On the security of 2-key triple DES

Each language version is independently generated for its own context, not a direct translation.

De Kernboodschap: De "Dubbele Slot" is niet zo veilig als we dachten

Stel je voor dat je een zeer waardevol geheim wilt bewaren. Om het veilig te houden, gebruik je een oude, maar vertrouwde methode: je doet het geheim in een kist, sluit die met Sleutel A, open hem weer met Sleutel B, en sluit hem daarna weer met Sleutel A. Dit heet "2-sleutel Triple DES".

Jarenlang dachten beveiligingsexperts: "Dit is veilig genoeg, zolang we maar regelmatig de sleutels (A en B) verwisselen." Ze schatten dat het breken van dit slot ongeveer 80 jaar zou kosten voor een hacker (in computerkracht uitgedrukt).

Maar Chris Mitchell, de auteur van dit artikel, zegt: "Nee, die schatting is te optimistisch. Het slot is veel makkelijker te kraken dan we dachten."

Hij laat zien dat hackers een slimme truc hebben gevonden om dit oude slot sneller te openen, zelfs als je de sleutels vaak verwisselt. Hieronder leg ik uit hoe dat werkt, met een paar creatieve vergelijkingen.

1. De Oude Truc: Het "Gokspel"

De oude manier om dit slot te kraken (de aanval van van Oorschot en Wiener uit 1990) was als volgt:
Stel je voor dat je een berg poststukken hebt die met dit slot zijn verzegeld. De hacker probeert een willekeurige code (een "A") te raden. Als die code toevallig overeenkomt met wat er in het slot zit, kan de hacker de rest van de sleutels snel vinden.

Het probleem: De kans dat je de juiste code raadt, is heel klein. Je moet dus miljarden poststukken hebben die allemaal met dezelfde sleutels zijn verzegeld, voordat je een kans van slagen hebt.
De oude conclusie: "Zolang we de sleutels vaak genoeg verwisselen, hebben we nooit genoeg poststukken van dezelfde sleutel. Dus zijn we veilig."

2. De Nieuwe Truc: De "Collectieve Berg"

Mitchell laat zien dat de hacker niet meer hoeft te wachten tot er miljarden poststukken met één sleutel zijn. Hij kan nu een mix gebruiken.

De Analogie: Stel je voor dat je in een stad woont waar iedereen een ander slot gebruikt. De oude hacker dacht: "Ik kan pas kraken als ik 1 miljard brieven heb van één specifieke buurman."
De nieuwe aanpak: De nieuwe hacker zegt: "Ik pak 1 miljard brieven van alle buren in de stad." Hij maakt een enorme lijst van alles wat hij ziet. Door slimme wiskunde kan hij nu patronen vinden die hem vertellen hoe de sloten van de individuele buren werken, zelfs als hij maar een paar brieven van elke buurman heeft.

Conclusie: Het regelmatig verwisselen van sleutels helpt niet meer om de kans op kraken te verkleinen. Het helpt alleen maar om de schade te beperken als de hacker erin slaagt.

3. De "Spiegel-Truc" (Complementaire Eigenschap)

DES (de basis van dit systeem) heeft een rare eigenschap: als je de sleutel en het bericht "omdraait" (als een spiegelbeeld), krijg je een spiegelbeeld van het resultaat.

De Analogie: Stel je voor dat je een sleutel probeert te maken. Normaal moet je elke sleutel één voor één testen. Maar door deze spiegel-eigenschap, kun je met één test eigenlijk twee sleutels tegelijk testen.
Het effect: Dit verdubbelt de snelheid van de hacker. Het is alsof je een auto hebt die twee keer zo snel rijdt als je dacht.

4. De "Gok met Onvolledige Informatie"

Vaak weten hackers niet precies wat er in een brief staat, maar wel een groot deel. Bijvoorbeeld: ze weten dat de eerste 56 letters van een wachtwoord bekend zijn, maar de laatste 8 zijn een geheim getal (zoals een PIN-code).

