home *** CD-ROM | disk | FTP | other *** search
/ Suzy B Software 2 / Suzy B Software CD-ROM 2 (1994).iso / nasa / cryptfaq / cryptfaq.593 < prev   
Internet Message Format  |  1995-05-02  |  112KB

  1. Xref: rde sci.crypt:3333 sci.answers:187 news.answers:3046
  2. Path: rde!uunet!gatech!howland.reston.ans.net!noc.near.net!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  3. From: crypt-comments@math.ncsu.edu
  4. Newsgroups: sci.crypt,sci.answers,news.answers
  5. Subject: Cryptography FAQ (01/10: Overview; last mod 19930504)
  6. Supersedes: <cryptography-faq/part01_735019207@GZA.COM>
  7. Followup-To: poster
  8. Date: 7 May 1993 00:00:19 -0400
  9. Organization: The Crypt Cabal
  10. Lines: 136
  11. Sender: faqserv@GZA.COM
  12. Approved: news-answers-request@MIT.Edu
  13. Expires: 11 Jun 1993 04:00:05 GMT
  14. Message-ID: <cryptography-faq/part01_736747205@GZA.COM>
  15. Reply-To: crypt-comments@math.ncsu.edu
  16. NNTP-Posting-Host: pad-thai.aktis.com
  17. Summary: Part 1 of 10 of the sci.crypt FAQ, Overview. A table of 
  18.  contents for subsequent sections. Contributors, feedback, archives,
  19.  administrivia.
  20. X-Last-Updated: 1993/05/06
  21.  
  22. Archive-name: cryptography-faq/part01
  23.  
  24.  
  25. This is the first of ten parts of the sci.crypt FAQ. The parts are
  26. mostly independent, but you should read this part before the rest. We
  27. don't have the time to send out missing parts by mail, so don't ask.
  28. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  29.  
  30. Disclaimer: This document is the product of the Crypt Cabal, a secret
  31. society which serves the National Secu---uh, no. Seriously, we're the
  32. good guys, and we've done what we can to ensure the completeness and
  33. accuracy of this document, but in a field of military and commercial
  34. importance like cryptography you have to expect that some people and
  35. organizations consider their interests more important than open
  36. scientific discussion. Trust only what you can verify firsthand.
  37. And don't sue us.
  38.  
  39. Many people have contributed to this FAQ. In alphabetical order:
  40. Eric Bach, Steve Bellovin, Dan Bernstein, Nelson Bolyard, Carl Ellison,
  41. Jim Gillogly, Mike Gleason, Doug Gwyn, Luke O'Connor, Tony Patti,
  42. William Setzer. We apologize for any omissions.
  43.  
  44. If you have suggestions, comments, or criticism, please let the current
  45. editors know by sending e-mail to crypt-comments@math.ncsu.edu. Bear in
  46. mind that this is a work in progress; there are some questions which we
  47. should add but haven't gotten around to yet.
  48.  
  49. Archives: sci.crypt has been archived since October 1991 on
  50. ripem.msu.edu, though these archives are available only to U.S. and
  51. Canadian users. Please contact crypt-comments@math.ncsu.edu if you know of
  52. other archives.
  53.  
  54. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  55. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  56. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  57. every 21 days.
  58.  
  59.  
  60. Table of contents:
  61.  
  62. 1. Overview
  63.  
  64. 2. Net Etiquette
  65. 2.1. What groups are around? What's a FAQ? Who am I? Why am I here?
  66. 2.2. Do political discussions belong in sci.crypt?
  67. 2.3. How do I present a new encryption scheme in sci.crypt?
  68.  
  69. 3. Basic Cryptology
  70. 3.1. What is cryptology? Cryptography? Plaintext? Ciphertext? Encryption? Key?
  71. 3.2. What references can I start with to learn cryptology?
  72. 3.3. How does one go about cryptanalysis?
  73. 3.4. What is a brute-force search and what is its cryptographic relevance?
  74. 3.5. What are some properties satisfied by every strong cryptosystem?
  75. 3.6. If a cryptosystem is theoretically unbreakable, then is it
  76.   guaranteed analysis-proof in practice?
  77. 3.7. Why are many people still using cryptosystems that are
  78.   relatively easy to break?
  79.  
  80. 4. Mathematical Cryptology
  81. 4.1. In mathematical terms, what is a private-key cryptosystem?
  82. 4.2. What is an attack?
  83. 4.3. What's the advantage of formulating all this mathematically?
  84. 4.4. Why is the one-time pad secure?
  85. 4.5. What's a ciphertext-only attack?
  86. 4.6. What's a known-plaintext attack?
  87. 4.7. What's a chosen-plaintext attack?
  88. 4.8. In mathematical terms, what can you say about brute-force attacks?
  89. 4.9. What's a key-guessing attack? What's entropy?
  90.  
  91. 5. Product Ciphers
  92. 5.1. What is a product cipher?
  93. 5.2. What makes a product cipher secure?
  94. 5.3. What are some group-theoretic properties of product ciphers?
  95. 5.4. What can be proven about the security of a product cipher?
  96. 5.5. How are block ciphers used to encrypt data longer than the block size?
  97. 5.6. Can symmetric block ciphers be used for message authentication?
  98. 5.7. What exactly is DES?
  99. 5.8. What is triple DES?
  100. 5.9. What is differential cryptanalysis?
  101. 5.10. How was NSA involved in the design of DES?
  102. 5.11. Is DES available in software?
  103. 5.12. Is DES available in hardware?
  104. 5.13. Can DES be used to protect classified information?
  105. 5.14. What are ECB, CBC, CFB, and OFB encryption?
  106.  
  107. 6. Public-Key Cryptography
  108. 6.1. What is public-key cryptography?
  109. 6.2. What's RSA?
  110. 6.3. Is RSA secure?
  111. 6.4. How fast can people factor numbers?
  112. 6.5. What about other public-key cryptosystems?
  113.  
  114. 7. Digital Signatures
  115. 7.1. What is a one-way hash function?
  116. 7.2. What is the difference between public, private, secret, shared, etc.?
  117. 7.3. What are MD4 and MD5?
  118. 7.4. What is Snefru?
  119.  
  120. 8. Technical Miscellany
  121. 8.1. How do I recover from lost passwords in WordPerfect?
  122. 8.2. How do I break a Vigenere (repeated-key) cipher?
  123. 8.3. How do I send encrypted mail under UNIX? [PGP, RIPEM, PEM, ...]
  124. 8.4. Is the UNIX crypt command secure?
  125. 8.5. How do I use compression with encryption?
  126. 8.6. Is there an unbreakable cipher?
  127. 8.7. What does ``random'' mean in cryptography?
  128. 8.8. What is the unicity point (a.k.a. unicity distance)?
  129. 8.9. What is key management and why is it important?
  130. 8.10. Can I use pseudo-random or chaotic numbers as a key stream?
  131. 8.11. What is the correct frequency list for English letters?
  132. 8.12. What is the Enigma?
  133. 8.13. How do I shuffle cards?
  134. 8.14. Can I foil S/W pirates by encrypting my CD-ROM?
  135. 8.15. Can you do automatic cryptanalysis of simple ciphers?
  136. 8.16. What is the coding system used by VCR+?
  137.  
  138. 9. Other Miscellany
  139. 9.1. What is the National Security Agency (NSA)?
  140. 9.2. What are the US export regulations?
  141. 9.3. What is TEMPEST?
  142. 9.4. What are the Beale Ciphers, and are they a hoax?
  143. 9.5. What is the American Cryptogram Association, and how do I get in touch?
  144. 9.6. Is RSA patented?
  145. 9.7. What about the Voynich manuscript?
  146.  
  147. 10. References
  148. 10.1. Books on history and classical methods
  149. 10.2. Books on modern methods
  150. 10.3. Survey articles
  151. 10.4. Reference articles
  152. 10.5. Journals, conference proceedings
  153. 10.6. Other
  154. 10.7. How may one obtain copies of FIPS and ANSI standards cited herein?
  155. 10.8. Electronic sources
  156. 10.9. RFCs (available from [FTPRF])
  157. 10.10. Related newsgroups
  158.  
