DES-X

一般いっぱん
設計せっけい者しゃ	ロナルド・リベスト
初版しょはん発行はっこう日び	1984年ねん
派生はせい元もと	DES
暗号あんごう詳細しょうさい
鍵かぎ長ちょう	184ビット
ブロック長ちょう	64ビット
構造こうぞう	Feistel構造こうぞう
ラウンド数すう	16

DES-X (DESX) はDES (Data Encryption Standard) から派生はせいしたブロック暗号あんごうの一種いっしゅで、key whitening と呼よばれる技法ぎほうを使つかって総そう当あたり攻撃こうげきへの耐たい性せいを強化きょうかしている。

元々もともとのDESのアルゴリズムは1976年ねんに策定さくていされたもので、鍵かぎ長ちょうが56ビットであり、鍵かぎのとりうる値ねは 2⁵⁶ 個こある。このため、例たとえばアメリカ国家こっか安全あんぜん保障ほしょう局きょく (NSA) などの政府せいふ機関きかんが総そう当あたり攻撃こうげきを実行じっこうできるかもしれないという指摘してきがあった。DESのアルゴリズムを実質じっしつ的てきには変更へんこうせず、鍵かぎ長ちょうだけを大おおきくしたのがDES-Xで、1984年ねん5月がつにロナルド・リベストが提案ていあんした。

このアルゴリズムは、1980年代ねんだい末まつ以降いこう、RSAセキュリティのBSAFE暗号あんごうライブラリに含ふくまれている。

DES-Xは、追加ついかの64ビットの鍵かぎ (K₁) を平文へいぶんにXORで適用てきようしてから、DESの暗号あんごう化かを行おこない、さらに別べつの64ビットの鍵かぎ (K₂) を暗号あんごう文ぶんにXORで適用てきようする。

${\mbox{DES-X}}(M)=K_{2}\oplus {\mbox{DES}}_{K}(M\oplus K_{1})$

したがって鍵かぎ長ちょうは 56 + 2 × 64 = 184 ビットに強化きょうかされている。

しかし、実効じっこう鍵かぎ長ちょう（セキュリティ）は 56+64-1-lb(M) = 119 - lb(M) = ~119 ビットにしかならない。ここで M は、解読かいどくしようとする者ものが入手にゅうしゅできる平文へいぶんと暗号あんごう文ぶんのペアの数かず、lb は2を底そことする対数たいすうである（このため、実装じっそうによっては K₁ と K から一方いっぽう向こう関数かんすうで K₂ を生成せいせいすることもある）。

DES-XはDESに比較ひかくして差分さぶん解読かいどく法ほうや線形せんけい解読かいどく法ほうに対たいしても強つよくなっているが、その度合どあいは総そう当あたり攻撃こうげきの場合ばあいよりも小ちいさい。差分さぶん解読かいどく法ほうの場合ばあい、2⁶¹ 個この選択せんたく平文へいぶんを必要ひつようとすると見積みつもられている（DESの場合ばあいは 2⁴⁷）。線形せんけい解読かいどく法ほうでは 2⁶⁰ の既知きち平文へいぶんを必要ひつようとする（DESの場合ばあいは 2⁴³）。なお、DESの場合ばあい（あるいはブロック長ちょうが64ビットのブロック暗号あんごう全般ぜんぱんでは）、2⁶⁴ の平文へいぶん（選択せんたくか既知きちかは問とわない）があれば、完全かんぜんに破やぶることができる。

参考さんこう文献ぶんけん

Joe Kilian and Phillip Rogaway, How to protect DES against exhaustive key search (PostScript), Advances in Cryptology - Crypto '96, Springer-Verlag (1996), pp. 252–267.
P. Rogaway, The security of DESX (PostScript), CryptoBytes 2(2) (Summer 1996).

外部がいぶリンク

RSA FAQ Entry

関連かんれん項目こうもく

参考さんこう文献ぶんけん

外部がいぶリンク