トリプルDES

トリプルDES（トリプルデス、英語: Triple DES、3DES）とは、共通鍵ブロック暗号であるDESを3回施す暗号アルゴリズム。正式名称はTriple Data Encryption Algorithm(TDEA、Triple DEA)。時代の流れに伴い、鍵長56ビットのDESでは総当たり攻撃への耐性が低くなったことから、これを補う目的で考案された。

平文を単にDESで3回暗号化するのではなく、暗号化→復号→暗号化の順に施す暗号アルゴリズムである。

C = encrypt_k3(decrypt_k2(encrypt_k1(P)))

ただし

P ... 平文

C ... 暗号文

k_i ... 鍵 #i

encrypt, decrypt ... DES

この鍵の選択について3つのオプションが存在する。

Keying option 1

k₁, k₂, k₃ すべてが異なる場合。

3 × 56 = 168ビットの鍵長となるが、既知の攻撃法が存在するため実質的な暗号強度は112ビット程度となる^[1]。3TDEA、3-key 3DES などと呼ばれる。

Keying option 2

k₁ と k₂ が異なり、k₃ = k₁ の場合。

2 × 56 = 112ビットの鍵長となるが、既知の攻撃法が存在するため実質的な暗号強度はせいぜい80ビットとされる^[1]。中間一致攻撃への耐性があるため、単純にDESで2回暗号化するよりは安全である。2TDEA、2-key 3DES などと呼ばれる。

Keying option 3

k₁ = k₂ = k₃の場合。

DESと同じであり、56ビットの鍵長を持つ。このオプションにより、トリプルDESはDESに対して上位互換性を持つ（DESによって暗号化された文章をトリプルDESで復号できる。）

3つの鍵{k₁,k₂,k₃}を使うトリプルDES (-EEE) が、1つの鍵k₄でDESを行う場合よりも安全性が向上するかが問題となる。ここで任意の{k₁、k₂、k₃}について

C1 = DES<k₃>( DES<k₂>( DES<k₁>( P ) ) )

C2 = DES<k₄>( P )

とすると、全てのPについてC1 == C2となるk₄が存在するならば、トリプルDES (-EEE) の鍵空間はDESと同じであり、安全性は向上しないことになる。この問題について、任意の{k₁,k₂}に対して、DES<k₂>( DES<k₁>( * ) ) == DES<k₃>( * ) となるk3は存在しないことが証明され、DESを多段にすることで鍵空間は拡大できることが示された^[2]。つまり、DESは群をなさない。

一般的にトリプルDESでは3つの異なる鍵 (Keying option 1) を用いて168ビットの鍵長を持っているが、中間一致攻撃により安全性は112ビット相当となる。2つの異なる鍵 (Keying option 2) を用いる場合は112ビットの鍵長を持っているが、選択平文攻撃または既知平文攻撃により安全性はせいぜい80ビット相当とされる。112ビットであっても総当たりには相当なコンピュータパワーが必要となるが、年々の性能向上を考慮し、アメリカ国立標準技術研究所は2023年末をもって全てのアプリケーションで廃止するとしている^[3]。

DESと同じアルゴリズムで簡単に実装できることから、ICカードの共通仕様であるEMVなどをはじめ現在でも広く利用されている。

ただし、安全性が実質112ビットまでとなることや、DESを3回施すことで計算負荷も3倍となることから、現在はより安全で高速なAESに置き換わりつつある。AESをサポートしておらず、トリプルDESまでの対応にとどまるWindows XP等への下位互換性を維持する目的等で使われた。

トリプルDESをサポートしているライブラリは以下の通り。

• Botan
• Bouncy Castle（英語版）
• cryptlib（英語版）
• Crypto++（英語版）
• Libgcrypt（英語版）
• Nettle（英語版）
• OpenSSL
• wolfSSL

（上記のライブラリの中の最近のバージョンでは、デフォルトビルドでトリプルDESが有効でないものもある。）

1. ^ ^{a b} NIST SP 800-57, §5.6.1.1.
2. ^ Campbell & Wiener 1992.
3. ^ NIST SP 800-131A, §2.

• “NIST Special Publication 800-57 Recommendation for Key Management: Part 1 — General (Revision 5)”. NIST (2020年5月). doi:10.6028/NIST.SP.800-57pt1r5. 2020年6月7日閲覧。
• “NIST Special Publication 800-131A Transitioning the Use of Cryptographic Algorithms and Key Lengths (Revision 2)”. NIST (2019年3月). doi:10.6028/NIST.SP.800-131Ar2. 2023年5月23日閲覧。
• Campbell, Keith W.; Wiener, Michael J. (1992), “DES is not a Group”, CRYPTO '92. 

• DES - DES-X
• 暗号
• 暗号理論
• 多重暗号 / カスケード暗号

表 話 編 歴 ブロック暗号 アルゴリズム AES ARIA Blowfish Camellia CAST-128 CAST-256 DES DES-X 3DES FEAL IDEA KASUMI Lucifer MISTY1 MULTI2 RC2 RC5 RC6 SEED Serpent Square Twofish スキップジャック 設計 Feistel構造 S-box SPN構造 攻撃 （暗号解読） 総当たり攻撃 レインボーテーブル 中間一致攻撃 線形解読法 差分解読法 切詰 高階 関連鍵攻撃 標準化 AES公募 CRYPTREC NESSIE NSA Suite B（英語版） CNSA 用語 初期化ベクトル 暗号利用モード カテゴリ

表 話 編 歴 暗号 暗号史 暗号解読 Cryptography portal en:Outline of cryptography 共通鍵暗号 ブロック暗号 ストリーム暗号 暗号利用モード 公開鍵暗号 暗号学的ハッシュ関数 メッセージ認証コード 認証付き暗号 乱数生成器 ステガノグラフィー

カテゴリ