  159. Xref: rde sci.crypt:3334 sci.answers:188 news.answers:3047
  160. Path: rde!uunet!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  161. From: crypt-comments@math.ncsu.edu
  162. Newsgroups: sci.crypt,sci.answers,news.answers
  163. Subject: Cryptography FAQ (02/10: Net Etiquette; last mod 19930504)
  164. Supersedes: <cryptography-faq/part02_735019207@GZA.COM>
  165. Followup-To: poster
  166. Date: 7 May 1993 00:00:20 -0400
  167. Organization: The Crypt Cabal
  168. Lines: 89
  169. Sender: faqserv@GZA.COM
  170. Approved: news-answers-request@MIT.Edu
  171. Expires: 11 Jun 1993 04:00:05 GMT
  172. Message-ID: <cryptography-faq/part02_736747205@GZA.COM>
  173. References: <cryptography-faq/part01_736747205@GZA.COM>
  174. Reply-To: crypt-comments@math.ncsu.edu
  175. NNTP-Posting-Host: pad-thai.aktis.com
  176. X-Last-Updated: 1993/05/06
  177.  
  178. Archive-name: cryptography-faq/part02
  179.  
  180.  
  181. This is the second of ten parts of the sci.crypt FAQ. The parts are
  182. mostly independent, but you should read the first part before the rest.
  183. We don't have the time to send out missing parts by mail, so don't ask.
  184. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  185.  
  186. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  187. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  188. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  189. every 21 days.
  190.  
  191.  
  192. Contents:
  193.  
  194. 2.1. What groups are around? What's a FAQ? Who am I? Why am I here?
  195. 2.2. Do political discussions belong in sci.crypt?
  196. 2.3. How do I present a new encryption scheme in sci.crypt?
  197.  
  198.  
  199. 2.1. What groups are around? What's a FAQ? Who am I? Why am I here?
  200.  
  201.   Read news.announce.newusers and news.answers for a few weeks. Always
  202.   make sure to read a newsgroup for some time before you post to it.
  203.   You'll be amazed how often the same question can be asked in the same
  204.   newsgroup. After a month you'll have a much better sense of what the
  205.   readers want to see.
  206.  
  207. 2.2. Do political discussions belong in sci.crypt?
  208.  
  209.   No. In fact some newsgroups (notably misc.legal.computing) were
  210.   created exactly so that political questions like ``Should RSA be
  211.   patented?'' don't get in the way of technical discussions. Many
  212.   sci.crypt readers also read misc.legal.computing, comp.org.eff.talk,
  213.   comp.patents, sci.math, comp.compression, et al.; for the benefit of
  214.   people who don't care about those other topics, try to put your
  215.   postings in the right group.
  216.  
  217.   Questions about microfilm and smuggling and other non-cryptographic
  218.   ``spy stuff'' don't belong in sci.crypt either.
  219.  
  220. 2.3. How do I present a new encryption scheme in sci.crypt?
  221.  
  222.   ``I just came up with this neat method of encryption. Here's some
  223.   ciphertext: FHDSIJOYW^&%$*#@OGBUJHKFSYUIRE. Is it strong?'' Without a
  224.   doubt questions like this are the most annoying traffic on sci.crypt.
  225.  
  226.   If you have come up with an encryption scheme, providing some
  227.   ciphertext from it is not adequate. Nobody has ever been impressed by
  228.   random gibberish. Any new algorithm should be secure even if the
  229.   opponent knows the full algorithm (including how any message key is
  230.   distributed) and only the private key is kept secret. There are some
  231.   systematic and unsystematic ways to take reasonably long ciphertexts
  232.   and decrypt them even without prior knowledge of the algorithm, but
  233.   this is a time-consuming and possibly fruitless exercise which most
  234.   sci.crypt readers won't bother with.
  235.  
  236.   So what do you do if you have a new encryption scheme? First of all,
  237.   find out if it's really new. Look through this FAQ for references and
  238.   related methods. Familiarize yourself with the literature and the
  239.   introductory textbooks.
  240.  
  241.   When you can appreciate how your cryptosystem fits into the world at
  242.   large, try to break it yourself! You shouldn't waste the time of tens
  243.   of thousands of readers asking a question which you could have easily
  244.   answered on your own.
  245.  
  246.   If you really think your system is secure, and you want to get some
  247.   reassurance from experts, you might try posting full details of your
  248.   system, including working code and a solid theoretical explanation, to
  249.   sci.crypt. (Keep in mind that the export of cryptography is regulated
  250.   in some areas.)
  251.  
  252.   If you're lucky an expert might take some interest in what you posted.
  253.   You can encourage this by offering cash rewards---for instance, noted
  254.   cryptographer Ralph Merkle is offering $1000 to anyone who can break
  255.   Snefru-4---but there are no guarantees. If you don't have enough
  256.   experience, then most likely any experts who look at your system will
  257.   be able to find a flaw. If this happens, it's your responsibility to
  258.   consider the flaw and learn from it, rather than just add one more
  259.   layer of complication and come back for another round.
  260.  
  261.   A different way to get your cryptosystem reviewed is to have the NSA
  262.   look at it. A full discussion of this procedure is outside the scope
  263.   of this FAQ.
  264.  
  265.   Among professionals, a common rule of thumb is that if you want to
  266.   design a cryptosystem, you have to have experience as a cryptanalyst.
  267.  
  268. Xref: rde sci.crypt:3335 sci.answers:189 news.answers:3048
  269. Path: rde!uunet!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  270. From: crypt-comments@math.ncsu.edu
  271. Newsgroups: sci.crypt,sci.answers,news.answers
  272. Subject: Cryptography FAQ (03/10: Basic Cryptology; last mod 19930504)
  273. Supersedes: <cryptography-faq/part03_735019207@GZA.COM>
  274. Followup-To: poster
  275. Date: 7 May 1993 00:00:22 -0400
  276. Organization: The Crypt Cabal
  277. Lines: 179
  278. Sender: faqserv@GZA.COM
  279. Approved: news-answers-request@MIT.Edu
  280. Expires: 11 Jun 1993 04:00:05 GMT
  281. Message-ID: <cryptography-faq/part03_736747205@GZA.COM>
  282. References: <cryptography-faq/part01_736747205@GZA.COM>
  283. Reply-To: crypt-comments@math.ncsu.edu
  284. NNTP-Posting-Host: pad-thai.aktis.com
  285. X-Last-Updated: 1993/05/06
  286.  
  287. Archive-name: cryptography-faq/part03
  288.  
  289.  
  290. This is the third of ten parts of the sci.crypt FAQ. The parts are
  291. mostly independent, but you should read the first part before the rest.
  292. We don't have the time to send out missing parts by mail, so don't ask.
  293. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  294.  
  295. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  296. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  297. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  298. every 21 days.
  299.  
  300.  
  301. Contents:
  302.  
  303. 3.1. What is cryptology? Cryptography? Plaintext? Ciphertext? Encryption? Key?
  304. 3.2. What references can I start with to learn cryptology?
  305. 3.3. How does one go about cryptanalysis?
  306. 3.4. What is a brute-force search and what is its cryptographic relevance?
  307. 3.5. What are some properties satisfied by every strong cryptosystem?
  308. 3.6. If a cryptosystem is theoretically unbreakable, then is it
  309.   guaranteed analysis-proof in practice?
  310. 3.7. Why are many people still using cryptosystems that are
  311.   relatively easy to break?
  312.  
  313.  
  314. 3.1. What is cryptology? Cryptography? Plaintext? Ciphertext? Encryption? Key?
  315.  
  316.   The story begins: When Julius Caesar sent messages to his trusted
  317.   acquaintances, he didn't trust the messengers. So he replaced every A
  318.   by a D, every B by a E, and so on through the alphabet. Only someone
  319.   who knew the ``shift by 3'' rule could decipher his messages.
  320.  
  321.   A cryptosystem or cipher system is a method of disguising messages so
  322.   that only certain people can see through the disguise. Cryptography is
  323.   the art of creating and using cryptosystems. Cryptanalysis is the art
  324.   of breaking cryptosystems---seeing through the disguise even when
  325.   you're not supposed to be able to. Cryptology is the study of both
  326.   cryptography and cryptanalysis.
