2.DES算法的弱密鑰

　　由于算法各輪的子密鑰是通過改變初始密鑰這種方式得到的，因此有些初始密鑰成了弱密鑰（weakkey）。初始密鑰分成兩部分，每部分各自獨立的移動。如果每一部分的所有位都是0或1，那么算法的任意一個周期的密鑰都是相同的。當密鑰是全1、全0、或者一半全1、一半全0時，會發生這種情況。下面以十六進制編碼的方式給出了四種弱密鑰。

　　另外，還有一些密鑰對明文加密成相同的密文。換句話說，密鑰對里的一個密鑰能解密另外一個。

　　密鑰加密的信息。這是由DES產生子密鑰（subkey）的方式決定的。這些密鑰只產生2個不同的子密鑰，算法中每個這樣的子密鑰都使用了8次。這樣的子密鑰叫半弱密鑰（semiweakkey），下表以十六進制編碼方式給出它們。

　　另外，也只有產生4個子密鑰的密鑰，每個這樣的子密鑰在算法中使用了4次。下面給出他們的十六進制編碼形式

　　雖然DES有弱密鑰，但這張64個密鑰的密鑰表相對于總數位72，057，594，037，927，936個可能密鑰的密鑰集只是個零頭，如果隨機的選擇密鑰，選中這些弱密鑰的可能性可以忽略。而且我們可以在選擇密鑰時進行檢查，以防止產生弱密鑰

　　3.密鑰的長度

　　密鑰僅有56位二進制未免太短，多密碼學專家力薦使用更長的密鑰，理由是窮舉攻擊的可能性。設已知一段密碼文C及與它對應的明碼文M，用一切可能的密鑰K加密M，直到得到E（M）=C，這時所用的密鑰K即為要破譯的密碼的密鑰。窮舉法的時間復雜性是T=O（n），空間復雜性是S=O（1）。對于DES密碼，n=256≈7×106，即使使用每秒種可以計算一百萬個密鑰的大型計算機，也需要算106天才能求得所使用的密鑰，因此看來是很安全的。

　　但是密碼專家Diffie和Hellman指出，如果設計一種一微秒可以核算一個密鑰的超大規模集成片，那么它在一天內可以核算8.64×1010個密鑰。如果由一個百萬個這樣的集成片構成專用機，那么它可以在不到一天的時間內用窮舉法破譯DES密碼。他們當時（1977年）估計：這種專用機的造價約為兩千萬美元。如果在五年內分期償還，平均每天約需付一萬美元。由于用窮舉法破譯平均只需要計算半個密鑰空間，因此獲得解的平均時間為半天。這樣，破譯每個DES密碼的花銷只是五千美元。后來，Diffie在1981年又修改了他們的估計，認為以1980年的技術而論，用造價為五千萬美元的專用機破譯DES密碼平均要花兩天時間。但是他與Hellman都預計：1990年時，破譯DES密碼的專用機的造價將大幅度下降。

　　同時，DES的硬件實現方法逐步接近Diffie和Hellman的專用機所要求每秒百萬次的速度。在1993年，MuchaelWiener設計了一個一百萬美元的機器，它能在平均3.5小時內，完成DES的窮舉攻擊，到1990年時，DES是完全不安全的。

　　4.迭代次數

　　根據目前的計算技術和DES的分析情況，16-圈DES仍然是安全的，但提醒使用者不要使用低于16-圈的DES，特別是10-圈以下的DES，Bihan和Shamir的差分密鑰分析同樣也闡述了這一點：對于低于16輪的任意DES的已知明文攻擊要比窮舉攻擊有效，但當算法恰好有16輪時，只有窮舉攻擊最有效。

