1

Matt Blaze (AT&T Research), Whitfield Diffie (Sun Microsystems), Ronald L. Rivest (MIT Laboratory), Bruce Schneier
(Counterpane Systems), Tsutomu Shimomura (San Diego Supercomputer Center), Eric Thompson, (Access Data Inc.),
Michael Wiener (Вell Northern Research)

January 1996

Minimal Key Lengths for О минимальной длине ключа

Symmetric Ciphers to Provide для симметричных шифров,
Adequate Commercial Security обеспечивающей необходимую
степень стойкости

A Report by an Ad Hoc Group of Cryptographers Отчет группы криптографов и компьютерных

and Computer Scientists исследователей

ABSTRACT АННОТАЦИЯ

Encryption plays an essential role in protecting the
privacy of electronic information against threats
from a variety of potential attackers. In so doing,
modern cryptography employs a combination of
conventional or symmetric cryptographic systems
for encrypting data and public key or asymmetric
systems for managing the keys used by the
symmetric systems. Assessing the strength required
of the symmetric cryptographic systems is therefore
an essential step in employing cryptography for
computer and communication security
Technology readily available today (late 1995)
makes brute-force attacks against cryptographic
systems considered adequate for the past several
years both fast and cheap. General purpose
computers can be used, but a much more efficient
approach is to employ commercially available Field
Programmable Gate Array (FPGA) technology. For
attackers prepared to make a higher initial
investment, custom-made, special-purpose chips
make such calculations much faster and significantly
lower the amortized cost per solution.
As a result, cryptosystems with 40-bit keys offer
virtually no protection at this point against brute-
force attacks. Even the U.S. Data Encryption
Standard with 56-bit keys is increasingly
inadequate. As cryptosystems often succumb to
`smarter' attacks than brute-force key search, it is
also important to remember that the keylengths
discussed here are the minimum needed for security
against the computational threats considered.
Шифрование играет существенную роль в
сохранении в тайне электронной секретной
информации от угроз со стороны потенциальных
взломщиков. Для этого современная криптография
использует комбинацию обычных (симметричных)
криптографических систем для шифрования
данных и открытых (ассиметричных) ключей для
управления ключами симметричных систем.
Следовательно, оценка стойкости симметричной
системы есть существенный шаг в применении
криптографии для компьютерной и
коммуникационной безопасности.
Технологии, легко доступные сегодня (после 1995
г.) делают силовые атаки на криптографические
системы быстрыми и дешевыми. Для этой цели
могут быть использованы компьютеры общего
назначения, но намного эффективнее использовать
Набор Программируемых Чипов (НПЧ). Для
взломщика, способного сделать большие
начальные инвестиции, специальный чип может
производить такие вычисления намного быстрее, и
цена решения будет значительно дешевле.
В результате, с этой точки зрения, криптосистемы
с 40-битовыми ключами фактически не
обеспечивают защиты от силовой атаки. Даже
американский государственный стандарт
шифрования данных DES с 56-битовыми ключами
является недостаточно надежным. Так как
криптосистемы болеее подвержены взлому, чем
силовой атаке, то важно помнить, что обсуждаемая
длина ключа является минимально необходимой
для обеспечения безопасности от вычислительных

Fortunately, the cost of very strong encryption is not
significantly greater than that of weak encryption.
Therefore, to provide adequate protection against
the most serious threats - well-funded commercial
enterprises or government intelligence agencies -
keys used to protect data today should be at least 75
bits long. To protect information adequately for the
next 20 years in the face of expected advances in
computing power, keys in newly-deployed systems
should be at least 90 bits
long.
1. Encryption Plays an Essential Role
in Protecting the Privacy of Electronic
Information
1.1 There is a need for information security.
Today, most forms of information can be stored and
processed electronically. This means a wide variety
of information, with varying economic values and
privacy aspects and with a wide variation in the time
over which the information needs to be protected,
will be found on computer networks. Consider the
spectrum:
• Electronic Funds Transfers of millions or even
billions of dollars, whose short term security is
essential but whose exposure is brief;
• A company's strategic corporate plans, whose
confidentiality must be preserved for a small
number of years;
• A proprietary product (Coke formula, new drug
design) that needs to be protected over its useful
life, often decades; and
• Information private to an individual (medical
condition, employment evaluation) that may
need protection for the lifetime of the individual.
1.2 Encryption can provide strong
confidentiality protection.
Encryption is accomplished by scrambling data
using mathematical procedures that make it
extremely difficult and time consuming for anyone
other than authorized recipients - those with the
correct decryption keys - to recover the plain text.
Proper encryption guarantees that the information
2
угроз.
К счастью, цена сильного шифрования не на много
больше, чем цена слабого. Следовательно, для
обеспечения необходимой защиты от наиболее
серьезных угроз - крупных финансовых
предприятий или иностранных разведслужб -
ключи, используемые сегодня для защиты
информации должны быть не менее 75-битовой
дины. Для защиты информации на следующие 20
лет, перед лицом ожидаемого развития
компьютерных мощностей, ключи в
проектируемых системах должны быть не менее
90 битов.
1. Шифрование играет существенную
роль для сохранения в тайне
секретной информации
1.1 Необходимость защиты информации
Сегодня большинство форм информации могут
быть записаны и обработаны в электронном виде.
Это означает, что в компьютерных сетях может
быть найдено большое разнообразие информации,
с различными экономическими ценами и уровнями
секретности, широким разнообразием во времени,
в течение которого она должна быть секретной.
Рассмотрим спектр:
• Международные переводы миллионов и, даже,
миллиардов долларов, характеризующиеся
коротким временем стойкости и существование
которых непродолжиительно.
• Стратегический план действий корпорации,
секретность которого должна сохраняться в
течение некоторого небольшого количества лет.
• Права на продукт (формула Коки, состав новых
лекарств), которые должны быть защищены на
всем протяжении существования и
использования продукта, часто десятки лет.
• Информация принадлежащая частным лицам
(состояние здоровья, зарплата) которые могут
нуждаться в защите на все время жизни .
1.2 Шифрование может обеспечить сильную
защиту
Шифрование производится перемешиванием
данных используя математические процедуры,
которые делают его предельно сложным и
времяпожирающим для всех, кто не является
законным пользователем (обладающим
необходимым ключом дешифрования для