  327.  
  328.   The original message is called a plaintext. The disguised message is
  329.   called a ciphertext. Encryption means any procedure to convert
  330.   plaintext into ciphertext. Decryption means any procedure to convert
  331.   ciphertext into plaintext.
  332.  
  333.   A cryptosystem is usually a whole collection of algorithms. The
  334.   algorithms are labelled; the labels are called keys. For instance,
  335.   Caesar probably used ``shift by n'' encryption for several different
  336.   values of n. It's natural to say that n is the key here.
  337.  
  338.   The people who are supposed to be able to see through the disguise are
  339.   called recipients. Other people are enemies, opponents, interlopers,
  340.   eavesdroppers, or third parties.
  341.  
  342. 3.2. What references can I start with to learn cryptology?
  343.  
  344.   For an introduction to technical matter, the survey articles given
  345.   in part 10 are the best place to begin as they are, in general,
  346.   concise, authored by competent people, and well written. However,
  347.   these articles are mostly concerned with cryptology as it has
  348.   developed in the last 50 years or so, and are more abstract and
  349.   mathematical than historical. The Codebreakers by Kahn [KAH67] is
  350.   encyclopedic in its history and technical detail of cryptology up
  351.   to the mid-60's.
  352.  
  353.   Introductory cryptanalysis can be learned from Gaines [GAI44] or
  354.   Sinkov [SIN66]. This is recommended especially for people who want
  355.   to devise their own encryption algorithms since it is a common
  356.   mistake to try to make a system before knowing how to break one.
  357.  
  358.   The selection of an algorithm for the DES drew the attention of
  359.   many public researchers to problems in cryptology. Consequently
  360.   several textbooks and books to serve as texts have appeared. The
  361.   book of Denning [DEN82] gives a good introduction to a broad range
  362.   of security including encryption algorithms, database security,
  363.   access control, and formal models of security. Similar comments
  364.   apply to the books of Price & Davies [PRI84] and Pfleeger [PFL89].
  365.  
  366.   The books of Konheim [KON81] and Meyer & Matyas [MEY82] are quite
  367.   technical books. Both Konheim and Meyer were directly involved in
  368.   the development of DES, and both books give a thorough analysis of
  369.   DES. Konheim's book is quite mathematical, with detailed analyses
  370.   of many classical cryptosystems. Meyer and Matyas concentrate on
  371.   modern cryptographic methods, especially pertaining to key management
  372.   and the integration of security facilities into computer systems and
  373.   networks.
  374.  
  375.   The books of Rueppel [RUE86] and Koblitz [KOB89] concentrate on
  376.   the application of number theory and algebra to cryptography.
  377.  
  378. 3.3. How does one go about cryptanalysis?
  379.  
  380.   Classical cryptanalysis involves an interesting combination of
  381.   analytical reasoning, application of mathematical tools, pattern
  382.   finding, patience, determination, and luck. The best available
  383.   textbooks on the subject are the Military Cryptanalytics series
  384.   [FRIE1]. It is clear that proficiency in cryptanalysis is, for
  385.   the most part, gained through the attempted solution of given
  386.   systems. Such experience is considered so valuable that some of the
  387.   cryptanalyses performed during WWII by the Allies are still
  388.   classified.
  389.  
  390.   Modern public-key cryptanalysis may consist of factoring an integer,
  391.   or taking a discrete logarithm. These are not the traditional fare
  392.   of the cryptanalyst. Computational number theorists are some of the
  393.   most successful cryptanalysts against public key systems.
  394.  
  395. 3.4. What is a brute-force search and what is its cryptographic relevance?
  396.  
  397.   In a nutshell: If f(x) = y and you know y and can compute f, you can
  398.   find x by trying every possible x. That's brute-force search.
  399.  
  400.   Example: Say a cryptanalyst has found a plaintext and a corresponding
  401.   ciphertext, but doesn't know the key. He can simply try encrypting the
  402.   plaintext using each possible key, until the ciphertext matches---or
  403.   decrypting the ciphertext to match the plaintext, whichever is faster.
  404.   Every well-designed cryptosystem has such a large key space that this
  405.   brute-force search is impractical.
  406.     
  407.   Advances in technology sometimes change what is considered
  408.   practical. For example, DES, which has been in use for over 10 years
  409.   now, has 2^56, or about 10^17, possible keys. A computation with
  410.   this many operations was certainly unlikely for most users in the
  411.   mid-70's. The situation is very different today given the dramatic
  412.   decrease in cost per processor operation. Massively parallel
  413.   machines threaten the security of DES against brute force search.
  414.   Some scenarios are described by Garron and Outerbridge [GAR91].
  415.  
  416.   One phase of a more sophisticated cryptanalysis may involve a
  417.   brute-force search of some manageably small space of possibilities.
  418.  
  419. 3.5. What are some properties satisfied by every strong cryptosystem?
  420.  
  421.   The security of a strong system resides with the secrecy of the key
  422.   rather than with the supposed secrecy of the algorithm.
  423.  
  424.   A strong cryptosystem has a large keyspace, as mentioned above. It
  425.   has a reasonably large unicity distance; see question 8.8.
  426.  
  427.   A strong cryptosystem will certainly produce ciphertext which appears
  428.   random to all standard statistical tests (see, for example, [CAE90]).
  429.     
  430.   A strong cryptosystem will resist all known previous attacks. A
  431.   system which has never been subjected to scrutiny is suspect.
  432.  
  433.   If a system passes all the tests mentioned above, is it necessarily
  434.   strong? Certainly not. Many weak cryptosystems looked good at first.
  435.   However, sometimes it is possible to show that a cryptosystem is
  436.   strong by mathematical proof. ``If Joe can break this system, then
  437.   he can also solve the well-known difficult problem of factoring
  438.   integers.'' See part 6. Failing that, it's a crap shoot.
  439.  
  440. 3.6. If a cryptosystem is theoretically unbreakable, then is it
  441.   guaranteed analysis-proof in practice?
  442.  
  443.   Cryptanalytic methods include what is known as ``practical
  444.   cryptanalysis'': the enemy doesn't have to just stare at your
  445.   ciphertext until he figures out the plaintext. For instance, he might
  446.   assume ``cribs''---stretches of probable plaintext. If the crib is
  447.   correct then he might be able to deduce the key and then decipher the
  448.   rest of the message. Or he might exploit ``isologs''---the same
  449.   plaintext enciphered in several cryptosystems or several keys. Thus
  450.   he might obtain solutions even when cryptanalytic theory says he
  451.   doesn't have a chance.
  452.  
  453.   Sometimes, cryptosystems malfunction or are misused. The one-time pad,
  454.   for example, loses all security if it is used more than once! Even
  455.   chosen-plaintext attacks, where the enemy somehow feeds plaintext into
  456.   the encryptor until he can deduce the key, have been employed. See
  457.   [KAH67].
  458.   
  459. 3.7. Why are many people still using cryptosystems that are
  460.   relatively easy to break?
  461.  
  462.   Some don't know any better. Often amateurs think they can design
  463.   secure systems, and are not aware of what an expert cryptanalyst
  464.   could do. And sometimes there is insufficient motivation for anybody
  465.   to invest the work needed to crack a system.
  466.  
  467. Xref: rde sci.crypt:3336 sci.answers:190 news.answers:3049
  468. Path: rde!uunet!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  469. From: crypt-comments@math.ncsu.edu
  470. Newsgroups: sci.crypt,sci.answers,news.answers
  471. Subject: Cryptography FAQ (04/10: Mathematical Cryptology; last mod 19930504)
  472. Supersedes: <cryptography-faq/part04_735019207@GZA.COM>
  473. Followup-To: poster
  474. Date: 7 May 1993 00:00:24 -0400
  475. Organization: The Crypt Cabal
  476. Lines: 205
  477. Sender: faqserv@GZA.COM
  478. Approved: news-answers-request@MIT.Edu
  479. Expires: 11 Jun 1993 04:00:05 GMT
  480. Message-ID: <cryptography-faq/part04_736747205@GZA.COM>
  481. References: <cryptography-faq/part01_736747205@GZA.COM>
  482. Reply-To: crypt-comments@math.ncsu.edu
  483. NNTP-Posting-Host: pad-thai.aktis.com
  484. X-Last-Updated: 1993/05/06
  485.  
