트리플 DES

트리플 데이터 암호화 알고리즘

일반
초판	1981
유래	DES
암호 상세
키 사이즈	112 또는 168비트
블록 크기	64비트
구조.	파이스텔 네트워크
라운드	48 DES 상당 라운드
최고의 퍼블릭 암호 분석
행운: 알려진32 2개의 평문113, 2개의 DES 암호화88, 2개의 메모리를 포함한90 2개의 조작, Biham: 키당 몇 개의 평문 선택과84 2개의 암호화로 2개의 타깃 키 중 하나를28 찾습니다.

암호학에서 Triple DES(3DES 또는 TDES)는 공식적으로 Triple Data Encryption Algorithm(TDEA 또는 Triple DEA)이라는 대칭키 블록 암호로 각 데이터 블록에 DES 암호 알고리즘을 3회 적용합니다.Data Encryption Standard(DES; 데이터 암호화 표준)의 56비트 키는 최신 암호 분석 기술과 슈퍼 컴퓨팅 능력 앞에서 더 이상 적절하지 않습니다.2016년에 출시된 CVE, CVE-2016-2183에서는 DES 및 3DES 암호화 알고리즘의 주요 보안 취약성이 공개되었습니다.이 CVE는 DES 및 3DES의 부적절한 키 크기와 함께 NIST는 2017년 신규 애플리케이션 및 2023년까지 모든 애플리케이션에 대해 DES 및 3DES를 권장하지 않습니다.보다 안전하고 견고한 AES로 대체되었습니다.

정부 및 업계 표준에서는 알고리즘의 이름을 TDES(Triple DES) 및 TDEA(Triple Data Encryption Algorithm)^[1]로 약칭하고 있지만 RFC 1851에서는 아이디어를 처음 발표한 시점부터 3DES로 표기하고 있으며 이후 대부분의 벤더, 사용자 및 ^[2][3][4][5]암호학자에 의해 널리 사용되고 있습니다.

역사

1978년, Walter Tuchman에 의해 56비트 키 2개를 가진 DES를 사용하는 트리플 암호화 방식이 제안되었습니다. 1981년 Merkle과 Hellman은 112비트의 ^[6]보안을 갖춘 보다 안전한 3DES 버전을 제안했습니다.

표준

트리플 데이터 암호화 알고리즘은 다음과 같은 표준 문서에서 다양하게 정의되어 있습니다.

• RFC 1851 ESP 트리플 DES^[7] 트랜스폼(1995년 승인)
• ANSI ANS X9.52-1998 트리플 데이터 암호화 알고리즘 동작^[8] 모드(1998년 승인, 2008년 철회^[9])
• FIPS PUB 46-3 Data Encryption Standard(DES;^[10] 데이터 암호화 규격)(1999년 승인, 2005년^[11] 철회)
• NIST TDEA(Triple Data Encryption Algorithm) 블록 암호에 대한 NIST 특별^[12] 간행물 800-67 개정 2 권고(2017년 승인)
• ISO/IEC 18033-3:2010: 제3부: 블록 암호^[13] (2005년 승인)

알고리즘.

원래 DES 암호의 키 크기인 56비트는 이 알고리즘이 설계되었을 때 일반적으로 충분했지만, 연산 능력의 증가로 인해 무차별 공격도 가능했습니다.트리플 DES는 완전히 새로운 블록 암호 알고리즘을 설계할 필요 없이 이러한 공격으로부터 보호하기 위해 DES의 키 크기를 늘리는 비교적 간단한 방법을 제공합니다.

짧은 키 길이(DES 등)로 블록 암호화 알고리즘의 강도를 높이기 위한 간단한 접근법은 1개가 아닌 2개의 키$($1,$$2)를$사용$하여 각 블록을 2회 암호화하는 것입니다.${\displaystyle E_{}}$ K ${\displaystyle 2_{}}$( ${\displaystyle E_{}}$ ${\displaystyle {\mathrm{K}}_{}}$1 ( ${\displaystyle \text{plaintext}}$) $){$ $displaystyle E_{K2}(E_{K1}({\textrm {plaintext$ 원래 키 길이가 $(\displayn})$비트인$$ 경우 이 스킴은 $키{\displaystyle \mathrm{}}$ $(\style 2n)$비트를$$ 사용하는 것과 동등한 보안을 제공합니다.유감스럽게도 이 접근법은 중간자와의 만남 공격에 취약합니다.${\displaystyle {기존}_{}}$의 평문쌍$({\displaystyle x}$,${\displaystyle y}$) { $displaystyle ($${\displaystyle x_{}}$$, y$ )$$ { displaystyle ${\displaystyle y}$ _ { $K 2$ ( x )$}$ { $displaystyle$y _ { ${\displaystyle {\mathrm{K2}}_{}}$} ( $e$ { $K1$} ( x ) $\}$ { displaystyle ${\displaystyle {}_{}}$} ） 、 1 、 ${\displaystyle K}$ 、 1 、 、 、 ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( (${\displaystyle 1}$ 、 1${\displaystyle }$。}단계는$$ $2n(\$})의 스텝이 아니라 $2n(\displaystyle$2n$$)의 키를 가진 ${\displaystyle \mathrm{이상적}}$인 보안 $알고리즘$에서 기대할 수 있습니다$.$