will be safe even if it falls into hostile hands.
The degree of protection obtained depends on
several factors. These include: the quality of the
cryptosystem; the way it is implemented in software
or hardware (especially its reliability and the manner
in which the keys are chosen); and the total number
of possible keys that can be used to encrypt the
information. A cryptographic algorithm is
considered strong if:
1. There is no shortcut that allows the opponent to
recover the plain text without using brute force to
test keys until the correct one is found; and
2. The number of possible keys is sufficiently large
to make such an attack infeasible.
The sizes of encryption keys are measured in bits
and the difficulty of trying all possible keys grows
exponentially with the number of bits used. Adding
one bit to the key doubles the number of possible
keys; adding ten increases it by a factor of more than
a thousand.
There is no definitive way to look at a cipher and
determine whether a shortcut exists. Nonetheless,
several encryption algorithms - most notably the U.S
Data Encryption Standard (DES) - have been
extensively studied in the public literature and are
widely believed to be of very high quality. An
essential element in cryptographic algorithm design
is thus the length of the key, whose size places an
upper bound on the system's strength.
Throughout this paper, we will assume that there are
no shortcuts and treat the length of the key as
representative of the cryptosystem's workfactor - the
minimum amount of effort required to break the
system. It is important to bear in mind, however,
that cryptographers regard this as a rash assumption
and many would recommend keys two or more
times as long as needed to resist brute-force attacks.
Prudent cryptographic designs not only employ
longer keys than might appear to be needed, but
devote more computation to encrypting and
decrypting. A good example of this is the popular
approach of using triple-DES: encrypting the output
of DES twice more, using a total of three distinct
keys.
1.3 There are threats from a variety of potential
attackers.
Threats to confidentiality of information come from Угрозы безопасности исходят со многих сторон и
a number of directions and their forms depend on их формы зависят от ресурсов нападающего.
the resources of the attackers. `Hackers,' who might Хакеры - которые могут быть кем угодно, от
3
расшифрования исходного текста). Шифрование
гарантирует, что информация будет в
безопасности, даже если она попадет к неприятелю
в руки.
Степень защиты зависит от нескольких факторов:
качество криптосистемы, способы ее
использования в программах и аппаратуре
(особенно ее надежность и способ выбора
ключей), общее количество возможных ключей.
Криптографический алгоритм считается стойким,
если :
1. Не существует короткого пути, позволяющего
противнику получить исходный текст без
использования силовой атаки
2. Количество возможных ключей значительно
больше того, чтобы сделать такую атаку успешной
Размеры ключей шифрования измеряются в битах,
а сложность перебора всех возможных ключей
растет экспоненциально с ростом числа битов.
Добавление одного бита к ключу удваивает
количество возможных ключей, добавление 10 -
увеличивает его более, чем в 1000 раз.
Не существует простого способа взглянуть на
шифрсистему и определить существует ли
короткий путь. Тем не менее, некоторые
алгоритмы - наиболее известен DES - интенсивно
изучались в открытой литературе и в них можно
быть увереными с высокой степенью доверия.
Существенный элемент в разработке
криптографического алгоритма это то, что длина
ключа есть верхняя грань стойкости
шифрсистемы.
Повсюду в этой статье мы будем полагать, что не
существует короткого пути и считать длину ключа
мерой стойкости системы - минимальное
количество усилий требуемое для взлома системы.
Важно помнить, что криптографы считают это
слишком опрометчивым и многие из них
рекомендуют ключи двойной или более длины,
чем необходимо для защиты от силовой атаки.
Предусмотрительный криптодизайн не только
применяет более длинные ключи, чем необходимо,
но и затрачивает больше вычислений для
шифрования и дешифорования. Хороший пример
этого - популярный подход к использованию
тройного DES: шифрование выхода DES еще два
раза используя в итоге разных ключа.
1.3 Существуют различные угрозы со стороны
различных взломщиков