  486. Archive-name: cryptography-faq/part04
  487.  
  488.  
  489. This is the fourth of ten parts of the sci.crypt FAQ. The parts are
  490. mostly independent, but you should read the first part before the rest.
  491. We don't have the time to send out missing parts by mail, so don't ask.
  492. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  493.  
  494. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  495. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  496. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers
  497. every 21 days.
  498.  
  499.  
  500. Contents:
  501.  
  502. 4.1. In mathematical terms, what is a private-key cryptosystem?
  503. 4.2. What is an attack?
  504. 4.3. What's the advantage of formulating all this mathematically?
  505. 4.4. Why is the one-time pad secure?
  506. 4.5. What's a ciphertext-only attack?
  507. 4.6. What's a known-plaintext attack?
  508. 4.7. What's a chosen-plaintext attack?
  509. 4.8. In mathematical terms, what can you say about brute-force attacks?
  510. 4.9. What's a key-guessing attack? What's entropy?
  511.  
  512.  
  513. Reader, beware: This section is highly mathematical. Well, maybe not
  514. _highly_ mathematical, but it's got a bunch of symbols and scary-looking
  515. formulas. You have been warned.
  516.  
  517.  
  518. 4.1. In mathematical terms, what is a private-key cryptosystem?
  519.  
  520.   A private-key cryptosystem consists of an encryption system E and a
  521.   decryption system D. The encryption system E is a collection of
  522.   functions E_K, indexed by ``keys'' K, mapping some set of
  523.   ``plaintexts'' P to some set of ``ciphertexts'' C. Similarly the
  524.   decryption system D is a collection of functions D_K such that
  525.   D_K(E_K(P)) = P for every plaintext P. That is, succesful decryption
  526.   of ciphertext into plaintext is accomplished using the same key
  527.   (index) as was used for the corresponding encryption of plaintext
  528.   into ciphertext. Such systems, where the same key value is used to
  529.   encrypt and decrypt, are also known as ``symmetric'' cryptoystems.
  530.  
  531. 4.2. What is an attack?
  532.  
  533.   In intuitive terms a (passive) attack on a cryptosystem is any method
  534.   of starting with some information about plaintexts and their
  535.   corresponding ciphertexts under some (unknown) key, and figuring out
  536.   more information about the plaintexts. It's possible to state
  537.   mathematically what this means. Here we go.
  538.  
  539.   Fix functions F, G, and H of n variables. Fix an encryption system E,
  540.   and fix a distribution of plaintexts and keys.
  541.  
  542.   An attack on E using G assuming F giving H with probability p is an
  543.   algorithm A with a pair f, g of inputs and one output h, such that
  544.   there is probability p of computing h = H(P_1,...,P_n), if we have
  545.   f = F(P_1,...,P_n) and g = G(E_K(P_1),...,E_K(P_n)). Note that this
  546.   probability depends on the distribution of the vector (K,P_1,...,P_n).
  547.  
  548.   The attack is trivial (or ``pointless'') if there is probability at
  549.   least p of computing h = H(P_1,...,P_n) if f = F(P_1,...,P_n) and
  550.   g = G(C_1,...,C_n). Here C_1,...,C_n range uniformly over the possible
  551.   ciphertexts, and have no particular relation to P_1,...,P_n. In other
  552.   words, an attack is trivial if it doesn't actually use the encryptions
  553.   E_K(P_1),...,E_K(P_n).
  554.  
  555.   An attack is called ``one-ciphertext'' if n = 1, ``two-ciphertext'' if
  556.   n = 2, and so on.
  557.  
  558. 4.3. What's the advantage of formulating all this mathematically?
  559.  
  560.   In basic cryptology you can never prove that a cryptosystem is secure.
  561.   Read part 3: we keep saying ``a strong cryptosystem must have this
  562.   property, but having this property is no guarantee that a cryptosystem
  563.   is strong!''
  564.  
  565.   In contrast, the purpose of mathematical cryptology is to precisely
  566.   formulate and, if possible, prove the statement that a cryptosystem is
  567.   strong. We say, for example, that a cryptosystem is secure against
  568.   all (passive) attacks if any nontrivial attack against the system (as
  569.   defined above) is too slow to be practical. If we can prove this
  570.   statement then we have confidence that our cryptosystem will resist
  571.   any (passive) cryptanalytic technique. If we can reduce this statement
  572.   to some well-known unsolved problem then we still have confidence that
  573.   the cryptosystem isn't easy to break.
  574.  
  575.   Other parts of cryptology are also amenable to mathematical
  576.   definition. Again the point is to explicitly identify what assumptions
  577.   we're making and prove that they produce the desired results. We can
  578.   figure out what it means for a particular cryptosystem to be used
  579.   properly: it just means that the assumptions are valid.
  580.  
  581.   The same methodology is useful for cryptanalysis too. The cryptanalyst
  582.   can take advantage of incorrect assumptions. Often he can try to
  583.   construct a proof of security for a system, see where the proof fails,
  584.   and use these failures as the starting points for his analysis.
  585.   
  586. 4.4. Why is the one-time pad secure?
  587.  
  588.   By definition, the one-time pad is a cryptosystem where the
  589.   plaintexts, ciphertexts, and keys are all strings (say byte strings)
  590.   of some length m, and E_K(P) is just the sum (let's say the exclusive
  591.   or) of K and P.
  592.  
  593.   It is easy to prove mathematically that there are _no_ nontrivial
  594.   single-ciphertext attacks on the one-time pad, assuming a uniform
  595.   distribution of keys. Note that we don't have to assume a uniform
  596.   distribution of plaintexts. (Here's the proof: Let A be an attack,
  597.   i.e., an algorithm taking two inputs f, g and producing one output h,
  598.   with some probability p that h = H(P) whenever f = F(P) and
  599.   g = G(E_K(P)) (i.e., g = G(K + P)). Then, because the distribution of
  600.   K is uniform and independent of P, the distribution of K + P must also
  601.   be uniform and independent of P. But also the distribution of C is
  602.   uniform and independent of P. Hence there is probability exactly p
  603.   that h = H(P) whenever f = F(P) and g = G(C), over all P and C. Thus
  604.   a fortiori A is trivial.)
  605.  
  606.   On the other hand the one-time pad is _not_ secure if a key K is used
  607.   for more than one plaintext: i.e., there are nontrivial
  608.   multiple-ciphertext attacks. So to be properly used a key K must be
  609.   thrown away after one encryption. The key is also called a ``pad'';
  610.   this explains the name ``one-time pad.''
  611.  
  612. 4.5. What's a ciphertext-only attack?
  613.  
  614.   In the notation above, a ciphertext-only attack is one where F is
  615.   constant. Given only some information G(E_K(P_1),...,E_K(P_n)) about
  616.   n ciphertexts, the attack has to have some chance of producing some
  617.   information H(P_1,...,P_n) about the plaintexts. The attack is trivial
  618.   if it has just as good a chance of producing H(P_1,...,P_n) when given
  619.   G(C_1,...,C_n) for random C_1,...,C_n.
  620.  
  621.   For example, say G(C) = C, and say H(P) is the first bit of P. We can
  622.   easily write down an attack---the ``guessing attack,'' which simply
  623.   guesses that H(P) is 1. This attack is trivial because it doesn't use
  624.   the ciphertext: it has a fifty-fifty chance of guessing correctly no
  625.   matter what. On the other hand there is an attack on RSA which
  626.   produces one bit of information about P, with 100% success, using C.
  627.   If it is fed a random C then the success rate drops to 50%. So this is
  628.   a nontrivial attack.
  629.  
  630. 4.6. What's a known-plaintext attack?
  631.  
  632.   The classic known-plaintext attack has F(P_1,P_2) = P_1,
  633.   G(C_1,C_2) = (C_1,C_2), and H(P_1,P_2) depending only on P_2.
  634.   In other words, given two ciphertexts C_1 and C_2 and one decryption
  635.   P_1, the known-plaintext attack should produce information about the
  636.   other decryption P_2.
