数据加密标准：过去与未来外文翻译资料

The Data Encryption Standard: Past and

Future

MILES E. SMlD AND DENNIS K. BRANSTAD, MEMBER, IEEE

Invited Paper

The Data Encryption Standard (DES) is the first, and to the pres-ent date, only, publicly available cryptographic algorithm that has been endorsed by the US.Government. This paper deals with the past and future of the DES. It discusses the forces leading to the development of the standard during the early 1970s, the contro-versy regarding the proposed standard during the mid-I970s, the growing acceptance and use of the standard in the 1980s, and some recent developments that could affect the future of the standard.

I. THE BIRTHOF THE DES

A. The Development of Security Standards

In 1972, the National Bureau of Standards, a part of the US. Department of Commerce, initiated a program to develop standards for the protection of computer data. The Institute for Computer Sciences and Technology (ICST), one oftheMajor Operating Unitsofthe National Bureauof Stan-dards, had been recently established in response to a 1965 Federal law known as the BrooksAct(PL89-306)that required new standards for improving the utilization of computers by the Federal Government. Computer security had been identified by an ICST study as one of the high priority areas requiring standards if computers were to be effectively used. A set of guidelines and standards were defined by the ICST that were to be developed as resources became avail-able in computer security. The guidelines were to include areas such as physical security, risk management, contin-gency planning, and security auditing. Guidelines were adequate in areas not requiring interoperabilityamong var-ious computers. Standards were required in areas such as encryption, personal authentication, access control, secure data storage and transmission because they could effect interoperability.

Standards come in different “flavors”: basic, interoper-ability, interface, and implementation.

1) Basic standards (also called ”standards of good prac-ticelsquo;rsquo;) are used to specify generic functions (services, meth-ods, results) required to achieve a certain set of common goals. Examples include standards for purity of chemicals,

Manuscript received June23, 1987; revised February 5, 1988. The authors are with the National Bureau of Standards,

Caithersburg, MD 20899, USA.

IEEE Log Number 8821265.

contents of food products, and in the computer field, struc-tured programming practices.

2) Interoperability standards specify functions and for-mats so that data transmitted from one computer can be properly acted upon when received by another computer. The implementation (hardware, firmware, software) or structure (integrated, isolated, interfaced layers) need not be specified in interoperabilitystandards, since there i s no intent of replacing one implementation or structure within a system with another.

3) Interface standards specify not only the function and format of data crossing the interface, but also include phys-ical, electrical, and logical specifications sufficient to replace one implementation (device, program, component) on either side of the interface with another.

4) Implementation standards not only specify the inter-faces, functions and formats, but also the structure and the method of implementation. These may be necessary to assure that secondary characteristics such as speed, reli-ability, physical security, etc., also meet certain needs. Such standards are often used to permit component replace-ment in an overall system.

Each of the above types of standards was considered for the specification of the DES. A basic standard did not achieve telecommunications interoperability if different algorithms were selected by the communicating parties. Although an interfacestandard wasdesirable in someappli-cations (e.g., data encryption on an RS-232C interface device) it would not be applicable in other applications (e.g., secure mail systems). An implementation standard was rejected because it would restrict vendors from using new technologies. Therefore, the Data Encryption Standard was developed as an interoperability standard, requiring com-plete specification of basic function and format yet remain-ing independent of physical implementation.

B. Public Perception o f Cryptography

Cryptography i s a word that has been derived from the Greek words for “secret writing.” It generally implies that information which is secret or sensitive may be converted from an intelligibleform toan unintelligibleform. The intel-ligible form of information or data i s called plaintext and

US. Government work not protected by U.S. copyright

550 PROCEEDINGS OF THE IEEE, VOL. 76, NO. 5, MAY 1988

the unintelligible form is called ciphertext. The process of converting from plaintext to ciphertext i s called encryption and the reverse process is called decryption. Most cryp-tographic algorithms make use of a secret value called the key. Encryption and decryption are easy when the key is known, but decryption should bevirtually impossible with-out the use of the correct key. The process of attempting to find a shortcut method, not envisioned by the designer, for decrypting the ciphertext when the key i s unknown i s called ”cryptanalysis.”

