7
21

14
46
45
31
20
63

Round15
26
2
50
11
36
33

49
44
18
25
35
58
19
51
42
41
60
9

10
17
52
43
34
57
38
13
55
7
53
20

63
46
21
6
39
45
14
37
54
12
31
5

61
30
29
15
4
47

Round16
18
59
42
3
57
25

41
36
10
17
27
50
11
43
34
33
52
1

2
9
44
35
26
49
30
5
47
62
45
12

55
38
13
61
31
37
6
29
46
4
23
28

53
22
21
7
63
39
<표2.6>
(5)역초기치환과정
.<그림2.9>의16회치환과정을마친R_16L_16값을역치환함수인IP^-1에의해수행되는과정이다.
.최종16회를반복한치환은R_16L_16순서로되어있으나,역초기치환과정을마치면초기입력순서인L_16R_16로된다.아래는IP^-1의테이블을나타낸것이다.

IP^-1

40
8
48
16
56
24
64
32
39
7
47
15
55
23
63
31
38
6
46
14
54
22
62
30
37
5
45
13
53
21
61
29
36
4
44
12
52
20
60
28
35
3
43
11
51
19
59
27
34
2
42
10
50
18
58
26
33
1
41
9
49
17
57
25

(6)3DES
(가)3DES암호화
.3DES는DES를3회반복하는것이며,DES가56비트의암호화키를사용하는데비해3DES는158비트의암호화키를사용하여안전도를높였다.3DES를그림으로나타내면아래의<그림2.12>와같이나타낼수있다.
.아래<그림2.12>의3DES암호화는평문을암호문으로출력하는데있어"암호->복호->암호"에필요한서로다른키를생성하여사용한다.
<그림2.123DES암호화>
(나)3DES복호화
.<그림2.13>의3DES복호화는암호문을평문으로출력하는데있어"복호->암호->복호"에필요한서로다른키를생성하여사용한다.복호화에사용되는키값은암호화에사용된키값과반대로사용하게된다.
<그림2.133DES복호화>
(7)DES의운용모드
(가)ECB(ElectronicCodeBook)
.ECB모드는평문을64비트씩나누어암호화하는방식이다.
.마지막블록이64비트미만이면나머지비트를채운후진행한다.
.동일한블록이입력되면암호문도같기때문에해독될위험성이높다.즉,문서의종류에따라동일한문서모양을갖고있으므로암호문단독공격의가능성을높게해준다.
.64비트길이의평문암호화에유용하게사용될수있으므로DES암호방식의키암호화에사용할수있다.

<그림2.14ECB운용모드>

(나)CBC(CipherBlockChaining)
.선행단계의암호문출력이다음암호단계의입력에영향을미친다.
.각암호문블럭은서로영향을받는다.
.ECB에서발생하는동일한평문에의한동일한암호문이발생하지않도록구성한동작모드이다.
.C_n :모든평문블럭P_1,P_2,CDOTS,P_n의함수
.암호화:C_n=E_K[C_n-1bigoplusP_n]
.복호화:D_K[C_n]=D_K[E_K(C_n-1bigoplusP_n)]D_K[C_n]=(C_n-1bigoplusP_n),C_n-1bigoplusD_K[C_n]=C_n-1bigoplusC_n-1bigoplusP_n=P_n
.CBC모드동작은아래<그림2.15>와같이처음입력된평문블록은초기벡터와XOR되어DES암호기에입력된다.출력암호문은다음의단평문블록과XOR되어DES암호기에입력된다.

<그림2.15CBC운용모드>
(다)CFB(CipherFeedBack)
.CFB방식도CBC방식와마찬가지로평문블럭이동일한경우동일한암호문이나타나지않도록전단의암호문이다음단의평문에영향을미치게구성하는방식이다.
.문자의길이:m(1 .암호화하기위한m비트:DES출력의m비트
.DES알고리즘이회선양단에서암호화로서사용된다.
.ShiftRegister:매번새로운비트로교체
.암호문은선행하는평문모두의함수이다.
.전송되는암호문의오류를전파한다.
<그림2.16CFB운용모드>
(라)OFB(OutputFeedBack)
.Keystream:주기성이있음
.Feedback의출발위치를제외하고는CFB와유사하다.
.이전에생성되었던암호문이이용되고있지않기때문에채널상의잡음에의한다른암호문으로의오류의파급효과가발생되지않고단지해당암호문만이영향을받게된다.
.암호문의연계성부족으로스트림변조공격에취약하다.
<그림2.17OFB운용모드>
(8)DES의안전성
DES의안전성은키의크기와알고리즘자체로나누어생각할수있다.
(가)키길이
.키길이가56비트이므로2^56개키가존재할수있으며,이것은약
7.2TIMES10^16개다.그러므로,brute-forceattack은불가능하다.
.1977년Diffie-Hellman에의해1,000,000대의병렬컴퓨터를이용하여1
musec에1번의encryption이가능하면,10시간이내에키를찾을수있다고제안하였다..knownplaintextattack의방법을이용하여Wiener에의해정확한분석이있었다.이것은공격자가적어도하나의평문과암호문의쌍을알고있다는가정하에이루어진다.이것은칩을디자인하여초당5천개의키를찾는것이다.또한이방법은장비의가격에따라그시간이현저하게줄어든다.
.RSALab에서1997년2월에인터넷공모를통해DES의키를찾는프로젝트가있었다.모든가능한키의1/4개를테스트해서96일만에키를찾을수있었다.여기에는70,000대의시스템이참여하였다.이프로젝트는분산환경의개인컴퓨터가암호학적인문제의공격가능성을보여주기위해시도되었었다.
(나)알고리즘
.DES알고리즘의특징은각반복에서사용되는8개의S-box이다.DES의디자인에서S-box는공개되지않았다.지금까지정상적그리고예상치못했던결과들이S-box에서나왔지만,이런이유로지금까지S-box의심각한단점들은발견되지않았다.
.DES의S-box조건(NIST)
-S-box의각열은정수0,..........,15까지의치환이다.
-S-box는non-linear이고또는non-affine함수이다.
-S-box에1비트의입력변화로출력은적어도2비트의변화를준다.
-어떠한S-box와어떠한입력x에서,S(x)와S(xbigoplus001100)는적어도2비트는다르다.
-어떠한S-box,그리고어떠한입력x,그리고e에서,finLEFT{0,1RIGHT},~S(x)!=S(xbigoplus11ef00)를만족한다.
-S-box입력중1비트가고정되었을때특정출력비트를0으로하는입력수와1로하는입력수는비슷하다.