  637.  
  638.   Note that known-plaintext attacks are often defined in the literature
  639.   as producing information about the key, but this is pointless: the
  640.   cryptanalyst generally cares about the key only insofar as it lets him
  641.   decrypt further messages.
  642.  
  643. 4.7. What's a chosen-plaintext attack?
  644.  
  645.   A chosen-plaintext attack is the first of an increasingly impractical
  646.   series of _active_ attacks on a cryptosystem: attacks where the
  647.   cryptanalyst feeds data to the encryptor. These attacks don't fit into
  648.   our model of passive attacks explained above. Anyway, a
  649.   chosen-plaintext attack lets the cryptanalyst choose a plaintext and
  650.   look at the corresponding ciphertext, then repeat until he has figured
  651.   out how to decrypt any message. More absurd examples of this sort of
  652.   attack are the ``chosen-key attack'' and ``chosen-system attack.''
  653.  
  654.   A much more important form of active attack is a message corruption
  655.   attack, where the attacker tries to change the ciphertext in such a
  656.   way as to make a useful change in the plaintext.
  657.  
  658.   There are many easy ways to throw kinks into all of these attacks:
  659.   for instance, automatically encrypting any plaintext P as
  660.   T,E_K(h(T+R+P),R,P), where T is a time-key (sequence number) chosen anew
  661.   for each message, R is a random number, and h is a one-way hash
  662.   function. Here comma means concatenation and plus means exclusive-or.
  663.  
  664. 4.8. In mathematical terms, what can you say about brute-force attacks?
  665.  
  666.   Consider the following known-plaintext attack. We are given some
  667.   plaintexts P_1,...,P_{n-1} and ciphertexts C_1,...,C_{n-1}. We're
  668.   also given a ciphertext C_n. We run through every key K. When we find
  669.   K such that E_K(P_i) = C_i for every i < n, we print D_K(C_n).
  670.  
  671.   If n is big enough that only one key works, this attack will succeed
  672.   on valid inputs all the time, while it will produce correct results
  673.   only once in a blue moon for random inputs. Thus this is a nontrivial
  674.   attack. Its only problem is that it is very slow if there are many
  675.   possible keys.
  676.  
  677. 4.9. What's a key-guessing attack? What's entropy?
  678.  
  679.   Say somebody is using the one-time pad---but isn't choosing keys
  680.   randomly and uniformly from all m-bit messages, as he was supposed to
  681.   for our security proof. In fact say he's known to prefer keys which
  682.   are English words. Then a cryptanalyst can run through all English
  683.   words as possible keys. This attack will often succeed, and it's much
  684.   faster than a brute-force search of the entire keyspace.
  685.  
  686.   We can measure how bad a key distribution is by calculating its
  687.   entropy. This number E is the number of ``real bits of information''
  688.   of the key: a cryptanalyst will typically happen across the key within
  689.   2^E guesses. E is defined as the sum of -p_K log_2 p_K, where p_K is
  690.   the probability of key K.
  691.  
  692. Xref: rde sci.crypt:3337 sci.answers:191 news.answers:3050
  693. Path: rde!uunet!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  694. From: crypt-comments@math.ncsu.edu
  695. Newsgroups: sci.crypt,sci.answers,news.answers
  696. Subject: Cryptography FAQ (05/10: Product Ciphers; last mod 19930504)
  697. Supersedes: <cryptography-faq/part05_735019207@GZA.COM>
  698. Followup-To: poster
  699. Date: 7 May 1993 00:00:25 -0400
  700. Organization: The Crypt Cabal
  701. Lines: 451
  702. Sender: faqserv@GZA.COM
  703. Approved: news-answers-request@MIT.Edu
  704. Expires: 11 Jun 1993 04:00:05 GMT
  705. Message-ID: <cryptography-faq/part05_736747205@GZA.COM>
  706. References: <cryptography-faq/part01_736747205@GZA.COM>
  707. Reply-To: crypt-comments@math.ncsu.edu
  708. NNTP-Posting-Host: pad-thai.aktis.com
  709. X-Last-Updated: 1993/05/06
  710.  
  711. Archive-name: cryptography-faq/part05
  712.  
  713.  
  714. This is the fifth of ten parts of the sci.crypt FAQ. The parts are
  715. mostly independent, but you should read the first part before the rest.
  716. We don't have the time to send out missing parts by mail, so don't ask.
  717. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  718.  
  719. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  720. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  721. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers
  722. every 21 days.
  723.  
  724.  
  725. Contents:
  726.  
  727. 5.1. What is a product cipher?
  728. 5.2. What makes a product cipher secure?
  729. 5.3. What are some group-theoretic properties of product ciphers?
  730. 5.4. What can be proven about the security of a product cipher?
  731. 5.5. How are block ciphers used to encrypt data longer than the block size?
  732. 5.6. Can symmetric block ciphers be used for message authentication?
  733. 5.7. What exactly is DES?
  734. 5.8. What is triple DES?
  735. 5.9. What is differential cryptanalysis?
  736. 5.10. How was NSA involved in the design of DES?
  737. 5.11. Is DES available in software?
  738. 5.12. Is DES available in hardware?
  739. 5.13. Can DES be used to protect classified information?
  740. 5.14. What are ECB, CBC, CFB, OFB, and PCBC encryption?
  741.  
  742.  
  743. 5.1. What is a product cipher?
  744.  
  745.   A product cipher is a block cipher that iterates several weak
  746.   operations such as substitution, transposition, modular
  747.   addition/multiplication, and linear transformation. (A ``block
  748.   cipher'' just means a cipher that encrypts a block of data---8 bytes,
  749.   say---all at once, then goes on to the next block.) The notion of
  750.   product ciphers is due to Shannon [SHA49]. Examples of modern
  751.   product ciphers include LUCIFER [SOR84], DES [NBS77], SP-networks
  752.   [KAM78], LOKI [BRO90], FEAL [SHI84], PES [LAI90], Khufu and Khafre
  753.   [ME91a]. The so-called Feistel ciphers are a class of product
  754.   ciphers which operate on one half of the ciphertext at each round,
  755.   and then swap the ciphertext halves after each round. LUCIFER,
  756.   DES, LOKI, and FEAL are examples of Feistel ciphers.
  757.  
  758.   The following table compares the main parameters of several product 
  759.   ciphers:
  760.  
  761.   cipher   |   block length   |   key bits   |   number of rounds
  762.   LUCIFER          128               128                16
  763.   DES               64                56                16
  764.   LOKI              64                64                16
  765.   FEAL              64               128            2^x, x >= 5
  766.   PES               64               128                 8
  767.  
  768. 5.2. What makes a product cipher secure?
  769.  
  770.   Nobody knows how to prove mathematically that a product cipher is
  771.   completely secure. So in practice one begins by demonstrating that the
  772.   cipher ``looks highly random''. For example, the cipher must be
  773.   nonlinear, and it must produce ciphertext which functionally depends
  774.   on every bit of the plaintext and the key. Meyer [MEY78] has shown
  775.   that at least 5 rounds of DES are required to guarantee such a
  776.   dependence. In this sense a product cipher should act as a ``mixing''
  777.   function which combines the plaintext, key, and ciphertext in a
  778.   complex nonlinear fashion.
  779.  
  780.   The fixed per-round substitutions of the product cipher are
  781.   referred to as S-boxes. For example, LUCIFER has 2 S-boxes, and DES
  782.   has 8 S-boxes. The nonlinearity of a product cipher reduces to a
  783.   careful design of these S-boxes. A list of partial design criteria
  784.   for the S-boxes of DES, which apply to S-boxes in general, may be
  785.   found in Brown [BRO89] and Brickell et al. [BRI86].
  786.  
  787. 5.3. What are some group-theoretic properties of product ciphers?
  788.  
  789.   Let E be a product cipher that maps N-bit blocks to N-bit blocks.
  790.   Let E_K(X) be the encryption of X under key K. Then, for any fixed K,
  791.   the map sending X to E_K(X) is a permutation of the set of N-bit
  792.   blocks. Denote this permutation by P_K. The set of all N-bit
  793.   permutations is called the symmetric group and is written S_{2^N}.