De oude aanpak: "Ik kan dit niet gebruiken, want ik ken de volledige tekst niet."
De nieuwe aanpak: Mitchell zegt: "Geen probleem. Ik maak voor die ene brief 256 kopieën, waarbij ik elke mogelijke PIN-code invul. Ik heb nu 256 'foute' brieven en 1 'juiste' brief."
Het resultaat: De hacker voegt al die 256 brieven toe aan zijn lijst. De computer is slim genoeg om de 255 fouten eruit te filteren en de ene juiste te vinden. Hierdoor kan de hacker nu ook brieven kraken waarvan hij de inhoud niet volledig kent.

Wat betekent dit voor de wereld?

De "80-bit" veiligheid is een illusie: De schatting dat dit systeem 80 bits veilig is, is niet meer veilig. Het is alsof je denkt dat je muur 10 meter hoog is, maar de ladder is eigenlijk 12 meter.
Regelmatig sleutels wisselen is niet genoeg: Veel bedrijven dachten: "We wisselen onze sleutels elke dag, dus we zijn veilig." Mitchell zegt: "Dat is goed voor de privacy, maar het stopt de hacker niet meer."
De financiële wereld in gevaar: Dit systeem wordt nog steeds gebruikt voor creditcards en banktransacties (zoals de EMV-chip). De schrijver waarschuwt dat we dit systeem zo snel mogelijk moeten vervangen.

De Oplossing

De auteur adviseert twee dingen:

Ga over op 3-sleutel Triple DES (drie verschillende sleutels in plaats van twee). Dit is veiliger, maar nog steeds oud.
Ga liever over op AES (een moderner, sneller en veiliger systeem). Dit is als het vervangen van een oud houten hek door een onbreekbare stalen poort met een vingerafdrukscanner.

Samenvattend: Het oude slot dat we al decennia gebruiken, blijkt een zwakke plek te hebben die we over het hoofd zagen. De "veiligheidsmarge" is verdwenen. Het is tijd om te stoppen met het repareren van dat oude slot en een nieuw, modern slot te installeren voordat de hackers het echt openbreken.

Each language version is independently generated for its own context, not a direct translation.

Titel: Over de beveiliging van 2-sleutel Triple DES

Auteur: Chris J. Mitchell (Royal Holloway, University of London)
Datum: Februari 2016 (herzien juli 2016)

1. Het Probleem

Ondanks dat het door veel cryptografen als historisch wordt beschouwd en recentelijk door NIST (National Institute of Standards and Technology) is gedegradeerd, blijft 2-sleutel Triple DES (2K-3DES) wijdverbreid in gebruik, met name in de betalingsindustrie (bijv. EMV-standaarden voor creditcards).

De algemene consensus was dat 2K-3DES ongeveer 80 bits aan beveiliging biedt. Dit werd beschouwd als een conservatieve schatting, gebaseerd op de aanname dat een aanval alleen succesvol zou zijn als een aanvaller een enorme hoeveelheid (bijv. $2^{32}$) bekende tekst/cijferpaarden had die allemaal met dezelfde sleutelpaar waren gegenereerd. De aanbeveling aan gebruikers was om de sleutels regelmatig te wijzigen om dit risico te mitigeren.

Mitchell betwist deze aanname. Hij stelt dat de veiligheidsmarge voor 2K-3DES veel kleiner is dan gedacht en dat de aanbeveling om sleutels regelmatig te wisselen, de kans op succes van cryptanalytische aanvallen niet significant verkleint.

2. Methodologie en Aanvalsstrategieën

Het artikel bouwt voort op de bekende van Oorschot-Wiener-aanval (1990) en introduceert drie cruciale generalisaties en optimalisaties die de efficiëntie van de aanval drastisch verbeteren:

A. Generalisatie: Aanval met meerdere sleutels

De originele aanval vereiste dat alle $n$ bekende tekst/cijferpaarden met één enkele sleutelpaar $(K_1, K_2)$ waren gegenereerd.

Innovatie: Mitchell toont aan dat de aanval even goed werkt als de data is gegenereerd met verschillende sleutelparen.
Implementatie: De aanval wordt aangepast door de data te labelen met een sleutel-ID ( $s$ ). De tabellen in de aanval worden uitgebreid met deze labels.
Gevolg: Het regelmatig wisselen van sleutels (zoals aanbevolen door ISO/NIST) biedt geen bescherming tegen deze aanval. Een aanvaller kan data van duizenden verschillende sessies combineren om één van de gebruikte sleutels te breken.