　　5.S盒和P盒的設計

　　實現替代函數Si所用的S盒的設計原理尚未公開，其中可能留有隱患。更有人擔心DES算法中有“陷阱”，知道秘密的人可以很容易地進行密文解密。目前人們仍然不知道DES中是否存在陷門。所謂陷門，通俗地講，就是在算法的設計中設計者留了一個后門，知道某一秘密的人可進入這一后門獲得使用該算法的用戶的秘密密鑰.DES的設計準則除了極少數被公布外，其余的仍然是保密的。圍繞S盒人們討論了一系列問題包括設計準則和構造等。在差分分析公開后，IBM公布了S盒和P盒的設計準則。

　　5.1 S盒的設計準則

　　1）每個S盒均為6位輸入，4位輸出。（這是在1974年的技術條件下，單個芯片所能容納的最大尺寸。）

　　2）沒有一個S盒的輸出位是接近輸入位的線性函數。

　　3）如果將輸入位的最左、最右端的位固定，變化中間的4位，每個可能的4位輸出只得到一次.4）如果S盒的兩個輸入僅有1位的差異，則其輸出必須至少有2位不同.5）如果S盒的兩個輸入僅有中間2位不同，則其輸出必須至少有2位不同。

　　6）如果S盒的兩個輸入前2位不同，后兩位已知，則其輸出必不同。

　　7）對于輸入之間的任何非零的6位差分，32對中至多有8對顯示出的差分導致了相同的輸出差分。

　　5.2 P盒的設計準則

　　1）在第i輪S盒的4位輸出中，2位將影響S盒第i+1輪的中間位，其余2位將影響最后位;2）每個S盒的4位輸出影響6個不同的S盒，但沒有一個影響同一個S盒;

　　3）如果一個S盒的4位輸出影響另一個S盒的中間1位，那么后一個的輸出位不會影響前一個S盒的中間1位。

　　在今天看來產生S盒很容易，但在70年代初，這是一個很復雜的工作.Tuchman曾經引述說，他們當時將計算機程序運行幾個月來產生S盒。在對DES密碼進行鑒定的期間，美國國家保密局和計算機科學技術學會組織各界專家研究了DES密碼體制的安全性問題，討論了破譯DES密碼體制的一切可能途徑。盡管有些專家和學者對它的安全性仍持懷疑態度，但官方卻得出了十分樂觀的結論。他們宣布：“沒有任何可以破譯DES密碼體制的系統分析法。若使用窮舉法，則在1990年以前基本上不可能產生出每天能破譯一個DES密鑰的專用計算機。即使屆時能制造出這樣的專用機，它的破譯成功率也只會在0.1到0.2之間，而且造價可能高達幾千萬美元

　　DES算法的漏洞

　　由DES算法我們可以看到：DES算法中只用到64位密鑰中的其中56位，而第8、16、24、……64位8個位并未參與DES運算。這一點，向我們提出了一個應用上的要求，即DES的安全性是基于除了8，16，24，……64位外的其余56位的組合變化256才得以保證的。因此，在實際應用中，我們應避開使用第8，16，24……64位作為DES密鑰的有效數據位，而使用其它的56位作為有效數據位。只有這樣，才能保證DES算法安全可靠地發揮作用。如果不了解這一點，把密鑰Key的8，16，24，……64位作為有效數據位使用，將不能保證DES加密數據的安全性，對運用DES來達到保密作用的系統將產生數據被破譯的危險，這正是DES算法在應用上的誤區，是各級技術人員、各級用戶在使用過程中應絕對避免的。

　　基于以上的問題，我們就不能用漢字作為密鑰。因為漢字由兩個字節組成，每個字節的ASCII碼都大于127，轉換成二進制就是8位，不能加奇偶校驗位，而且如果去掉第8、16、24、……64位，就會丟失密鑰，而且不同的漢字可能實際上是相同的密鑰.