따라서 Triple DES는 ${\displaystyle \mathrm{K1}}($패리티 비트 제외), $(디스플레이 스타일$ K2$)$ $및{\displaystyle }$ ${\displaystyle \mathrm{K3}}($$디스플레이 스타일$ K3$)$의 3개의 DES 키로 구성된 "키 번들"을 사용합니다.암호화 알고리즘은 다음과 같습니다.

$(\displaystyle\textrm{text}=E_{K3}(D_{K2}(E_{K1}({\textrm {param text}})))}$

즉, DES는 $(\displaystyle$K1$)$로 암호화하고 DES는 ${\displaystyle \mathrm{K2}}(\backslash$$displaystyle$ K2$)$로 복호화하며 DES는 ${\displaystyle \mathrm{K3}}(\backslash$$displaystyle$ K3$)$로 암호화합니다.

복호화는 그 반대입니다.

$({displaystyle {plaintext}}=D_{K1}(E_{K2}(D_{K3})({\textrm {plaintext}})).}$

즉, ${\displaystyle \mathrm{K3}}(\backslash$$displaystyle$ K3$)$로 복호화하고 ${\displaystyle \mathrm{K2}}(\backslash$$displaystyle$ K2$)$로 복호화한 다음 ${\displaystyle \mathrm{K1}}(\backslash$$displaystyle$ K1$)$로 복호화합니다.

각 3중 암호화는 64비트의 데이터를 1블록씩 암호화합니다.

두 경우 모두 중간 연산은 처음과 마지막의 역연산이 됩니다.이것에 의해, 키 입력 옵션2 를 사용할 때의 알고리즘의 강도가 향상해, 키 입력 옵션3과의 DES와의 하위 호환성이 실현됩니다.

키 입력 옵션

표준에서는 다음 3가지 키잉옵션을 정의합니다.

키 입력 옵션 1

3개의 키는 모두 독립적입니다.3TDEA^[14] 또는 트리플렝스 ^[15]키라고도 합니다.

이것은 3 × 56 = 168의 독립 키 비트로 가장 강력합니다.중간자와의 만남 공격에 여전히 취약하지만 공격에는 두 가지 단계가^{2 × 56} 필요합니다.

키 입력 옵션 2

K와₁₂ K는 독립적이며₃ K = K₁. 2TDEA^[14] 또는 이중 길이 ^[15]키라고도 합니다.

이로 인해 키 길이가 112비트로 짧아지고 DES 옵션1과 키잉 옵션1이 합리적으로 타협할 수 있게 됩니다.^[16]상기와 같은 주의사항이 있습니다.이는 공격에 2단계만 필요한⁵⁶ "double DES"에 비해 개선된 것입니다.NIST는 이 ^[14]옵션을 권장하지 않습니다.

키 입력 옵션 3

K = K₂ = K₃ = K 등₁ 3개의 키는 모두 동일합니다.

이것은, 2개의 조작이 취소되기 때문에, DES 와의 하위 호환성이 있습니다.ISO/IEC 18033-3은 이 옵션을 허용하지 않았으며, NIST는 더 이상 K = K₂ 또는₂ K =^[14][12] K를₃ 허용하지₁ 않습니다.

각 DES 키는 8개의 홀수 패리티 바이트로, 56비트의 키와 8비트의 ^[8]오류 검출이 포함됩니다.키 번들에는 옵션1의 경우 24바이트, 옵션2의 경우 16바이트, 옵션3의 경우 8바이트가 필요합니다.