In the early 1970s, there was little public understanding of cryp

剩余内容已隐藏，支付完成后下载完整资料

数据加密标准：过去与未来

数据加密标准（DES）是首个，也是至今为止唯一一个由美国政府批准的公开可用的加密算法标准。这篇文章涉及到了DES的过去与未来，它讨论了在上世纪70年代早期的一些影响了DES加密标准发展的引导力量，关于在70年代中期被提出的标准一些争议，在80年代时的被接受和应用，以及一些可能影响到加密标准的未来的最近的发展。

1. DES的诞生

A：安全标准的发展

1972年，从属美国国家商务部的国家标准统计局提出了一个项目，意在制定一个保护计算机数据的标准。计算基金科学技术研究所（ICST），作为国家标准统计局的一个主要经营单位，已经在最近成立以应对1965年的一条联邦法律 BrooksAct(PL89-306)，该法律要求新的标准要改善联邦政府的计算机使用。计算机安全已经由ICST的一项研究确定为所需标准的一个高优先级领域，条件是计算机能够有效地利用。指导路线和标准由ICST定义，旨在使计算机安全中的资源变得可用。该指南包括诸如物理安全、风险管理、应急规划，以及安全审计。指南在不需要计算及互动性的领域足够充分。而标准在诸如加密、身份验证、访问控制、数据的安全存储和传输等领域为必需，因为它们可以影响互用性。

标准有不同的“喜好”：基础，互用性，接口，以及实现。

1. 基本标准（也被称作“优秀标准的实例”）用于指定被要求达到具体的共同目标的泛型函数（服务，方法，结果）。具体例子包括化学品纯度，食品内容的标准，以及在计算机领域，构造出的编程实例。
2. 互用性标准指定了功能和格式，从而使得从一台计算机到另一台的数据传输可以正确无误。执行（硬件，固件，软件层）不需要由互用性标准指定，因为在系统内不需要替换执行或结构。
3. 接口标准不仅指定和穿过接口格式的数据的功能，而且还包括足以取代一个接口的任意一方上的执行（设备、程序、组件）的物理，电子，和逻辑规范。
4. 执行标准不仅指定了接口、功能和格式，而且还有结构和执行方式。这些可能对于确保次要特征是必要的，比如速度、可靠性、物理安全等，同时满足具体需求。这种标准常用于在一个整体系统中允许组件替换。

上述每一种标准都被认为是DES的规范。基本标准在使用不同算法进行通信时无法获得通信的互用性。尽管接口标准在一些应用中具有可靠性（例如，在一个RS-232C接口设备上的数据加密），但是它不能被应用在一些其他方面（例如，安全邮件系统）。执行标准被驳回了，因为它会限制使用新技术的供应商。所以，DES数据加密标准作为一种互用性标准，需要有着基本标准的功能和格式而保留物理执行的独立性。

B：密码学的公共认知

密码学一词来源于希腊语的“秘密书写”。它通产意味着这是一条由可读形式转变为不可读形式的信息。信息或数据的可读的形式被称为明文，而不可读形式被称为密文。在转换过程中从明文到密文的加密的逆过程称为解密。大多数密码算法使用被称为密钥的加密方式。当密钥已知，加密和解密是相当容易的，但密钥未知时解密变得几乎不可能。找到一条设计者没有想到的不通过密钥就解密信息的捷径的过程，被称作“密码分析”。

20世纪70年代初期，公众对于密码学几乎没有什么认识。多数人知道军事和情报机构使用特殊的代码或加密设备进行通信，但鲜有了解密码学的科学。IBM启动密码的研究项目是因为认识到需要对终端和计算机之间计算机与计算机之间的信息传输必须得到保护（特别是在传输授权或分配资金时）。

美国几家小公司制造了商用加密设备，大部分是在海外出售。几家主要的公司生产的设备有基于与美国政府的协议，但大多数这种设备的存在被隐藏了起来。

一些大学对于密码学中的数学有着浓厚兴趣，包括斯坦福大学和麻省理工学院。加密算法通常基于数学或统计数据，因此通常是数学家感兴趣的课题。制作和破解加密算法被认为是一项智力挑战。然而，密码学这一块在军事和智力领域之外有一个被限制的针对专业的市场。

国家统计局在计算机安全方面的项目指定了领域需求和标准研发的数目。我们需要的加密算法必须可广泛用于保护许多不同用户的数据传输和储存。这样一种加密算法的需求如此迫切以至于只有一种算法能够被实行和保留，也因此可以很容易地实现互用性。这促进了国家统计局的数据加密项目的发起和首次加密算法候选征集。

C：NBS-NSA-IBM 职能

美国国家标准统计局正式发起了DES数据加密标准项目，并在1973年5月15日的联邦纪事中发布了保护计算机数据的加密算法的征集。这次征集得到的回复表明人们对于研发这样的标准有着兴趣，但是算法中只有很少的技术是公开可用的。NBS开始向国家安全局（NSA）求助：如果收到加密算法就请求其帮助评估，若没有收到更多的算法则让其提供。

