多重DES

背景：单重DES在穷举攻击下相对比较脆弱

理论依据：以双重DES为例

　　加密：C = E(K₂,E(K₁,P))    　　解密：P = D(K₁,D(K₂,C))

　　要证明多重加密有效，就要证明不存在K₃，使得 E(K₂,E(K₁,P)) = E(K₃,P)

　　DES加密是64位分组之间的映射，64位分组存在2⁶⁴个可能的明文分组，这2⁶⁴个分组有(2⁶⁴)! = 10^{347380000000000000000}个可能的一一映射关系。

　　而DES每个密钥定义了一个映射，映射总数位2⁵⁶ < 10¹⁷。因而完全有理由认为双重DES所对应的映射不能为单映射所定义。

中间相遇攻击：一种对所有分组密码均有效的攻击方法

　　以双重DES位例，C = E(K₂,E(K₁,P)) 。首先设定一个中间值X，有

　　　　X = E(K₁,P) = D(K₂,C)

　　给定明密文对(P,C),首先，将P按所有可能的密钥K₁加密，得到的2⁵⁶个结果按X的值排序放在一个表内，然后将C用所有可能的密钥K₂解密，每解密一次，将解密结果与表中的值比较，如果由相等的，就将刚才测试的两个密钥对一个新的明密文对进行验证，若验证成功，则认定这两个密钥对是正确的密钥。

　　结论：中间相遇攻击⁵⁶，比单重DES所需的2⁵⁵次方多不了多少。

三重DES

　　使用三个不同的密钥进行三次加密的三重DES将使中间相遇攻击的代价升至2¹¹²数量级。但是其缺陷是需要56×3 = 168位密钥，这有些笨拙。

　　改进的办法是使用两个密钥进行三次加密，牺牲一定的安全性来换取更加轻便的密钥。

　　这种加密具体的运算过程是加密-解密-加密（EDE），写成式子如下

　　　　C = E(K₁,D(k₂,E(K₁,P)))     P = D(K₁,E(k₂,D(K₁,C)))

　　第二步采用解密运算并没有什么密码学上的深意，仅是为了使三重DES与单DES兼容，因为

　　　　C = E(K₁,D(k₁,E(K₁,P))) = E(K₁,P)       P = D(K₁,E(k₁,D(K₁,C))) = D(K₁,C)

　　不过由于使用双密钥的三重DES算法的人还是感觉不放心，因此很多人还是觉得采用三个密钥的三重DES算法才是最好的方案，三个密钥的定义如下

　　　　C = E(K₃,D(k₂,E(K₁,P)))     P = D(K₁,E(k₂,D(K₃,C)))