be anything from high school students to
commercial programmers, may have access to
mainframe computers or networks of workstations.
The same people can readily buy inexpensive, off-
the-shelf, boards, containing Field Programmable
Gate Array (FPGA) chips that function as
`programmable hardware' and vastly increase the
effectiveness of a cryptanalytic effort. A startup
company or even a well-heeled individual could
afford large numbers of these chips. A major
corporation or organized crime operation with
`serious money' to spend could acquire custom
computer chips specially designed for decryption.
An intelligence agency, engaged in espionage for
national economic advantage, could build a machine
employing millions of such chips.
1.4 Current technology permits very strong
encryption for effectively the same cost as
weaker encryption.
It is a property of computer encryption that modest
increases in computational cost can produce vast
increases in security. Encrypting information very
securely (e.g., with 128-bit keys) typically requires
little more computing than encrypting it weakly
(e.g., with 40-bit keys). In many applications, the
cryptography itself accounts for only a small
fraction of the computing costs, compared to such
processes as voice or image compression required to
prepare material for encryption.
One consequence of this uniformity of costs is that
there is rarely any need to tailor the strength of
cryptography to the sensitivity of the information
being protected. Even if most of the information in a
system has neither privacy implications nor
monetary value, there is no practical or economic
reason to design computer hardware or software to
provide differing levels of encryption for different
messages. It is simplest, most prudent, and thus
fundamentally most economical, to employ a
uniformly high level of encryption: the strongest
encryption required for any information that might
be stored or transmitted by a secure system.
2. Readily Available Technology Makes Brute-
Force Decryption Attacks Faster and Cheaper
The kind of hardware used to mount a brute-force Особенности
4
студента до программиста - могут иметь доступ к
майнфреймам или сотням рабочих станций. Те же
лица могут отхотно покупать недорогие бывшие в
употреблении платы, содержащие наборы
программируемых чипов (НПЧ), которые
чрезвычайно повышают результативность
криптоаналитического усилия. Начинающая
компания, или даже хорошо оснащенный
индивидуум, могут позволить себе приобрести
большое количество таких чипов. Крупные
компании или организованные криминальные
группировки с «серьезными деньгами» могут
заказать компьютерный чип специально
разработанный для шифрования. Разведслужбы,
занятые в промышленном шпионаже, могут
построить машину, состоящую из миллиона таких
чипов.
1.4 Современные технологии дают сильное
шифрование за туже цену, что и слабое
Особенность компьютерного шифрования в том,
что малое увеличение стоимости вычислений
может произвести огромное увеличение в
безопасности. Очень стойкое шифрование
сообщений (напр. с 128 - битовым ключом)
обычно требует чуть больше вычислений, чем
шифрование слабое (с 40-бтовыми ключами). Во
многих приложениях криптография поглощает
малую часть вычислительной мощности, по
сравнению с такими процессами, как сжатие
голоса или изображения, необходимые для
подготовки материалов к шифрованию.
Одно из следствий такой единой цены состоит в
том, что редко требуется ограничить
определенным условием стойкость криптографии
в зависимости от секретности информации. Даже
если большинство информации в системе не
является ни секретной ни финансово ценной, то
нет практической или экономической причины для
разработки аппаратуры или программ для
обеспечения различных уровней шифрования для
различных сообщений. Это простейший, наиболее
осторожный (предусмотрительный) и т.о.
фндаментально наиболее экономной, применить
единый высокий уровень шифрования: сильное
шифрование необходимо для любой информации,
которая может быть сохранена или передана в
защищенной системе.
2. Легкодоступные технолгии делают силовую
атаку быстрой и дешевой
аппаратного обеспечения,
 5

attack against an encryption algorithm depends on используемого для проведения силовой атаки на
the scale of the cryptanalytic operation and the total шифровальный алгоритм зависят от количества
funds available to the attacking enterprise. In the криптоаналитических операций и свободных
analysis that follows, we consider three general средств, доступных при нападении на
classes of technology that are likely to be employed предприятие. Ниже мы рассмотрим три главных
by attackers with differing resources available to класса, которые обычно применяются
them. Not surprisingly, the cryptanalytic нападающими с различными ресурсами
technologies that require larger up-front investments доступными им. криптоаналитические
yield the lowest cost per recovered key, amortized технологии, которые требуют больших начальных
over the life of the hardware. инвестиций, производят нижайшую цену за
взломанный ключ, погашаемую за время износа
аппаратуры.
It is the nature of brute-force attacks that they can be Такова природа силовой атаки, которая может
parallelized indefinitely. It is possible to use as быть бесконечно распараллелена. Необходимо
many machines as are available, assigning each to использовать так много машин, как это возможно,
work on a separate part of the problem. Thus выделяя каждой свою часть работы. Время поиска
regardless of the technology employed, the search сокращается вдвое, если вдвое увеличить объем
time can be reduced by adding more equipment; оборудования. Общие затраты должны удвоиться,
twice as much hardware can be expected to find the но если аппаратура постоянно используется для
right key in half the time. The total investment will поиска ключей, цена взлома за один ключ не
have doubled, but if the hardware is kept constantly изменится.
busy finding keys, the cost per key recovered is
unchanged.
At the low end of the technology spectrum is the use На нижнем конце спектра находится
of conventional personal computers or workstations использование неспециализированных
programmed to test keys. Many people, by virtue of персональных компьютеров или рабочих станций,
already owning or having access to the machines, запрограммированных для перебора ключей.
are in a position use such resources at little or no Многие люди, благодаря обладанию или доступу к
cost. However, general purpose computers - laden машинам, в состоянии использовать их ресурсы
with such ancillary equipment as video controllers, очнь дешево или бесплатно. Конечно, компьютеры
keyboards, interfaces, memory, and disk storage - общего назначения, нагруженные такими
make expensive search engines. They are therefore вспомогательными устройствами, как
likely to be employed only by casual attackers who видеоконтроллеры, клавиатура, память и диски -
are unable or unwilling to invest in more specialized делают поисковые вычисления дорогими.
equipment. Следовательно, их будут применять только
случайные лица, кто не может или не желает
потратиться на более специализированное
оборудование.
A more efficient technological approach is to take Более эффективный технолгический подход
advantage of commercially available Field заключается в применении наборов
Programmable Gate Arrays. FPGAs function as программируемых чипов (НПЧ). НПЧ
programmable hardware and allow faster функционируют как программируемое аппаратное
implementations of such tasks as encryption and обеспечение и позволяют быстрее, чем обычные
decryption than conventional processors. FPGAs are процессоры, выполнять такие задачи, как
a commonly used tool for simple computations that шифрование и дешифрование. НПЧ - обычный
need to be done very quickly, particularly инструмент для вычислений, которые необходимо
simulating integrated circuits during development. выполнить быстро, в реальном масштабе времени.
FPGA technology is fast and cheap. The cost of an НПЧ-технолгии быстрые и дешевые. Цена чипа
AT&T ORCA chip that can test 30 million АТ&Т ORCA, способного проверить 30 млн.
DES keys per second is $200. This is 1,000 times ключей в секунду, составляет 200 долл. Это в 1000
faster than a PC at about one-tenth the cost! FPGAs раз быстрее, чем ПЭВМ, и, примерно, за 1/10 его
are widely available and, mounted on cards, can be цены. НПЧ легкодоступны, и установленные на
installed in standard PCs just like sound cards, плате могут применяться в стандартных ПЭВМ
modems, or extra memory. наподобие звуковых карт, модемов, или модулей
памяти.
FPGA technology may be optimal when the same НПЧ-технологии оптимальны в том случае, когда
tool must be used for attacking a variety of different один и тот же инструмент должен применяться для