B. Benutting van het DES-complementeigenschap

DES heeft een bekende eigenschap: $e_K(P) = \overline{e_{\overline{K}}(\overline{P})}$ . Als zowel de invoer als de sleutel bitgewijs worden gecomplementeerd, is de uitvoer ook gecomplementeerd.

Innovatie: Door deze eigenschap te gebruiken, kan de aanvaller voor elke waarde $A$ (die wordt getest) ook direct de waarde $\overline{A}$ testen.
Gevolg: Dit verdubbelt het aantal effectieve plaintext/ciphertext-paren per iteratie, wat de rekentijd halveert. De complexiteit daalt van $2^{121-t} $naar$ 2^{120-t} $DES-bewerkingen (waarbij$ n=2^t$ het aantal paren is).

C. Gebruik van gedeeltelijk bekende plaintext

In veel praktische scenario's (zoals PIN-blokken in de betalingswereld) is de plaintext niet volledig bekend, maar wel grotendeels (bijv. een rekeningnummer is bekend, alleen de 4-cijferige PIN is onbekend).

Innovatie: In plaats van de aanval te stoppen bij onvolledige data, genereert de aanvaller alle mogelijke plaintext-waarden voor de onbekende bits en koppelt deze aan de bekende ciphertext.
Gevolg: Hoewel dit leidt tot veel "valse" paren, heeft dit een verwaarloosbaar effect op de rekentijd, zolang het totaal aantal gegenereerde paren ( $n \cdot 2^w$ , waarbij $w$ het aantal onbekende bits is) klein blijft ten opzichte van $2^{56}$. Dit maakt de aanval toepasbaar op veel meer realistische scenario's.

3. Belangrijkste Resultaten

Complexiteitsverlaging: Met de gecombineerde verbeteringen kan 2K-3DES worden gebroken met een complexiteit van ongeveer **$2^{120-t} $** DES-bewerkingen en **$ O(2^{t+w}) $** opslagruimte, waarbij$ n=2^t$ het aantal bekende (of gedeeltelijk bekende) paren is.
Praktisch Voorbeeld: Met $2^{32} $(4 miljard) bekende of gedeeltelijk bekende paren, kan een sleutelpaar worden gevonden in slechts **$ 2^{88} $** DES-bewerkingen. Dit is aanzienlijk minder dan de eerder aangenomen$ 2^{89}$ of hoger, en vooral haalbaarder dan gedacht.
Impact op ANSI Retail MAC: De aanval is ook succesvol toegepast op het ANSI Retail Message Authentication Code (MAC). De aanval werkt zelfs als MAC's met verschillende sleutels zijn gegenereerd, wat betekent dat het beperken van het aantal MAC's per sleutel (een standaard mitigatie) niet effectief is tegen deze generalisatie.

4. Significantie en Conclusies

De 80-bits schatting is niet conservatief: De bewering dat 2K-3DES 80 bits beveiliging biedt, is geen veilige ondergrens meer. De veiligheidsmarge is extreem dun.
Sleutelrotatie is onvoldoende: De veelgehoorde raad om "sleutels regelmatig te wisselen" om cryptanalytische aanvallen te voorkomen, is nu weerlegd. Het verkleint alleen de schade na een succesvolle aanval (beperkt tot data van die specifieke sessie), maar vermindert niet de kans dat de aanval zelf slaagt.
Dringende noodzaak tot migratie: Hoewel 2K-3DES niet volledig "gebroken" is in de zin dat het direct leeg is, is de veiligheidsmarge te klein voor moderne eisen.
- De auteur adviseert een dringende migratie naar de 3-sleutel variant (3K-3DES) of, bij voorkeur, naar AES.
- AES biedt niet alleen betere prestaties, maar ook ondersteuning voor 256-bits sleutels, wat bescherming biedt tegen toekomstige kwantumcomputers.

Samenvattend: Dit artikel toont aan dat de beveiliging van 2-key Triple DES aanzienlijk zwakker is dan algemeen werd aangenomen, voornamelijk door de mogelijkheid om data van meerdere sleutels en gedeeltelijk bekende tekst te combineren. Dit ondermijnt de basis van de huidige beveiligingsstandaarden in de betalingsindustrie en vraagt om een snelle overgang naar modernere algoritmen.