  794.   The collection of all these permutations P_K, where K ranges over all
  795.   possible keys, is denoted E(S_{2^N}). If E were a random mapping from
  796.   plaintexts to ciphertexts then we would expect E(S_{2^N}) to generate
  797.   a large subset of S_{2^N}.
  798.  
  799.   Coppersmith and Grossman [COP74] have shown that a very simple
  800.   product cipher can generate the alternating group A_{2^N} given a
  801.   sufficient number of rounds. (The alternating group is half of the
  802.   symmetric group: it consists of all ``even'' permutations, i.e., all
  803.   permutations which can be written as an even number of swaps.)
  804.   Even and Goldreich [EVE83] were able to extend these results to show
  805.   that Feistel ciphers can generate A_{2^N}, given a sufficient number
  806.   of rounds.
  807.  
  808.   The security of multiple encipherment also depends on the
  809.   group-theoretic properties of a cipher. Multiple encipherment is an
  810.   extension over single encipherment if for keys K1, K2 there does
  811.   not exist a third key K3 such that
  812.  
  813.   E_K2(E_K1(X)) == E_(K3)(X)                (**)
  814.  
  815.   which indicates that encrypting twice with two independent keys
  816.   K1, K2 is equal to a single encryption under the third key K3. If
  817.   for every K1, K2 there exists a K3 such that eq. (**) is true then
  818.   we say that E is a group.
  819.  
  820.   This question of whether DES is a group under this definition was
  821.   extensively studied by Sherman, Kaliski, and Rivest [SHE88]. In their
  822.   paper they give strong evidence for the hypothesis that DES is not a
  823.   group. In fact DES is not a group [CAM93].
  824.  
  825. 5.4. What can be proven about the security of a product cipher?
  826.  
  827.   Recall from above that P_K is a permutation produced by E under
  828.   some key K. The goal of the designer of E is to ensure that P_K
  829.   appears to be a random element of S_{2^N}, the symmetric group.
  830.   Let R be an element of S_{2^N} selected randomly. We will say that P_K
  831.   and R are indistinguishable if an observer given P_K and R in some
  832.   order cannot distinguish between these two permutations in polynomial
  833.   time. That is, with time bounded resources, the observer cannot
  834.   determine which of the permutations is produced by E: the optimal
  835.   decision is no better than simply guessing.
  836.  
  837.   Luby and Rackoff [LUB88] have shown that a class of Feistel ciphers
  838.   are secure in this sense when the round mapping is replaced by
  839.   random boolean functions.
  840.  
  841. 5.5. How are block ciphers used to encrypt data longer than the block size?
  842.  
  843.   There are four standard ``modes of operation'' (and numerous non-standard
  844.   ones as well). The standard modes of operation are defined in the U.S.
  845.   Department of Commerce Federal Information Processing Standard (FIPS) 81,
  846.   published in 1980. See the question about ECB below for more details.
  847.  
  848.   Although they are defined for the DES block cipher, the ``modes of
  849.   operation'' can be used with any block cipher.
  850.  
  851. 5.6. Can symmetric block ciphers be used for message authentication?
  852.  
  853.   You may use a symmetric cryptosystem block cipher to prove to yourself
  854.   that you generated a message, and that the message wasn't altered
  855.   after you created it. But you cannot prove these things to anyone else
  856.   without revealing your key. Thereafter you cannot prove anything about
  857.   messages authenticated with that key.
  858.   
  859.   See ANSI X3.106-1983 and FIPS 113 (1985) for a standard method of message
  860.   authentication using DES.
  861.  
  862. 5.7. What exactly is DES?
  863.  
  864.   DES is the U.S. Government's Data Encryption Standard, a product 
  865.   cipher that operates on 64-bit blocks of data, using a 56-bit key. 
  866.  
  867.   It is defined in FIPS 46-1 (1988) [which supersedes FIPS 46 (1977)].
  868.   FIPS are Federal Information Processing Standards published by NTIS.
  869.   DES is identical to the ANSI standard Data Encryption Algorithm (DEA)
  870.   defined in ANSI X3.92-1981. 
  871.  
  872. 5.8. What is triple DES?
  873.  
  874.   Triple DES is a product cipher which, like DES, operates on 64-bit 
  875.   data blocks. There are several forms, each of which uses the DES
  876.   cipher 3 times. Some forms use two 56-bit keys, some use three.
  877.   The DES ``modes of operation'' may also be used with triple-DES.
  878.  
  879.   Some people refer to E(K1,D(K2,E(K1,x))) as triple-DES.
  880.  
  881.   This method is defined in chapter 7.2 of the ANSI standard X9.17-1985
  882.   ``Financial Institution Key Management'' and is intended for use in
  883.   encrypting DES keys and IVs for ``Automated Key Distribution''. Its
  884.   formal name is ``Encryption and Decryption of a Single Key by a Key
  885.   Pair'', but it is referenced in other standards documents as EDE.
  886.  
  887.   That standard says (section 7.2.1): ``Key encrypting keys may be a single
  888.   DEA key or a DEA key pair. Key pairs shoud be used where additional
  889.   security is needed (e.g., the data protected by the key(s) has a long
  890.   security life). A key pair shall not be encrypted or decrypted using a
  891.   single key.''
  892.  
  893.   Others use the term ``triple-DES'' for E(K1,D(K2,E(K3,x))) or
  894.   E(K1,E(K2,E(K3,x))).
  895.  
  896.   Carl Ellison advocates triple DES use in the form
  897.  
  898.     E(K1, Tran( E(K2, Tran( E(K3, Compress( x )))))),
  899.  
  900.   where each DES instance has its own key and IV (for CBC mode) and Tran
  901.   is a large-block transposition program. Tran is available from [FTPTR].
  902.  
  903. 5.9. What is differential cryptanalysis?
  904.  
  905.   Differential cryptanalysis is a statistical attack that can be
  906.   applied to any iterated mapping (i.e., any mapping which is based on
  907.   a repeated round function). The method was recently popularized by
  908.   Biham and Shamir [BIH91], but Coppersmith has remarked that the
  909.   S-boxes of DES were optimized against this attack some 20 years ago.
  910.   This method has proved effective against several product ciphers,
  911.   notably FEAL [BI91a].
  912.  
  913.   Differential cryptanalysis is based on observing a large number of
  914.   ciphertexts Y, Y' whose corresponding plaintexts X, X' satisfy a
  915.   known difference D = X+X', where + is componentwise XOR. In the
  916.   basic Biham-Shamir attack, 2^{47} such plaintext pairs are required
  917.   to determine the key for DES. Substantially fewer pairs are required
  918.   if DES is truncated to 6 or 8 rounds. In these cases, the actual key
  919.   can be recovered in a matter of minutes using a few thousand pairs.
  920.   For full DES this attack is impractical because it requires so many
  921.   known plaintexts.
  922.  
  923.   The work of Biham and Shamir on DES revealed several startling
  924.   observations on the algorithm. Most importantly, if the key
  925.   schedule was removed from DES and a 16*48 = 768-bit key was used,
  926.   the key could be recovered in less than 2^{64} steps. Thus
  927.   independent subkeys do not add substantial security to DES.
  928.   Further, the S-boxes of DES are extremely sensitive in that
  929.   changing even single entries in these tables yields significant
  930.   improvement in the differential attack.
  931.  
  932.   Adi Shamir is quoted to say (NYTimes Oct 13 1991), ``I would say
  933.   that, contrary to what some people believe, there is no evidence
  934.   of tampering with the DES so that the basic design was weakened.''
  935.  
  936. 5.10. How was NSA involved in the design of DES?
  937.  
  938.   According to Kinnucan [KIN78], Tuchman, a member of the group that
  939.   developed DES at IBM is quoted as saying, ``We developed the DES
  940.   algorithm entirely within IBM using IBMers. The NSA did not
  941.   dictate a single wire!'' Tuchman and Meyer (another developer of
  942.   DES) spent a year breaking ciphers and finding weaknesses in
  943.   Lucifer. They then spent two years strengthening Lucifer. ``Their
  944.   basic approach was to look for strong substitution, permutation,
  945.   and key scheduling functions ... IBM has classified the notes
  946.   containing the selection criteria at the request of the NSA....
