. Các chỉ số trùng hợp tương hỗ quan sát được
3.12.Tranh luận về DES.
Khi DES được đề xuất như một chuẩn mật mã, đã có rất nhiều ý kiến phê phán.Một lý do phản đối DEScó liên quan đếncác hộp S. Mọi tính toán liên quanđếnDESngoạitrừcáchộp Sđềutuyếntính, tứcviệctínhphéphoặc loại trừ của hai đầu ra cũng giống như phép hoặc loại trừ của hai đầu vào rồi tính tóan đầu ra. Các hộp S – chứa đựng thành phần phi tuyến của hệ mật là yếu tố quan trong nhất đốivới độmật của hệ thống( Tađã thấy trong chương 1 là các hệ mật tuyến tính – chẳng hạn như Hill – có thể dễ dàng bị mã thám khi bịtấncôngbằngbản rõđãbiết). Tuynhiên tiêuchuẩnxâydựngcáchộp S không được biết đầy đủ. Một số người đã gợi ý là các hộp S phải chứa các http://www.ebook.edu.vn 65
“cửa sập” được dấu kín, cho phép Cục An ninh Quốc gia Mỹ (NSA) giải mã được cácthôngbáo nhưngvẫngiữđược mứcđộantoàncủa DES.Dĩ nhiênta không thểbácbỏ được khẳngđịnhnày, tuy nhiênkhôngcó mộtchứngcớ nào được đưarađểchứngtỏrằngtrongthựctếcócáccửasậpnhưvậy.
Năm 1976NSAđã khẳngđịnhrằng, các tínhchấtsau củahộpSlà tiêu chuẩnthiết kế:
P0 MỗihàngtrongmỗihộpSlà mộthoánvịcủacácsốnguyên0,1,... ,15. P1KhôngmộthộpSnàolàmộthàmAffinehoặctuyếntínhcácđầuvàocủanó.
P2ViệcthayđổimộtbítvàocủaSphảitạonênsựthayđổiítnhấtlàhaibítra. P3 Đối với hộp S bất kì và với đầu vào x bất kì S(x) và S(x ⊕ 001100) phải khác nhautốithiểulàhaibít(trongđóx làxâubítđộdài6).
Hai tínhchất khácnhausau đâycủa cáchộpS cóthể coilàđược rútra từtiêu chuẩnthiết kếcủaNSA.
P4VớihộpSbấtkì,đầuvàoxbấtkìvàvớie,f ∈{0,1}:S(x) ≠S(x ⊕ 11ef00). P5 Với hộp S bất kì , nếu cố định một bít vào và xem xét giá trị của một bít đầu ra cố định thì các mẫu vào để bít ra này bằng0 sẽ xấp xỉ bằng số mẫu ra để bítđó bằng1.( Chúý rằng,nếu cốđịnh giátrịbít vàothứnhấthoặc bítvào
thứ 6 thì có 16 mẫu vào làm cho một bít ra cụ thể bằng 0 và có 16 mẫu vào làm cho bít này bằng 1. Với các bít vào từ bít thứ hai đến bít thứ 5 thì điều này không còn đúng nữa. Tuy nhiên phân bố kết quả vẫn gần với phân bố đều. Chính xác hơn, với một hộp S bất kì, nếu ta cố định giá trị của một bít vào bất kì thìsố mẫu vào làmcho một bítra cố định nàođó có giátrị 0 (hoặc 1) luônnằmtrongkhoảngtừ13đến19).
Người ta không biết rõ là liệu có còn một chuẩn thiết kế nào đầy đủ hơn đượcdùng trongviệcxâydựnghộpShaykhông.
Sự phản đối xác đáng nhất về DES chính làkích thước củakhông gian khoá: 256là quá nhỏ để đảm bảo an toàn thựcsự. Nhiều thiết bi chuyên dụng đã được đè xuất nhằm phục vụcho việc tấn công vớibản rõ đã biết. Phép tấn công này chủ yếu thựchiện tìm khoá theo phương pháp vét cạn. Tức với bản rõ x64 bítvà bảnmã ytương ứng, mỗikhoá đềucó thểđược kiểmtra chotới http://www.ebook.edu.vn 66
khi tìm được một khoá K thảo mãn eK(x) = y. Cần chú ý là có thể có nhiều hơn mộtkhoáKnhưvậy).
Ngay từ năm 1977, Diffie và Hellman đã gợi ý rằng có thể xây dựng
một chíp VLSI (mạch tích hợp mật độ lớn) có khả năng kiểm tra được
106khoá/giây. Một máy có thể tìm toàn bộ không gian khoá cỡ 106 trong khoảng 1ngày.Họước tínhchiphíđểtạomột máynhưvậykhoảng2.107$.
Trong cuộc hội thảo tại hội nghị CRYPTO’93, Michael Wiener đã đưa ra một thiết kế rất cụ thể về máy tìm khoá. Máy này có khả năng thực hiện đồng thời16phép mãvà tốcđộtới 5×107 khoá/giây.Với công nghệhiện nay, chi phí chế tạo khoảng 10,5$/khung. Giá của một khung máy chứa5760 chíp vào khoảng 100.000$ và như vậy nó có khả năng tìm ra một khoá của DES trong khoảng 1,5 ngày. Một thiết bị khung 10 khung máy như vậy có giá chừng106$sẽgiảmthờigiantìmkiếmkhoátrngbình xuốngcòn3,5giờ.