또한 NIST(및 Trusted Platform Module에 대해 승인된 알고리즘의 현재 TCG 사양 버전 2.0)에서는 64비트 이후의 값 중 하나를 모든 키에 사용할 수 없습니다(이 중 32개는 다른 32개의 바이너리 보완 키입니다.또, 이 중 32개는 다른 32개의 바이트의 역순열입니다).xadecimal (각 바이트에서 최하위 비트는 홀수 비트 생성 비트입니다.유효한 56비트키를 형성하면 폐기됩니다)

01.01.01.01.01.01.01, FE.FE.FE.FE.FE.FE.FE.FE.FE.FE, E0.FEFE.E0.F1.FE.F1, 1F.01.01.1F.0E.01.0E, 01.01.FE.01.01.FE, FEFE.01.01.FE.01.01, E0.FE.01.1F.F1.FE.01.0E, 1F.01.FE.E0.0E.01FE.F1, 01.01E0.E0.01.01.F1.F1, FEFE.1F.1FFE.FE.0E, E0.FE.1F.01.F1.FE.0E.01, 1F.01.E0.FE.0E.01.F1.FE, 01.01.1F1F.01.0E.0E, FEFE.E0.E0.E0.FE.F1F1, E0.FEE0.FE.F1.FE.F1.FE, 1F.01.1F.01.0E.01E.01, 01.FE.01.FE.01.FE.01.FE, FE.01.FE.01.FE.01.FE.01, E0.01FE.1F.F1.01.FE.0E, 1FFE.01.E0.0EFE.01.F1, 01.FE.01.01.FE.01, FE.01.01FE.01.01.FE, E0.01.01.E0.F1.01.01.F1, 1F.FEFE.1F.0EFE.0E, 01FE.E0.1F.01.FE.F1.0E, FE.01.1FE0.FE.01.0EF1, E0.011FE.F1.01.0EFE, 1F.FE.E0.01.0EFE.F1.01, 01FE.1F.E0.01.FE.0E.F1, FE.01E0.1F.FE.01.F1.0E, E0.01E0.01.F1.01.F1.01, 1FFE.1FE.0EFE.0E.FE, 01E0.01.E0.01.F1.01.F1, FE.1FFE.1FE.0EFE.0E, E0.1FFE.01.F1.0EFE.01, 1FE0.01.FE.0EF1.01.FE, 01.E0.FE.1F.01.F1.FE.0E, FE.1F.01.E0.FE.0E.01.F1, E0.1F.01.FE.F1.0E.01.FE, 1F.E0.FE.01.0E.F1.FE.01, 01.E0.E0.01.01.F1.F1.01, FE.1F.1FFE.0E.0EFE, E0.1F1F.E0.F10E.0E.F1, 1FE0.E0.1F.0EF1.F1.0E, 01.E0.1F.FE.01.F1.0E.FE, FE.1FE0.01.FE.0EF1.01, E0.1FE0.1F.F1.0EF1.0E, 1FE0.1F.E0.0EF1.0E.F1, 01.1F.01.0E.01E, FEE0.FE.E0.FE1.FEF1, E0.E0.FE.F1F1.FE.FE, 1F.1F.01.01.0E.0E.01.01, 01.1FFE0.01.0EFE.F1, FEE0.01.1FFE.F1.01.0E, E0.E0.01.01.F1.F1.01.01, 1F.1FFE.0E.0EFE, 01.1FE0.FE.01.0EF1.FE, FEE0.1F.01.FE.F1.0E.01, E0.E0.1F.1FF1.F1.0E.0E, 1F.1FE0.E0.0E.0EF1.F1, 01.1F1F.01.0E.0E.01, FE.E0.E0.FEFE.F1.F1.F1.FE, E0.E0.E0.E0.F1.F1.F1.F1, 1F.1F.1F1F.0E.0E.0E,

허용된 키에 대한 이러한 제한으로 Triple DES는 키 입력 옵션1과 키 입력 옵션2만으로 재승인되었습니다.일반적으로 3개의 키는 강력한 랜덤 생성기에서24바이트를 취득하여 생성되며 키 입력 옵션1만 사용해야 합니다(옵션2는 16개의 랜덤바이트만 필요하지만 강력한 랜덤 생성기는 단언하기 어렵고 옵션1만 사용하는 것이 베스트 프랙티스로 간주됩니다).