  947.   `The NSA told us we had inadvertently reinvented some of the deep
  948.   secrets it uses to make its own algorithms,' explains Tuchman.''
  949.   
  950.   On the other hand, a document called ``Involvement of the NSA in
  951.   the development of DES: unclassified summary of the United States
  952.   Select Committee on Intelligence'', printed in the IEEE
  953.   Communications Magazine, p53-55, 1978, states: ``In the development
  954.   of DES, NSA convinced IBM that a reduced keysize was sufficient;
  955.   indirectly assisted in the development of the S-box structures; and
  956.   certified that the final DES algorithm was, to the best of their
  957.   knowledge, free from any statistical or mathematical weakness.''
  958.  
  959.   Clearly the key size was reduced at the insistence of the NSA.
  960.   The article further states that the NSA did not tamper with the
  961.   algorithm itself, just the parameters, which in some sense
  962.   resolves the apparent conflict in the remarks of Meyer and Tuchman
  963.   presented above.
  964.  
  965. 5.11. Is DES available in software?
  966.  
  967.   Several people have made DES code available via ftp (see part 10 for
  968.   pathnames): Stig Ostholm [FTPSO]; BSD [FTPBK]; Eric Young [FTPEY];
  969.   Dennis Furguson [FTPDF]; Mark Riordan [FTPMR]; Phil Karn [FTPPK].
  970.   A Pascal listing of DES is also given in Patterson [PAT87].
  971.  
  972.   FIPS 46-1 says ``The algorithm specified in this standard is to be
  973.   implemented ... using hardware (not software) technology. ...
  974.   Software implementations in general purpose computers are not in
  975.   compliance with this standard.''  Despite this, software
  976.   implementations abound, and are used by government agencies.
  977.  
  978. 5.12. Is DES available in hardware?
  979.  
  980.   The following paragraphs are quoted from messages sent to the editors.
  981.   We don't vouch for the quality or even existence of the products.
  982.  
  983.   Chip Rosenthal says: ``Dallas Semiconductor makes a DES
  984.   encryption/decryption device for use on standard, digital 64Kbps PCM
  985.   telecom data streams. It is capable of processing data in real time,
  986.   e.g. one sample/frame. It is the DS2160. Their phone number is
  987.   214-450-0400. You would probably need to talk with Dewight in Telecom
  988.   marketing.''
  989.  
  990.   Christian Franke, franke@informatik.rwth-aachen.de, says: ``1.
  991.   Cryptech CRY12C102: 22.5Mbit/s according to Data Sheet, with 32 Bit
  992.   interface. We use this one, because it was the only one available when
  993.   we started the project. No problems !  2. Pijnenburg PCC100: 20Mbit/s
  994.   according to Data Sheet. Address: PIJNENBURG B.V., Boxtelswweg 26,
  995.   NL-5261 NE Vught, The Netherlands. 3. INFOSYS DES Chip (Germany):
  996.   S-Boxes must be loaded by software. So you can modify the Algorithm.
  997.   Sorry, I don't have the data sheet handy. Please E-Mail me if you need
  998.   further information.''
  999.  
  1000.   Marcus J Ranum, mjr@tis.com, says: ``SuperCrypt'' 100Mb/sec and faster
  1001.   DES and Proprietary Storage for 16 56-bit keys Key stream generator
  1002.   Integrated hardware DES3 procedure Extended mode with 112 bit keys;
  1003.   Computer Elektronik Infosys; 512-A Herndon Parkway,; Herndon, VA
  1004.   22070; 800-322-3464.
  1005.  
  1006.   Tim Hember, thember@gandalf.ca, says: Newbridge Microsystems sells
  1007.   an AM9568 compatible DES chip that operates at 25MHz, performs a
  1008.   round of encryption in 18 clocks, has a three-stage pipeline,
  1009.   supports ECB, CBC, CFB-8 and >>> CFB-1 <<<<. Further it is very
  1010.   reasonable priced as opposed to other high-end DES chips. Call
  1011.   Newbridge Microsystems, Ottawa, 613-592-0714. (... there are no
  1012.   import/export issues with Canada and the US). If you require custom
  1013.   DES or Public Key ICs then Timestep Engineering developed
  1014.   Newbridge's crypto chips and ICs for other commercial and
  1015.   educational establishments. They can be reached at 613-820-0024.
  1016.  
  1017. 5.13. Can DES be used to protect classified information?
  1018.  
  1019.   DES is not intended to protect classified data. FIPS 46-1 says:
  1020.   ``This standard will be used by Federal departments and agencies for
  1021.   the cryptographic protection of computer data when the following
  1022.   conditions apply: 1. ... cryptographic protection is required; and
  1023.   2. the data is not classified according to the National Security Act
  1024.   of 1947, as amended, or the Atomic Energy Act of 1954, as amended.''
  1025.  
  1026. 5.14. What are ECB, CBC, CFB, OFB, and PCBC encryption?
  1027.  
  1028.   These are methods for using block ciphers, such as DES, to encrypt 
  1029.   messages, files, and blocks of data, known as ``modes of operation.''
  1030.   Four ``modes of operation'' are defined in FIPS 81 (1980 December 2), 
  1031.   and also in ANSI X3.106-1983. 
  1032.  
  1033.   FIPS 81 specifies that when 7-bit ASCII data is sent in octets, the
  1034.   unused most-significant bit is to be set to 1.
  1035.  
  1036.   FIPS 81 also specifies the padding for short blocks.
  1037.  
  1038.   The four FIPS/ANSI standard DES modes of operation are: 
  1039.         Electronic Code Book  (ECB), 
  1040.         Cipher Block Chaining (CBC), 
  1041.         K-bit Cipher FeedBack (CFB), and 
  1042.         K-bit Output FeedBack (OFB).
  1043.  
  1044.   All four of the ANSI/FIPS modes have very little "error extension".
  1045.   For a single bit error in the cipherstream, none of them produce an
  1046.   error burst in the decrypted output stream of longer than 128 bits.
  1047.  
  1048.   A fifth mode of operation, used in Kerberos and elsewhere but not
  1049.   defined in any standard, is error-Propagating Cipher Block Chaining 
  1050.   (PCBC).  Unlike the 4 standard modes, PCBC extends or propagates the
  1051.   effect of a single bit error in the cipherstream throughout remainder 
  1052.   of the decrypted textstream after the point of error.
  1053.  
  1054.   These 5 methods are explained below in a C-language-like notation.
  1055.  
  1056.   Some symbols:
  1057.  
  1058.   P[n]  The n'th block of plaintext, input to encryption, output from
  1059.         decryption. Size of block determined by the mode.
  1060.  
  1061.   C[n]  The n'th block of ciphertext, output from encryption, input to
  1062.         decryption. Size of block determined by the mode.
  1063.  
  1064.   E(m)  The DES encryption function, performed on 64-bit block m, using
  1065.         the 16-key schedule derived from some 56-bit key.
  1066.  
  1067.   D(m)  The DES decryption function, performed on 64-bit block m, using
  1068.         the same key schedule as in E(m), except that the 16 keys
  1069.         in the schedule are used in the opposite order as in E(m).
  1070.  
  1071.   IV    A 64-bit ``initialization vector'', a secret value which, along with
  1072.         the key, is shared by both encryptor and decryptor.
  1073.  
  1074.   I[n]  The n'th value of a 64-bit variable, used in some modes.
  1075.   R[n]  The n'th value of a 64-bit variable, used in some modes.
  1076.  
  1077.   LSB(m,k) The k least significant (right-most) bits of m.
  1078.         e.g. m & ((1 << k) - 1)
  1079.  
  1080.   MSB(m,k) The k most significant (left-most) bits of m.
  1081.         e.g. (m >> (64-k)) & ((1 << k) - 1)
  1082.  
  1083.   = ^ << >> &  operators as defined in the c langage.
  1084.  
  1085.  
  1086.   Electronic Code Book (ECB):
  1087.  
  1088.           P[n] and C[n] are each 64-bits long.
  1089.  
  1090.           Encryption:                   Decryption:
  1091.           C[n] = E(P[n])                P[n] = D(C[n])
  1092.  