cryptosystems. Often, as with DES, a cryptosystem
is sufficiently widely used to justify the construction
of more specialized facilities. In these
circumstances, the most cost-effective technology,
but the one requiring the largest initial investment, is
the use of Application-Specific Integrated Circuits
(ASICs). A $10 chip can test 200 million keys per
second. This is seven times faster than an FPGA
chip at one-twentieth the cost.
Because ASICs require a far greater engineering
investment than FPGAs and must be fabricated in
quantity before they are economical, this approach is
only available to serious, well-funded operations
such as dedicated commercial (or criminal)
enterprises and government intelligence agencies.
3. 40-Bit Key Lengths Offer Virtually
No Protection
Current U.S. Government policy generally limits
exportable mass market software that incorporates
encryption for confidentiality to using the RC2 or
RC4 algorithms with 40-bit keys. A 40-bit key
length means that there are 240 possible keys. On
average, half of these (2^39) must be tried to find
the correct one. Export of other algorithms and key
lengths must be approved on a case by case basis.
Anyone with a modicum of computer expertise and
a few hundred dollars would be able to attack 40-bit
encryption much faster. An FPGA chip - costing
approximately $400 mounted on a card - would on
average recover a 40-bit key in five hours.
Assuming the FPGA lasts three years and is used
continuously to find keys, the average cost per key
is eight cents.
A more determined commercial predator, prepared
to spend $10,000 for a set-up with 25 ORCA chips,
can find 40-bit keys in an average of 12 minutes, at
the same average eight cent cost. Spending more
money to buy more chips reduces the time
accordingly: $300,000 results in a solution in an
average of 24 seconds; $10,000,000 results in an
average solution in 0.7 seconds.
As already noted, a corporation with substantial
resources can design and commission custom chips
that are much faster. By doing this, a company
spending $300,000 could find the right 40-bit key in
an average of 0.18 seconds at 1/10th of a cent per
solution; a larger company or government agency
willing to spend $10,000,000 could find the right
key on average in 0.005 seconds (again at 1/10th of
a cent per solution). (Note that the cost per solution
remains constant because we have conservatively
6
атаки различных криптосистем. Часто, как в с
лучае с DES, криптосистема достаточно широко
используется, чтобы оправдать применение более
специализированных устройств. В этом случае
более выгодна технология, требующая, однако,
больших начальных вложений - использование
специализированных интегральных схем (СИС).
10-долларовый чип способен проверить 200 млн.
ключей в секунду, что еще в 7 раз быстрее и в 20
раз дешевле, чем НПЧ.
Поскольку СИС требует гораздо больше
инженерных усилий, чем НПЧ, и оправдывает
инвестиции далеко не сразу, то этот подход
доступен только серьезным, хорошо оснащенным
организациям.
3. В действительности, 40-битовые
ключи не обеспечивают защиты
Современная политика правительства США
запрещает экспортировать программное
обеспечение, включая шифрование по алгоритмам
RC2, RC4 с 40-битовыми ключами. 40-битовый
ключ означает, что существуют 240 возможных
ключей. В среднем, для нахождения правильного
ключа приблизительно половина из них должна
быть перебрана. Экспорт других алгоритмов
должен быть специально разрешен.
Кто угодно, с современным компьютером и
несколькими сотнями долларов способено
взломать 40-битовое шифрование гораздо быстрее.
Чип НПЧ - стоимостью около 400 долл.
установленный на плате, сможет взломать 40-
битовый ключ за 5 часов. Оценив работу НПЧ в
течение трех лет для непрерывного поиска
ключей, получим приблизительную оценку за
ключ - 8 центов.
Более определенный коммерческий хищник,
готовый потратить 10 000 долл. для установки 25
чипов ORCA, способен перебрать 40-битовые
ключи в среднем за 12 минут, приблизительно по 8
центов за взломанный ключ. Затратив больше
денег для покупки больше чипов укорачивает
время соответственно 300 000 долл. - 24 сек.,
10 000 000 долл - 0,7 сек.
Как уже отмечалось, корпорация с
соответствующими ресурсами может заказать
гораздо более быстрый чип. Сделав это, компания
затратившая 300 000 долл должна найти
правильный ключ приблизительно за 0,18 секунд,
при цене 1/10 цента за решение; более крупная
компания или правительственная агентство
способное потратить 10 000 000 долл. должно
найти правильный ключ приблизительно за 0,005
секунд (опять 1/10 цента за решение). Заметим, что

assumed constant costs for chip acquisition - in fact
increasing the quantities purchased of a custom chip
reduces the average chip cost as the initial design
and set-up costs are spread over a greater number of
chips.)
These results are summarized in Table I.
4. Even DES with 56-Bit Keys Is
Increasingly Inadequate
4.1 DES is no panacea today.
The Data Encryption Standard (DES) was developed
in the 1970s by IBM and NSA and adopted by the
U.S. Government as a Federal Information
Processing Standard for data encryption. It was
intended to provide strong encryption for the
government's sensitive but unclassified information.
It was recognized by many, even at the time DES
was adopted, that technological developments would
make DES's 56-bit key exceedingly vulnerable to
attack before the end of the century.
Today, DES may be the most widely employed
encryption algorithm and continues to be a
commonly cited benchmark. Yet DES-like
encryption strength is no panacea. Calculations
show that DES is inadequate against a corporate or
government attacker committing serious resources.
The bottom line is that DES is cheaper and easier to
break than many believe
As explained above, 40-bit encryption provides
inadequate protection against even the most casual
of intruders, content to scavenge time on idle
machines or to spend a few hundred dollars. Against
such opponents, using DES with a 56-bit key will
provide a substantial measure of security. At
present, it would take a year and a half for someone
using $10,000 worth of FPGA technology to search
out a DES key. In ten years time an investment of
this size would allow one to find a DES key in less
than a week.
The real threat to commercial transactions and to
privacy on the Internet is from individuals and
organizations willing to invest substantial time and
money. As more and more business and personal
information becomes electronic, the potential
rewards to a dedicated commercial predator also
increase significantly and may justify the
commitment of adequate resources.
A serious effort - on the order of $300,000 - by a
legitimate or illegitimate business could find a DES
key in an average of 19 days using off-the-shelf
technology and in only 3 hours using a custom
developed chip. In the latter case, it would cost $38
7
цена за решение является константой, потому, что
мы предположили константой цену чипа. В
действительности увеличение объема закупки
уменьшает среднюю цену чипа, т.к. стоимость
разработки делится на большее число чипов.
4. Даже DES с 56-битовым ключом
недостаточно сильный
4.1 DES уже не панацея
Стандарт шифрования данных DES был
разработан в 1970 г. IBM и АНБ и одобрен
Американским правительством в качестве
федерального стандарта обработки информации.
Он предназначен для сильного шифрования
правительственной важной, но негрифованной
информации. Многим было понятно, еще когда
DES разрабатывался, что технологический
прогресс сделает 56-битовые ключи DES
уязвимыми, еще до конца текущего века.
Сегодня DES - может быть, наиболее широко
распространенный шифровальный алгоритм и
продолжает им быть. DES- шифрование еще
сильно, но оно не панацея. Вычисления
показывают, что DES недостаточно сильный, от
корпоративной или правительственной атаки,
поддержанной серьезными ресурсами. DES
взломать легче, чем многие думают.
Как описно выше, 40-битовое шифрование не
обеспечивает защиты даже от случайного
взломщика с ограниченным временем и ленивой
машиной, либо нежелающего потратить несколько
сотен долларов. Против таких оппонентов DES
сможет обеспечить существенную защиту.
Потребуется 1,5 года для всякого, кто используя
10 000 долл. на НПЧ-технологии найдет ключ. За
десять лет инвестиции этого размера позволят
найти ключ менее, чем за неделю.
Реальная угроза коммерческим транзакциям и
конфиденциальности в Интернете исходит от
индивидуалов и организаций, желающих
потратить значительное время и деньги.
Поскольку все больше деловой и личной
информации переводится в электронную форму,
потенциальное вознаграждение коммерческому
взломщику также увеличивается значительно и
может оправдать затраты.
Серьезная угроза - законный или незаконный
бизнес сможет найти ключ приблизительноза 19
дней используя
или за 3 часа с помощью заказного чипа. В
последнем случае, это будет стоить примерно 38

to find each key (again assuming a 3 year life to the
chip and continual use). A business or government
willing to spend $10,000,000 on custom chips,
could recover DES keys in an average of 6 minutes,
for the same $38 per key.
At the very high end, an organization - presumably a
government intelligence agency - willing to spend
$300,000,000 could recover DES keys in 12 seconds
each! The investment required is large but not
unheard of in the intelligence community. It is less
than the cost of the Glomar Explorer, built to
salvage a single Russian submarine, and far less
than the cost of many spy satellites. Such an expense
might be hard to justify in attacking a single target,
but seems entirely appropriate against a
cryptographic algorithm, like DES, enjoying
extensive popularity around the world.
There is ample evidence of the danger presented by
government intelligence agencies seeking to obtain
information not only for military purposes but for
commercial advantage. Congressional hearings in
1993 highlighted instances in which the French and
Japanese governments spied on behalf of their
countries' own businesses. Thus, having to protect
commercial information against such threats is not a
hypothetical proposition.
4.3 The analysis for other algorithms is roughly
comparable.
The above analysis has focused on the time and
money required to find a key to decrypt information
using the RC4 algorithm with a 40-bit key or the
DES algorithm with its 56-bit key, but the results
are not peculiar to these ciphers. Although each
algorithm has its own particular characteristics, the
effort required to find the keys of other ciphers is
comparable. There may be some differences as the
result of implementation procedures, but these do
not materially affect the brute-force breakability of
algorithms with roughly comparable key lengths
Specifically, it has been suggested at times that
differences in set-up procedures, such as the long
key-setup process in RC4, result in some algorithms
having effectively longer keys than others. For the
purpose of our analysis, such factors appear to vary
the effective key length by no more than about eight
bits.
5. Appropriate Key Lengths for the
Future --- A Proposal
Table I summarizes the costs of carrying out brute- Таблица 1 отражает стоимость силовой атаки
force attacks against symmetric cryptosystems with против симметричной криптосистемы с 40-
8
долл. за ключ (из расчета 3 лет непрерывной
работы). Правительство или бизнес способный
затратить 10 млн. долл. на заказные чипы сможет
вскрыть DES ключ приблизительно за 6 минут,
при той же цене 38 долл. за ключ.
На самом верхнем конце, организации -
преимущественно правительственные
разведываетельные агентства - способные вложить
300 млн. долл. могут взломать DES за 12 секунд.
Затраты огромные, но не запредельные для
разведывательного сообщества. Это меньше, чем
стоит построенный специально для поднятия
одной руской подводной лодки «подводный
исследователь», и намного меньше, чем цена
разведывательных спутников. Такие деньги трудно
оправдать атакой на одну цель, но, по-видимому,
приемлемо против алгоримов типа DES, широко
применяемых во всем мире.
Это достаточное доказательство опасности
представляемой таким агентствами в поисках
получения информации не только для военных
целей но для коммерческий целей. Слушания в
Конгрессе в 1993 высветили пример, в котором
правительства Франции и Японии следили за
бизнесом в своих собственных странах. Т.о.
защита коммерческой информации от таких угроз
это не гипотетическое предположение.
4.3 Анализ для других алгоритмов примерно
одинаковых
Предыдущий анализ был сфокусирован на
времени и деньгах, необходимых для
дешифрования информации используя алгоритм
RC4 с 40-битовым ключом или DES с 56-битовым
ключом, но но результаты не были специфичными
для каждого шифра. Хотя каждый алгоритм имеет
свои особенности, усилия требуемые для
нахождения ключа - сопоставимы. Возможны
некоторые различия, но они не окажут
значительный эффект на силовой взлом
алгоритмов с примерно одинаковой длиной ключа.
Особенно это касается времени процедур
установки, такие, как длительная установка ключа
в RC4, результат в некоторых алгоритмах,
имеющих существенно более длинный ключ, чем
другие. Для целей нашего анализа такие факторы
длина ключа изменяется не более, чем на 8 битов.
5. Соответствующая длина ключа на
будущее - Предположения

40-bit and 56-bit keys using networks of general
purpose computers, Field Programmable Gate
Arrays, and special-purpose chips.
It shows that 56 bits provides a level of protection -
about a year and a half - that would be adequate for
many commercial purposes against an opponent
prepared to invest $10,000. Against an opponent
prepared to invest $300,000, the period of protection
has dropped to the barest minimum of 19 days.
Above this, the protection quickly declines to
negligible. A very large, but easily imaginable,
investment by an intelligence agency would clearly
allow it to recover keys in real time.
What workfactor would be required for security
today? For an opponent whose budget lay in the $10
to 300 million range, the time required to search out
keys in a 75-bit keyspace would be between 6 years
and 70 days. Although the latter figure may seem
comparable to the `barest minimum' 19 days
mentioned earlier, it represents - under our
amortization assumptions - a cost of $19 million and
a recovery rate of only five keys a year. The victims
of such an attack would have to be fat targets
indeed.
Because many kinds of information must be kept
confidential for long periods of time, assessment
cannot be limited to the protection required today.
Equally important, cryptosystems - especially if they
are standards - often remain in use for years or even
decades. DES, for example, has been in use for more
than 20 years and will probably continue to be
employed for several more. In particular, the
lifetime of a cryptosystem is likely to exceed the
lifetime of any individual product embodying it.
A rough estimate of the minimum strength required
as a function of time can be obtained by applying an
empirical rule, popularly called `Moore's Law,'
which holds that the computing power available for
a given cost doubles every 18 months. Taking into
account both the lifetime of cryptographic
equipment and the lifetime of the secrets it protects,
we believe it is prudent to require that encrypted
data should still be secure in 20 years. Moore's Law
thus predicts that the keys should be approximately
14 bits longer than required to protect against an
attack today.
Bearing in mind that the additional computational
costs of stronger encryption are modest, we strongly
recommend a minimum key-length of 90 bits for
symmetric cryptosystems.
It is instructive to compare this recommendation
with both Federal Information Processing Standard
46, The Data Encryption Standard (DES), and
9
битовыми и 56-битовыми ключами, используя сети
неспециализированных компьютеров, НПЧ и СИС
технологии.
Она показывает, что 56 бит обеспечивают степень
защиты около 1,5 года - которая должна быть
подходящим для многих коммерческих целей при
оппоненте способнов вложить 10 000 долл. От
оппонента, способного вложить 300 000
долл.период защиты сократится до малейшего
минимума в 19 дней. Учитывая вышеизложенное,
стойкость быстро падает до минимума. Очень
большие, но близкие к реальным, инвестиции в
соответствующие спецслужбы могут легко
позволить ломать ключи в реальном времени.
Какая длина ключа требуется на сегодняшний
день? Для инвестора, чей бюджет лежит в
диапазоне от 10 до 300 млн. время требуемое для
перебора ключей соответствующих 75 битам
лежит между 6 годами и 70 днями. Хотя последняя
цифра очень похожа на наименьший минимум в 19
дней, она соответствует цене в 19 млн. долл. и
уровню взлома 5 ключей в год. Жертва такой
атаки должна представлять собой лакомый
кусочек.
Поскольку многие виды инфомации должны
находиться в секрете долгий период времени,
оценка не может быть ограничена защитой,
требуемой сегодня. Также важно, что
криптосистемы (особенно стандарты) часто
предполагается использовать годы и даже
десятилетия. DES, к примеру, использовался
более 20 лет, и, возможно, будет использоваться
еще. В частности, время жизни криптосистемы
часто равно времени существования некоторого
продукта, воплощающего ее.
Грубая прикидка минимальной стойкости, как
функции времени, может быть получена
эмпирическим путем, часто называемым «законом
Мура», который гласит, что вычислительные
мощности при одной и той же стоимости
удваиваются каждые 18 месяцев. Возьмите вместе
время жизни криптографического оборудования,
время жизни секретов и, как мы полагаем
благоразумно потребовать, что шифрованные
данные должны быть в безопасности еще 20 лет. В
этом случае закон Мура означает, что ключи
должны быть приблизительно на 14 битов длинее,
чем требуется для предотвращения атаки сегодня.
Необходимо помнить, что дополнительные
вычислительные цены сильного шифрования
скромные, поэтому мы очень рекомендуем
минимальную длину ключа в 90 битов для
симметричных систем.
Поучительно сравнить эти рекомендации с
Федеральным стандартом обработки информации
46, DES, Федеральным стандартом обработки

Federal Information Processing Standard 185, The
Escrowed Encryption Standard (EES). DES was
proposed 21 years ago and used a 56-bit key.
Applying Moore's Law and adding 14 bits, we see
that the strength of DES when it was proposed in
1975 was comparable to that of a 70-bit system
today. Furthermore, it was estimated at the time that
DES was not strong enough and that keys could be
recovered at a rate of one per day for an investment
of about twenty-million dollars. Our 75-bit estimate
today corresponds to 61 bits in 1975, enough to
have moved the cost of key recovery just out of
reach. The Escrowed Encryption Standard, while
unacceptable to many potential users for other
reasons, embodies a notion of appropriate key
length that is similar to our own. It uses 80-bit keys,
a number that lies between our figures of 75 and 90
bits.
About the Authors
Matt Blaze is a senior research scientist at
AT&T Research in the area of computer
security and cryptography. Recently Blaze
demonstrated weaknesses in the U.S. government's
`Clipper Chip' key escrow encryption system. His
current interests include large-scale trust
management and the applications of smartcards.
mab@research.att.com
Whitfield Diffie is a distinguished Engineer at Sun
Microsystems specializing in security. In 1976
Diffie and Martin Hellman created public key
cryptography, which solved the problem of sending
coded information between individuals with no prior
relationship and is the basis for widespread
encryption in the digital information age.
diffie@eng.sun.com
Ronald L. Rivest is a professor of computer science
at the Massachusetts Institute of Technology, and is
Associate Director of MIT's Laboratory for
Computer Science. Rivest, together with Leonard
Adleman and Adi Shamir, invented the RSA public-
key cryptosystem that is used widely throughout
industry. Ron Rivest is one of the founders of RSA
Data Security Inc. and is the creator of variable key
length symmetric key ciphers (e.g., RC4).
rivest@lcs.mit.edu
Bruce Schneier is president of Counterpane
Systems, a consulting firm specializing in
cryptography and computer security. Schneier
writes and speaks frequently on computer security
and privacy and is the author of a leading
10
информации 185, Стандартом шифрования ЕЕS.
DES был предложен 21 год назад и использует 56-
битовый ключ. Применяя закон Мура и добавляя
14 битов получаем, что стойкость DES в том году,
когда он был принят (1975 г.), сопоставима с 70-
битовой системой сегодня. Подсчитано, что время
в течение которого и что ключи могут быть
перебраны в один день соответствуют
инвестициям в 20 млн. долл. Наш 75-битовый
расчет сегодня соответствует 61 биту в 1975 г.,
достаточно, чтобы вывести цену перебора ключей
за достижимые пределы. EES пока неприемлем для
многих потенциальных пользователей по многи
причинам, воплощает понятие о соответствующей
длине ключа, что похоже на наши. Он использует
80-битовые ключи, количество которых лежит
между нашими значениями 75 и 90 битов.
Об авторах
Матт Блейз - старший исследователь в AT&T.
Исследования в области компьютерной
безопасности и криптографии. Недавно Блейз
продемонстрировал слабость американской
правительственной системы шифрования
«Клиппер». В настоящее время он работает в
области крупномасштабного управления доверием
и приложений смарт-карт.
Уитфилд Диффи - заслуженный инженер в Sun
Microsystems в области безопасности. В 1976 г.
Диффи и Мартин Хеллман разработали
криптографию с открытым ключом, которая
решила проблемы обмена ключами по открытым
каналам, создали базис для широкого применения
шифрования в эпоху цифровой информации.
Рональд Райвест - профессор компьютерных наук
Массачусетского Технологического института
(МТИ) и заместитель директора Лаборатории
Компьютерных наук МТИ. Райвест, совместно с
Леонардом Эйдельманом и Эди Шамиром
предложили криптосистему с открытым ключом,
которая широко используется в индустрии. Рон
Райвест - один из основателей компании RSA Data
Security Inc. и разработчик серии алгоритмов
шифрования с симметричным ключом различной
длины (например RC4).
Брюс Шнейер - президент «Counterpane Systems» -
консультационной фирмы специализирующейся в
области криптографии и компьютерной
безопасности. Шнейер много пишет и говорит о
компьютерной защите и безопасности, он автор
 11

