Redigerer Trippel DES

{{Infoboks blokkchiffer
| navn          = Trippel DES
| bilde         = [[Fil:3des-overall-view.png|thumb|280px|center]]
| bildetekst    = Bruk av DES tre påfølgende ganger.
| utviklere     = [[IBM]]
| publiseringsdato = [[1978]]
| derivert av   = [[Data Encryption Standard|DES]]
| deriveert til = 
| nøkkelstørrelse = 112 (2TDES) eller 168 bit (3TDES)
| blokkstørrelse    = 64 bit
| struktur      = [[Feistel-chiffer]]
| runder        = 48 DES-tilsvarende runder
| kryptoanalyse = Flaks: 2<sup>32</sup> kjente klartekster, 2<sup>113</sup> operasjoner inkludert 2<sup>90</sup> DES krypteringer, 2<sup>88</sup> hukommelse; Biham: finn en av 2<sup>28</sup> målnøkler med en håndfull utvalgte klartekster per nøkkel og 2<sup>84</sup> krypteringer}}

Innen [[kryptografi]] er '''Trippel DES''' et [[blokkchiffer]], avledet av [[DES|Data Encryption Standard]] ved å bruke [[DES]] kryptering tre ganger.

==Forkortelser==
Trippel DES er også kjent som '''TDES''', '''3DES''' eller, mer standardisert, '''TDEA''' ('''T'''riple '''D'''ata '''E'''ncryption '''A'''lgorithm<ref>NIST, [http://csrc.nist.gov/publications/nistpubs/800-67/SP800-67.pdf Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher] {{Wayback|url=http://csrc.nist.gov/publications/nistpubs/800-67/SP800-67.pdf |date=20120504001911 }} ([[PDF]]), Special Publication 800-67.</ref>). Det er vanlig å bruke DES (standarden), for å referere til DEA (algoritmen). Det finnes også varianter av TDES som bruker to forskjellige nøkler ('''2TDES''') og tre forskjellige nøkler ('''3TDES''').

==Algoritme==
Når det ble kjent at en 56-bit nøkkel som er brukt i [[DES]] ikke var nok for å effektivt hindre ''brute force'' angrep, så ble TDES valgt som en enkel måte å øke nøkkelrommet på, uten å måtte bytte til en ny [[algoritme]]. Bruken av tre steg er essensielt for å unngå [[meet-in-the-middle angrep|meet-in-the-middle]] angrep, som på sin side er meget effektive for å bryte dobbel [[DES]] kryptering. Legg merke til at DES ikke er en [[gruppe (matematikk)|gruppe]]; om den hadde vært det, så ville TDES kontstruksjonen vært lik én enkel [[DES]] operasjon, og ikke sikrere.

Den enkleste varianten av TDES fungerer som følger: <math>\textrm{DES}(k_3;\textrm{DES}(k_2;\textrm{DES}(k_1; M)))</math>, hvor <math>M</math> er meldingsblokken som skal krypteres, og <math>k_1</math>, <math>k_2</math>, og <math>k_3</math> er DES nøkler. Denne varianten er vanligvis kjent som EEE fordi alle tre DES operasjonene er krypteringer. For å forenkle interoperabilitet mellom DES og TDES, så blir som regel det midterste trinnet byttet ut med dekryptering (EDE modi): <math>\textrm{DES}(k_3;\textrm{DES}^{-1}(k_2;\textrm{DES}(k_1; M)))</math> og på den måten kan en enkelt DES kryptering med nøkkelen <math>k</math> bli representert som TDES-EDE med <math>k_1 = k_2 = k_3 = k</math>. Valget for dekryptering av det midterste trinnet påvirker ikke sikkerheten i algoritmen.