D：国际商务机制

公司（IBM）在上世纪60年代末发起了一个计算机密码学方面的调查项目。由霍斯特博士主导的调查活动创造了一个名为路西法的系统。70年代早期，W.塔奇曼博士成为了IBM密码系统研发团队的领袖。这一研发项目的成果是一些出版物，专利，加密算法，和一些产品。其中一个算法就是DES数据加密标准。

IBM在1974年8月的联邦纪事中的第二次算法征集中向NBS提交了加密算法。国家统计局要求，美国国家安全局要针对需求的非官方设置作评估，同时还要求IBM考虑授予非独家、免版税的许可，使用，和销售实行算法的装置。为应对要求，讨论的最佳处理结果由NBS负责执行。

1975年3月17日，距离第一次征集约两年，NBS在联邦纪事中发布了两份通告。第一份，是“对计算机数据保护的加密算法”的提出被完整发布。NBS表示它满足DES数据加密标准算法的基本技术要求。它还通知读者注意美国本身，且国外的专利包含着能覆盖这个算法的实现和使用的声明，并且加密设备和其相关的技术资料可能受到出口控制。第二份通告包含一个IBM的声明，它将授予商务部于1976年9月1日建立了数据加密标准的非独占免税许可证。

1975年8月1日，NBS在联邦纪事上发布了第四份通告，其有关联邦信息流程数据加密标准的提出。联邦专门机构和公众要求对提出的标准作出评论。1975年11月22日，M·Hell-man博士给出了他对于算法的批评言论。“White Deffie和我都开始担心DES的安全性，虽然对于商业攻击来说很安全，但是有可能很容易被情报组织攻破。”Hethen描绘了一种对于所提出算法的“蛮力”攻击方法，这种方法使用特殊的方式“计算机并行运算可以每秒钟进行一百万次运算来尝试一百万个不同密钥”。他估计建造这样的机器的经济成本约为两千万美元。

由于考虑到数据加密标准必须提供充分的加密保护，国家统计局将继续评估算法、私营和公共部门的安全需求，以及发行标准的选择。最后，国家统计局推行的标准发布于1977年1月15日。该标准包括了NBS每五年复审一次的规定。

1. DES的争议

A：多长才够长？

DES的安全性争论引发了基本安全问题的考虑，也就是安全性多高才足够好，多长才足够长的问题。每一个实际的安全系统必须在安全性，成本（初始化，操作，维护）和用户“友好”方面被评估。这些因素在所提出的标准的评估中被深入研究。

DES的有效密钥长度是56位并且算法的直接“工作因素”是256位(即，密钥的数量必须是256或大约7.6 x。赫尔曼和Diffie就此有所争论，在具体情况下，对称算法的特点将这个数字削减到一半，而且平均只有一半的数量才必须被尝试以找出正确的密钥。他们还指出，增加8位密钥长度将“甚至超过情报机构的lsquo;预算rsquo;”。但“减少8位密钥的长度将降低成本...使系统变得容易遭受几乎任何可能规模的组织的攻击。“因此认为，密钥的长度是提出算法能够提供的最大安全性的关键所在。

B：S盒子与陷阱门

对于所提出标准的第二个批评是，该算法基于8个为一组的固定的替换表，或者S盒子来用于加密和解密。有人认为，由于基于盒子设计的算法不是公开可用的，可以选择这样一种方式以隐藏“陷阱门”。争议在于选择盒子的个人或组织可能会能够解密算法而其他人则不能。

C：决议

综上所述，国家统计局、国家安全局和IBM在DES数据加密标准的研发中是主要机构。自国家统计局发起DES数据加密标准的研发项目以来，国家统计局负责确保该标准满足所有的需求，而且在巨大的应用需求数量下可以为多数潜在用户所接受。国家统计局继续估算标准的需求量，并分析该标准的安全性问题，评估调整或替换该标准的成本与收益。参与标准提出和开发的主要机构决定，经过两年的评估，依据公共同行评审过程才能做出最终决定。国家统计局负责组建两个工作组，一个用数学方法来分析“陷阱门”问题，另一个负责在经济方面做出权衡，增加其密钥长度来改善算法。算法的设计师，评价者，执行者，供应商和潜在用户，随着该标准的评论家，被邀请进入两个工作组。许多数学家也应邀进入数学分析方面的工作组。

工作组相当活跃。评论家们被给予了向观众陈述自己的担忧的机会。设计师指出，一部分设计标准已经被分类，但是在设计中有许多标准。评估人员给出了他们的评估结论。执行者表示他们需要一种标准来佐证实行成本，而用户则表示他们希望能够尽快解决问题以便有效地加密保护他们的加密数据。