cryptography textbook, Applied Cryptography, and популярной книги «Прикладная криптография» и

is the creator of the symmetric key cipher Blowfish. создатель симметричного алгоритма шифрования
schneier@counterpane.com «Blowfish».

Tsutomu Shimomura is a computational physicist Цутоми Шимомура - специалист в

employed by the San Diego Supercomputer Center вычислительной физике, работает в
who is an expert in designing software security Суперкомпьютерном центре в Сан-Диего в
tools. Last year, Shimomura was responsible for качестве эксперта по созданию программных
tracking down the computer outlaw Kevin Mitnick, средств защиты. В прошлом году Шимомура
who организовывал операцию по поимке
electronically stole and altered valuable electronic компьютерного нарушителя Кевина Митника,
information around the country. который воровал различную электронную
tsutomu@sdsc.edu информацию по всей стране.

Eric Thompson heads AccessData Corporation's Эрик Томсон - возглавляет криптоаналитическую

cryptanalytic team and is a frequent lecturer on
applied crytography. AccessData specializes in data
recovery and decrypting information utilizing brute
force as well as `smarter' attacks. Regular clients
include the FBI and other law enforcement agencies
as well as corporations.
eric@accessdata.com
команду корпорации «AccessData» («Доступ к
данным») и популярный лектор по прикладной
криптографии. Компания AccessData
специализируется в области взлома данных и
дешифрования информации методом «силовой
атаки». Постоянными клиентами компании
являются ФБР и другие правоохранительные
органы и компании.

Michael Wiener is a cryptographic advisor at Bell- Майкл Винер - криптографический советник

Northern Research where he focuses on
cryptanalysis, security architectures, and public-key
infrastructures. His influential 1993 paper, Efficient
DES Key Search, describes in detail how to cons-
truct a machine to brute force crack DES coded
information (and provides cost estimates as well).
wiener@bnr.ca
компании Bell-Northern Research, где он
занимается криптоанализом, архитектурой
безопасности и открытыми ключами. Под его
влиянием 1993 газеты, эффективный поиск ключей
DES, детальное описание машины для силовой
атаки на DES-шифрованную информацию.

ACKNOWLEDGEMENT БЛАГОДАРНОСТИ

The authors would like to thank the Business Авторы выражают свою признательность
Software Alliance, which provided support for a Ассоциации производителей программного
one-day meeting, held in Chicago on 20 November обеспечения Business Software Alliance за ее
1995 поддержку в подготовке однодневного семинара
прошедшего в Чикаго 20 ноября 1995 г.
 12

Таблица 1
Тип Время и цена Длина
нападающего Бюджет Инструмент за взломанный ключ необходимая для
защиты
40 бит 56 бит
малый мусорное 1 неделя невозможно 45
машинное
Пеший хакер время
400 долл. FPGA 5 часов 38 лет 50
($0.08) ($5,000)
10 тыс. FPGA 12 минут 556 дней 55
Малый бизнесс
долл. ($0.08) ($5,000)
300 тыс. FPGA or 24 секунды 19 дней 60
долл ($0.08) ($5,000)
Средний бизнес
ASIC .18 секунд 3 часа
($0.001) ($38)
10 млн. FPGA .7 секунд 13 часов 70
Крупная долл. или ($0.08) ($5,000)
компания ASIC 0,005 секунд .6 минут
($0.001) ($38)
Спецслужбы 300 млн. ASIC .0002 seconds 12 seconds 75
долл. ($0.001) ($38)