p align="justify"> Великі держави можуть мати обчислювальні засоби, для злому DES методом грубої сили (розмір ключа в DES 56 значущих біт). У такому випадку злом Double DES методом зустрічі посередині всього в 2 рази складніше, ніж повний перебір ключів звичайного DES, що незрівнянно менше 2 112 можливих варіантів В« подвійного В»ключа [10].
2.3 Диференціальний криптоаналіз
Як видно з назви, даний метод пов'язаний з обчисленням різниці. Дійсно, в даному випадку беруться дві пари відкритий] шифрований текст, вводитися деяка функція різниці між двома текстами, і вироблятися спостереження, як значення цієї функції змінюється після шифрування. p align="justify"> Операції перестановки і XOR (у тому числі з ключем), практично не впливають на різницю (її легко обчислити), тому зміна різниці в основному характеризує роботу S-блоків. p align="justify"> Проаналізувавши статистичними методами можливі значення S-блоків, можна зробити деякі припущення про ключі. [11]
Даний метод докладно описаний в [16]. Основна процедура ДКА r-циклічного шифру з використанням обраних відкритих текстів може бути наступною:
. На етапі передобчислювання шукаємо безліч (r-1)-циклових диференціалів (a 1 , b 1 ) r-1 , (a 2 , b 2 ) r-1 , .... (A s , b s ) r-1 . Упорядковуємо це безліч диференціалів за величиною їх ймовірності.
. Вибираємо відкритий текст x довільним чином і обчислюємо x * так, щоб різниця між x і x * дорівнювала a 1 . Тексти x і x * шифрується на дійсному ключі і після r циклів отримуємо пару Шифртекст y (r), y * (r). Припускаємо, що на виході передостаннього (r-1)-ого ​​циклу різниця Шифртекст дорівнює найбільш вірогідною: D y (r-1) = b 1 . Для трійки (D y (r-1), y (r), y * (r)) знаходимо кожне можливе ( якщо їх декілька) значення підключа останнього циклу до (r) . Додаємо його до кількості появ кожного такого значення підключа до (r) .
. Повторюємо п.2 доти, поки одне або кілька значень підключа до (r)