Phân phối xác suất của các giá trị kiểm tra chính của khóa 3DES là gì?

Chúng tôi không biết, nhưng chúng tôi tin chắc rằng nó không thể phân biệt bằng máy tính với đồng phục.

Các giá trị kiểm tra khóa bạn sử dụng có phải là 64 bit không (AFAIK, không có 'thuật toán kiểm tra khóa' tiêu chuẩn cho 3DES); nếu vậy, tốt, 64 bit chắc chắn là không đủ nếu có thể xảy ra các cuộc tấn công va chạm và nó có giá trị đáng ngờ nếu các cuộc tấn công tạo ảnh trước (nghĩa là tìm khóa thứ hai có cùng giá trị kiểm tra là khóa này).

Một vấn đề (thậm chí) lớn hơn với PKCS#11 KCV tiêu chuẩn là chúng chứa mã hóa của tất cả thông báo đầu vào bằng không. Bây giờ, nếu bạn sử dụng chế độ CTR, bạn sẽ thấy rằng giá trị bộ đếm ban đầu có số không bằng 0 (và do đó bộ đếm bằng 0) cũng bằng không. Nói cách khác: bạn trực tiếp rò rỉ byte của luồng khóa. Lẽ ra họ chỉ nên sử dụng chức năng một chiều, chẳng hạn như SHA-1.

Tôi nghĩ rằng nhận xét của poncho khá tốt về câu hỏi; nếu điều này được áp dụng tùy thuộc vào trường hợp sử dụng của bạn (ví dụ: số lượng byte được lưu giữ của KCV, nếu kẻ tấn công có thể kích hoạt việc sử dụng nhiều khóa, v.v.). Lưu ý rằng 3DES có một số nhược điểm vốn có của kích thước khối nhỏ. Tôi muốn sử dụng chức năng một chiều với kích thước đầu ra lớn hơn. Ngay cả SHA-1, HMAC-SHA-1 hoặc KDF có liên quan sẽ tốt hơn nhiều so với KCV (160 bit so với 64 bit), ngay cả với DES ba khóa 2 phím.Hàm dựa trên SHA-256 thậm chí sẽ tốt hơn, nhưng tôi cho rằng bạn bị hạn chế sử dụng các thuật toán cũ nếu bạn vẫn phải sử dụng 3DES...

Cảm ơn, điều đó có ý nghĩa. Đối tác gửi khóa cho tôi yêu cầu 3DES nhưng tôi có thể sử dụng khóa SHA-256. Hóa ra là tôi sẽ sử dụng một thiết kế khác. Không có gì đảm bảo rằng đối tác không gửi cho tôi khóa gửi hai lần, để sử dụng vào hai trường hợp khác nhau, điều này khiến việc có ID cho khóa trở nên vô ích.

Câu hỏi này là trong các ngôn ngữ khác: