TDEA（TripleDES）はDESの脆弱な鍵に対して脆弱ではありませんか？

Question

DES 弱いキーを含むのキースペース。これにより、暗号解読に対してさらに脆弱な暗号文が生成されます。

TDEA（TripleDESとしても知られています）は、これらの脆弱な鍵に対して脆弱ではありませんか？または、弱いランダム鍵または準弱い鍵のリストについて、暗号でランダムに生成されたTripleDES鍵をフィルタリングする必要がありますか？

Matthew Rodatus · Accepted Answer

弱いまたは半弱いDES TripleDESで3つのキーの1つとして使用されるキーは、TripleDESで RFC 2451 に従って脆弱性を引き起こしません。ただし、別の脆弱性があります。チェックする必要があるTripleDES鍵。

（TripleDESはDES-EDE3とも呼ばれます。EDEはEncrypt-Decrypt-Encryptの略です。）

DESには64個の既知の弱い鍵があり、いわゆる半弱い鍵と、場合によっては弱い鍵があります[Schneier95、pp 280-282]。ランダムに選択する可能性はごくわずかです。

DES-EDE3の場合、脆弱なキーまたは補完キーを拒否する必要は知られていない。複数のキーを使用することで、弱点を取り除くことができます。

ただし、最初の2つまたは最後の2つの独立した64ビットキーが等しい場合（k1 == k2またはk2 == k3）、3DES操作はDESと同じです。実装者は、このプロパティを示すキーを拒否する必要があります。

Thomas Pornin · Answer

ブロック暗号のweak keyは、暗号化と復号化が同じ機能であることが判明するようなキーです。これは、そのような鍵を使用すると、名目上は物事だけを暗号化するブラックボックスも物を解読するために使用できることを意味します。 semi-weak keyは、そのキーを使用する復号化関数が別のキーを使用する暗号化関数と同一になるようなキーです。

DESは64ビットブロックの順列です。 2つあります⁶⁴！そのような順列（10に近い膨大な数です）^{347382171305201285699}）とキーは、そのような順列の1つを選択します。「のみ」2⁵⁶ 可能なキーなので、2⁵⁶ 暗号化関数と2⁵⁶ 鍵が「ランダムに」順列を選択すると仮定すると、解読関数はすべて互いに「異なる」はずであり、圧倒的な可能性があります（これは「理想的な暗号」モデルです）。したがって、弱い鍵とやや弱い鍵の存在はいくつかの余分な構造です。これらを「弱点」と呼ぶのは誇張ですが、言及する価値があります。ウィークキーとセミウィークキーは、「関連キー」と呼ばれる「ウィークネス」のより一般的なクラスの一部です。関連キーは、攻撃者がキー生成プロセスの弱点を介して関連キーの使用を強制できる特定のシナリオで問題になることがあります。何かが完全に間違って（WEPで行われたように）行われたり、ブロック暗号が通常とは異なる方法（たとえば、ハッシュ関数のビルディングブロックとして Merkle-Damgård構造）として使用されない限り、関連していますキー攻撃は、セキュリティに対する実際の脅威ではありません。

適切に生成されたキーが「弱い」であるリスクは非常に低いため、「弱い」かどうかを特定のキーでテストすることは、DESでは役に立ちません。単に数千の潜在的なキーを「試行」すること（「ブルートフォーシング」）は、はるかに少ない労力ではるかに高い成功率をもたらします。

3DESは3つであるDESインスタンスが連続しており、「弱いキー」もある：弱いキーが指定されているK₁、K₂およびK_３DESの場合、キーK₁ || K₂ || K_３は、3DESの「弱い鍵」です。 DESの場合と同様に、これは注目に値する数学的好奇心ですが、実際的なセキュリティへの影響はありません。

timoh · Answer

3DESはこれらの弱いキーを継承するため、この「弱いキーの脆弱性」は3DESにも適用されます。