steven, Crypto:How the Code Rebels Beat the Government—Saving Privacy in the Digital Age, 2001, ISBN 0-14-024432-8 .
Matsui, Mitsuru (1994). “Linear Cryptanalysis Method for DES Cipher” . Lecture Notes in Computer Science 765 : 386–397. doi :10.1007/3-540-48285-7 . http://www.springerlink.com/content/92509p5l4ravyn62/ .
Mitsuru Matsui (1994). “The First Experimental Cryptanalysis of the Data Encryption Standard” . Lecture Notes in Computer Science 839 : 1–11. doi :10.1007/3-540-48658-5_1 . http://www.springerlink.com/content/vrteugmt7erqqbw1/ .
National Bureau of Standards, Data Encryption Standard, FIPS-Pub.46. National Bureau of Standards, U.S. Department of Commerce, Washington D.C., January 1977.