工作组立刻作出了不作任何修订就发布标准的决定。算法中没有“陷阱门”问题被发现。算法的潜在用户和供应商们同意此决定，尽管密钥长度可以在很小的成本增加基础上增加长度，但他们已经根据未来10 - 15年的需求而做出了充分考虑。

也有观点认为任何密钥长度的变化都有可能使得算法的实行对于所有的潜在市场变得不可行。正是因此，才会建议每五年复审一次标准以保证其能够满足所有的应用需求。这一建议已经在1983年实行过一次，且在1988年实行了第二次。

1. 被政府和商业机构接受

A：无攻击论证

尽管DES数据加密标准的安全性饱受争议，但是今天这仍是最被广泛接受的公开可用的加密算法。而且除了RSA公开算法这个原因之外，如另一篇论文中所述，DES甚至没有一个可以成为对手的竞争者。这两个原因是DES被接收的主要原因。

首先，除却所有的发现或预测缺陷的声明，没有人能够证明DES算法有明显的弱点。事实上，只有认真发起对算法的攻击，穷举所有的密钥直到找到正确的密钥这一种破解方法。这种方法正是设计师希望他们的敌人将被迫尝试的。如果可能的密钥数量足够大，使得找到正确密钥极其困难来阻止攻击者找到正确的的密钥，那么设计者就成功地让算法提供了足够的安全性。今天，破解最安全的应用的成本远远达不到破解DES所需的几千万美元。

第二，数据加密标准已被接受的原因在于其得到了联邦政府的支持。没有其他任何公开可用的算法能得到美国政府的支持。联邦政府机构被要求使用DES保护未分类数据，但私营部门也同样采用了DES加密，因为政府的认可意味着可靠地的安全性。因此，DES已成为最被广泛接受的未分类数据的加密保护标准。

B：DES验证

自发布数据加密标准以来，国家统计局已验证了31个不同的硬件和固件的方案，而每年约验证三个方案。而验证芯片的公司则琳琅满目，它们既包含了非常小规模的公司，也有许多美国大型电子企业。方案范围包括了从只实现基本的DES算法的固件可编程只读存储器（PROM），到能够以四千五百万次每秒的速度以多种不同方式运行的电子芯片。各公司的动机也各不相同。一些公司将方案出售给拥有加密设备的其他公司；拥有加密设备的一些公司公司直接销售设备；另外一些则使用他们的设备来为自己的网络安全把关，而不是用于商用。在美国，价格100美元以下的设备上广泛使用了DES加密标准；可以在个人电脑中加密存储和传输数据的DES加密板可以用不到1000美元的价格买到;而独立的加密单位可以以3000美元以内的价格买到。没有其他任何公共可用的加密算法能够拥有如此的泛用性。

数据加密标准要求DES算法在硬件上(或固件)实现应用，但许多个人和公司在软件上编程执行。具体有多少软件执行是未知的。据报道，个人电脑上的最高加密速度最大达到100000位/秒， 最低则是780到2000位/秒。然而，在许多应用程序中，低成本比高性能更重要。一些供应商提供免费版本的DES组装，而国家统计局提供了Fortran和C语言的DES资源用于测试。软件方案的成本主要取决于所提供的依托于算法的软件。

C：DES标准制定组织

DES数据加密标准的广泛接受明显源于制定了基于DES基准标准的组织。由于相信未来的通信和数据存储系统都需要加密保护，而且标准对于实现公共级别的安全性和互用性是必要的，促使五个标准制定组织参与到DES基准加密标准的研发中。这些组织会在许多不同的领域制定标准，包括安全。

1)美国银行业协会(ABA):ABA为他们的成员发展与财务事项相关的自主标准。DES加密技术已经应用在零售和批发银行业务。一般来说，零售银行业务包括个人之间和金融机构之间的金融交易，而批发银行业务涉及金融机构和企业客户之间的交易。自动柜员机和销售点终端会鉴定由客户在交易阶段提交的个人识别码(PINS)。DES被广泛用于保护这些从披露这些公开的数字和交易变化中包含的信息。批发电子基金转移200万美元是很常见的。美国银行集体转移每天超过4000亿美元。纽约清算所银行同业支付系统(CHIPS)每周需要处理总价值1.5万亿美元的560 000条消息，该系统使用DES来保护信息免受未经授权的篡改。

ABA发布了一份保护敏感数据时D

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[148732]，资料为PDF文档或Word文档，PDF文档可免费转换为Word