　　DES算法的應用誤區

　　DES算法具有極高安全性，到目前為止，除了用窮舉搜索法對DES算法進行攻擊外，還沒有發現更有效的辦法。而56位長的密鑰的窮舉空間為256，這意味著如果一臺計算機的速度是每一秒種檢測一百萬個密鑰，則它搜索完全部密鑰就需要將近2285年的時間，可見，這是難以實現的，當然，隨著科學技術的發展，當出現超高速計算機后，我們可考慮把DES密鑰的長度再增長一些，以此來達到更高的保密程度。

　　由上述DES算法介紹我們可以看到：DES算法中只用到64位密鑰中的其中56位，而第8、16、24、。。。。。.64位8個位并未參與DES運算，這一點，向我們提出了一個應用上的要求，即DES的安全性是基于除了8，16，24，。。。。。.64位外的其余56位的組合變化256才得以保證的。因此，在實際應用中，我們應避開使用第8，16，24，。。。。。.64位作為有效數據位，而使用其它的56位作為有效數據位，才能保證DES算法安全可靠地發揮作用。如果不了解這一點，把密鑰Key的8，16，24，。。。。。 .64位作為有效數據使用，將不能保證DES加密數據的安全性，對運用DES來達到保密作用的系統產生數據被破譯的危險，這正是DES算法在應用上的誤區，是各級技術人員、各級領導在使用過程中應絕對避免的，而當今國內各金融部門及非金融部門，在運用DES工作，掌握DES工作密鑰Key的領導、主管們，極易忽略，給使用中貌似安全的系統，留下了被人攻擊、被人破譯的極大隱患。

　　DES算法應用誤區的驗證數據

　　筆者用Turbo C編寫了DES算法程序，并在PC機上對上述的DES 算法的應用誤區進行了騅，其驗證數據如下：

　　Key： 0x30 0x30 0x30 0x30.。。。。.0x30（8個字節）

　　Data： 0x31 0x31 0x31 0x31.。。。。.0x31（8個字節）

　　Mode： Encryption

　　結果：65 5e a6 28 cf 62 58 5f

　　如果把上述的Key換為8個字節的0x31，而Data和Mode均不變，則執行DES 后得到的密文完全一樣。類似地，用Key:8個0x32和用Key:8個0x33 去加密Data （8 個0x31），二者的圖文輸出也是相同的：5e c3 ac e9 53 71 3b ba

　　我們可以得到出結論：

　　Key用0x30與用0x31是一樣的；

　　Key用0x32與用0x33是一樣的，。。。。。。

　　當Key由8個0x32換成8個0x31后，貌似換成了新的Key，但由于0x30和0x31僅僅是在第8，16，24.。。。。.64有變化，而DES算法并不使用Key的第8，16，。。。。。.64位作為Key的有效數據位，故：加密出的結果是一樣的。

　　DES解密的驗證數據：

　　Key： 0x31 0x31.。。。。.0x31（8個0x31）

　　Data： 65 5e a6 28 cf 62 58 5f

　　Mode： Decryption

　　結果：0x31 0x31.。。。。.0x31（8個0x31）

　　由以上看出：DES算法加密與解密均工作正確。唯一需要避免的是：在應用中，避開使用Key的第8，16.。。。。.64位作為有效數據位，從而便避開了DES 算法在應用中的誤區。

　　避開DES算法應用誤區的具體操作

　　在DES密鑰Key的使用、管理及密鑰更換的過程中，應絕對避開DES 算法的應用誤區，即：絕對不能把Key的第8，16，24.。。。。.64位作為有效數據位，來對Key 進行管理。這一點，特別推薦給金融銀行界及非金融業界的領導及決策者們，尤其是負責管理密鑰的人，要對此點予以高度重視。有的銀行金融交易網絡，利用定期更換DES密鑰Key的辦法來進一步提高系統的安全性和可靠性，如果忽略了上述應用誤區，那么，更換新密鑰將是徒勞的，對金融交易網絡的安全運行將是十分危險的，所以更換密鑰一定要保證新Key與舊Key真正的不同，即除了第8，16，24，。。.64位外其它位數據發生了變化，請務必對此保持高度重視！