여러 블록 암호화

모든 블록 암호와 마찬가지로, 여러 블록의 데이터 암호화 및 복호화는 일반적으로 블록 암호 알고리즘과는 독립적으로 정의될 수 있는 다양한 동작 모드를 사용하여 수행할 수 있습니다.그러나 ANS X9.52에는 직접 명시되어 있으며, NIST SP 800-67에는^[17] SP 800-38A를 통해 일부 모드는 해당 모드의 일반 사양에 적용되지 않는 특정 제약 조건에서만 사용되어야 한다고 명시되어 있습니다.예를 들어 ANS X9.52는 암호 블록 체인의 경우 초기화 벡터는 매번 달라야 하지만 ISO/IEC 10116은^[18] 달라야 한다고 규정하고 있습니다.FIPS PUB 46-3 및 ISO/IEC 18033-3에서는 단일 블록 알고리즘만 정의하고 여러 블록의 동작 모드에는 제한을 두지 않습니다.

보안.

일반적으로 3개의 독립된 키(키옵션 1)를 가진 트리플 DES의 키 길이는 168비트(3개의 56비트 DES 키)이지만, 미트인더미들 공격에 의해 유효한 보안은 112비트밖에 ^[14]되지 않습니다.키 입력 옵션2는 유효 키 크기를 112비트로 줄입니다(세 번째 키가 첫 번째 키와 같기 때문입니다).단, 이 옵션은 특정 선택 플레인텍스트 또는 기존 플레인텍스트 ^[19][20]공격에 취약하기 때문에 NIST에 의해 보안은 ^[14]80비트만 사용하도록 지정되어 있습니다.이는 안전하지 않은 것으로 간주될 수 있으며, 그 결과 2017년 ^[21]NIST에 의해 트리플 DES가 폐지되었다.

블록 사이즈가 64비트로 짧기 때문에 3DES가 같은 키로 대량의 데이터를 암호화하는 데 사용될 경우 블록 충돌 공격에 취약해집니다.Sweet32 공격은 TLS 및 OpenVPN에서 ^[22]이를 어떻게 이용할 수 있는지를 보여줍니다.TLS에서 3DES 기반의 암호 스위트32를 공격하려면 전체 공격에 ${\displaystyle {\mathrm{2개}}^{}}$의 36$.$6 ${\displaystyle {\mathrm{블록}}^{}}$($785GB$$)$이 $필요$했지만 연구자들은 불과 25분밖에 걸리지 않은 약 ${\displaystyle {\mathrm{2개}}^{}}$의$20개의 블록$ 직후에 충돌할 수 있었습니다.

TDEA의 보안은 1개의 키번들로 처리되는 블록 수에 영향을 받습니다.${\displaystyle {220}^{}}$({$displaystyle$ 2$^{20})$ $이상$의 64비트$$ 데이터 블록을 암호화하기 위해 하나의 키 번들을 사용할 수 없습니다.

--

OpenSSL은 버전 1.1.0(2016년 8월) 이후 기본적으로 3DES를 포함하지 않으며 "취약 암호"^[23]로 간주합니다.

사용.

전자결제업계는 Triple DES를 사용하고 있으며 EMV 등 ^[24]이를 기반으로 한 표준을 개발 및 공표하고 있다.

이전 버전의 Microsoft OneNote,^[25] Microsoft Outlook^[26] 2007 및 Microsoft System Center Configuration Manager^[27] 2012는 트리플 DES를 사용하여 사용자 콘텐츠 및 시스템 데이터를 비밀번호로 보호합니다.그러나 2018년 12월 마이크로소프트는 Office 365 서비스를 ^[28]통해 3DES의 폐기를 발표했습니다.

Firefox 및 Mozilla^[29] Thunderbird는 마스터 비밀번호를 사용할 때 CBC 모드에서 Triple DES를 사용하여 웹 사이트 인증 로그인 자격 정보를 암호화합니다.

실장

다음은 Triple DES를 지원하는 암호화 라이브러리 목록입니다.

• 보탄
• 번시 캐슬
• cryptlib의
• 암호++
• libgcrypt
• 쐐기풀
• OpenSSL
• wolfSSL
• Trusted Platform Module(일명 TPM, 하드웨어 구현)

위의 일부 구현에서는 기본 빌드에 3DES가 포함되어 있지 않거나 최신 버전이 포함되어 있을 수 있습니다.

「 」를 참조해 주세요.

• DES-X
• Advanced Encryption Standard(Advanced Encryption Standard)
• 파이스텔 암호
• 월터 터치먼

레퍼런스 및 메모