==Sikkerhet==
Hovedsakelig har TDES med tre forskjellige nøkler (3TDES) en nøkkellengde på 168 bits: tre 56-bit DES nøkler (med paritetsbits har 3TDES en total lagringslengde på 192 bits), men på grunn av [[meet-in-the-middle angrep]] så er den reelle sikkerheten bare på 112 bits. En variant, kalt to-nøkkel TDES (2TDES), bruker k<sub>1</sub> = k<sub>3</sub>, og reduserer derved nøkkellengden til 112 bits, og lagringslengden til 128 bits. Denne metoden, derimot, er utsatt for enkelte angrep med utvalgte klartekster, eller angrep med kjente klartekster<ref>[[Ralph Merkle]], [[Martin Hellman]]: [http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf On the Security of Multiple Encryption] {{Wayback|url=http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf|date=20110927011526}} ([[PDF]]), [[Communications of the ACM]], Vol 24, No 7, pp 465&#x2013;467, July 1981.</ref><ref>[[Paul van Oorschot]], [[Michael J. Wiener ]], ''A known-plaintext attack on two-key triple encryption'', [[EUROCRYPT]]'90, LNCS 473, 1990, pp 318&#x2013;325.</ref> og har derfor bare fått tildelt et sikkerhetsnivå på 80 bits.<ref>NIST, [http://csrc.nist.gov/publications/nistpubs/800-57/SP800-57-Part1.pdf Recommendation for Key Management &mdash; Part 1: general] ([[PDF]]), Special Publication 800-57.</ref>

Frem til [[2005]] så har det beste kjente angrepet på 3TDES krevet omtrent 2<sup>32</sup> kjente klartekster, 2<sup>113</sup> steg, 2<sup>90</sup> enkle DES krypteringer og 2<sup>88</sup> hukommelse<ref>[[Stefan Lucks]]: [http://th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz Attacking Triple Encryption]  {{Wayback|url=http://th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz|date=20051109071329}} ([[PDF]]), [[Fast Software Encryption]] 1998, pp 239&#x2013;253.</ref> (referansen beskriver andre avveiinger mellom tid og hukommelse). Dette er for tiden ikke praktisk gjennomførbart. Hvis en angriper ønsker å finne en av mange kryptografiske nøkler, så finnes det et hukommelseseffektivt angrep som vil finne en av 2<sup>28</sup> nøkler, gitt at man har en håndfull utvalgte klartekster per nøkkel og omtrent 2<sup>84</sup> krypteringsoperasjoner.<ref>[[Eli Biham]]: [http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1996/CS/CS0884.ps.gz How to Forge DES-Encrypted Messages in 2<sup>28</sup> Steps] {{Wayback|url=http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1996/CS/CS0884.ps.gz|date=20051210220928}} ([[PostScript]]), 1996.</ref> Dette angrepet er velegnet for parallellkjøring, og grenser til det som er praktisk gjennomførbart, gitt at man har et milliardbudsjett og flere år på seg for å utføre angrepet, selv om omstendighetene rundt selve gjennomføringen vil være begrenset.

==Bruk==

TDES forsvinner sakte, men sikkert fra vanlig bruk, som oftest erstattet av sin naturlige oppfølger, [[Advanced Encryption Standard|AES]]. Innenfor industrien for elektronisk betalingsformidling benyttes fortsatt 2TDES i stor utstrekning, og fremdeles utvikles og fremmes standarder basert på denne (f.eks. [[EMV]]). Dette garanterer at TDES vil være en aktiv kryptografisk standard langt inn i fremtiden.

Konstruksjonen av [[DES]] og dermed også TDES lider av dårlig effektivitet i programvare. På moderne prosessorer så yter [[Advanced Encryption Standard|AES]] omtrent seks ganger raskere. TDES er bedre egnet å implementere i [[maskinvare]], og det er absolutt på det området TDES brukes i dag (f.eks. [[Virtual private network|VPN]] bokser og mobiltelefoner), men selv der viser [[Advanced Encryption Standard|AES]] seg å være mer effektiv. [[Advanced Encryption Standard|AES]] har betraktelig høyere sikkerhetsmargin ved å ha større blokkstørrelse, potensielt lengre nøkler, og frem til [[2010]], ingen kjente vellykkede kryptoanalytiske angrep.

==Se også==
* [[DES-X]]
* [[Walter Tuchman]]
* [[Horst Feistel]]
* [[Data Encryption Standard]] (DES)
* [[Advanced Encryption Standard]] (AES)

==Referanser==
<references/>
{{Autoritetsdata}}

[[Kategori:Kryptografiske algoritmer]]

[[de:Data Encryption Standard#Triple-DES]]