  1093.  
  1094.   Cipher Block Chaining (CBC):
  1095.  
  1096.           P[n] and C[n] are each 64-bits long.
  1097.  
  1098.           Encryption:                   Decryption:
  1099.           C[0] = E(P[0]^IV)             P[0] = D(C[0])^IV
  1100.   (n>0)   C[n] = E(P[n]^C[n-1])         P[n] = D(C[n])^C[n-1]
  1101.  
  1102.  
  1103.   Propagating Cipher Block Chaining (PCBC):
  1104.  
  1105.           P[n] and C[n] are each 64-bits long.
  1106.  
  1107.           Encryption:                   Decryption:
  1108.           C[0] = E(P[0]^IV)             P[0] = D(C[0])^IV
  1109.   (n>0)   C[n] = E(P[n]^P[n-1]^C[n-1])  P[n] = D(C[n])^P[n-1]^C[n-1]
  1110.  
  1111.  
  1112.   k-bit Cipher FeedBack (CFB):
  1113.  
  1114.           P[n] and C[n] are each k bits long, 1 <= k <= 64. 
  1115.  
  1116.           Encryption:                   Decryption:
  1117.           I[0] = IV                     I[0] = IV
  1118.   (n>0)   I[n] = I[n-1]<<k | C[n-1]     I[n] = I[n-1]<<k | C[n-1]       
  1119.   (all n) R[n] = MSB(E(I[n]),k)         R[n] = MSB(E(I[n]),k)
  1120.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  1121.  
  1122.           Note that for k==64, this reduces to:
  1123.  
  1124.           I[0] = IV                     I[0] = IV
  1125.   (n>0)   I[n] = C[n-1]                 I[n] = C[n-1]   
  1126.   (all n) R[n] = E(I[n])                R[n] = E(I[n])
  1127.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  1128.  
  1129.   CFB notes: Since I[n] depends only on the plain or cipher text from the
  1130.   previous operation, the E() function can be performed in parallel with
  1131.   the reception of the text with which it is used.
  1132.  
  1133.  
  1134.   k-bit Output FeedBack (OFB):
  1135.  
  1136.           P[n] and C[n] are each k bits long, 1 <= k <= 64. 
  1137.  
  1138.           Encryption:                   Decryption:
  1139.           I[0] = IV                     I[0] = IV
  1140.   (n>0)   I[n] = I[n-1]<<k | R[n-1]     I[n] = I[n-1]<<k | R[n-1]       
  1141.   (all n) R[n] = MSB(E(I[n]),k)         R[n] = MSB(E(I[n]),k)
  1142.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  1143.  
  1144.           Note that for k==64, this reduces to:
  1145.  
  1146.           I[0] = IV                     I[0] = IV
  1147.   (n>0)   I[n] = R[n-1]                 I[n] = R[n-1]   
  1148.   (all n) R[n] = E(I[n])                R[n] = E(I[n])
  1149.   (all n) C[n] = P[n]^R[n]              P[n] = C[n]^R[n]
  1150.  
  1151.   OFB notes: encryption and decryption are identical. Since I[n] is
  1152.   independent of P and C, the E() function can be performed in advance of
  1153.   the receipt of the plain/cipher text with which it is to be used.
  1154.  
  1155.  
  1156.   Additional notes on DES ``modes of operation'':
  1157.  
  1158.   ECB and CBC use E() to encrypt and D() to decrypt, but the feedback
  1159.   modes use E() to both encrypt and decrypt. This disproves the following 
  1160.   erroneous claim: ``DES implementations which provide E() but not D()
  1161.   cannot be used for data confidentiality.''
  1162.  
  1163. Xref: rde sci.crypt:3338 sci.answers:192 news.answers:3051
  1164. Path: rde!uunet!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  1165. From: crypt-comments@math.ncsu.edu
  1166. Newsgroups: sci.crypt,sci.answers,news.answers
  1167. Subject: Cryptography FAQ (06/10: Public Key Cryptography; last mod 19930504)
  1168. Supersedes: <cryptography-faq/part06_735019207@GZA.COM>
  1169. Followup-To: poster
  1170. Date: 7 May 1993 00:00:27 -0400
  1171. Organization: The Crypt Cabal
  1172. Lines: 104
  1173. Sender: faqserv@GZA.COM
  1174. Approved: news-answers-request@MIT.Edu
  1175. Expires: 11 Jun 1993 04:00:05 GMT
  1176. Message-ID: <cryptography-faq/part06_736747205@GZA.COM>
  1177. References: <cryptography-faq/part01_736747205@GZA.COM>
  1178. Reply-To: crypt-comments@math.ncsu.edu
  1179. NNTP-Posting-Host: pad-thai.aktis.com
  1180. X-Last-Updated: 1993/05/06
  1181.  
  1182. Archive-name: cryptography-faq/part06
  1183.  
  1184.  
  1185. This is the sixth of ten parts of the sci.crypt FAQ. The parts are
  1186. mostly independent, but you should read the first part before the rest.
  1187. We don't have the time to send out missing parts by mail, so don't ask.
  1188. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  1189.  
  1190. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  1191. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  1192. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  1193. every 21 days.
  1194.  
  1195.  
  1196. Contents:
  1197.  
  1198. 6.1. What is public-key cryptography?
  1199. 6.2. What's RSA?
  1200. 6.3. Is RSA secure?
  1201. 6.4. How fast can people factor numbers?
  1202. 6.5. What about other public-key cryptosystems?
  1203.  
  1204.  
  1205. 6.1. What is public-key cryptography?
  1206.  
  1207.   In a classic cryptosystem, we have encryption functions E_K and
  1208.   decryption functions D_K such that D_K(E_K(P)) = P for any plaintext
  1209.   P. In a public-key cryptosystem, E_K can be easily computed from some
  1210.   ``public key'' X which in turn is computed from K. X is published, so
  1211.   that anyone can encrypt messages. If D_K cannot be easily computed
  1212.   from X, then only the person who generated K can decrypt messages.
  1213.   That's the essence of public-key cryptography, published by Diffie
  1214.   and Hellman in 1976.
  1215.  
  1216.   In a classic cryptosystem, if you want your friends to be able to
  1217.   send secret messages to you, you have to make sure nobody other than
  1218.   them sees the key K. In a public-key cryptosystem, you just publish X,
  1219.   and you don't have to worry about spies.
  1220.  
  1221.   This is only the beginning of public-key cryptography. There is an
  1222.   extensive literature on security models for public-key cryptography,
  1223.   applications of public-key cryptography, other applications of the
  1224.   mathematical technology behind public-key cryptography, and so on.
  1225.  
  1226. 6.2. What's RSA?
  1227.  
  1228.   RSA is a public-key cryptosystem defined by Rivest, Shamir, and
  1229.   Adleman. Here's a small example. See also [FTPDQ].
  1230.  
  1231.   Plaintexts are positive integers up to 2^{512}. Keys are quadruples
  1232.   (p,q,e,d), with p a 256-bit prime number, q a 258-bit prime number,
  1233.   and d and e large numbers with (de - 1) divisible by (p-1)(q-1). We
  1234.   define E_K(P) = P^e mod pq, D_K(C) = C^d mod pq.
  1235.  
  1236.   Now E_K is easily computed from the pair (pq,e)---but, as far as
  1237.   anyone knows, there is no easy way to compute D_K from the pair
  1238.   (pq,e). So whoever generates K can publish (pq,e). Anyone can send a
  1239.   secret message to him; he is the only one who can read the messages.
  1240.  
  1241. 6.3. Is RSA secure?
  1242.  
  1243.   Nobody knows. An obvious attack on RSA is to factor pq into p and q.
  1244.   See below for comments on how fast state-of-the-art factorization
  1245.   algorithms run. Unfortunately nobody has the slightest idea how to
  1246.   prove that factorization---or any realistic problem at all, for that
  1247.   matter---is inherently slow. It is easy to formalize what we mean by
  1248.   ``RSA is/isn't strong''; but, as Hendrik W. Lenstra, Jr., says,
  1249.   ``Exact definitions appear to be necessary only when one wishes to
  1250.   prove that algorithms with certain properties do _not_ exist, and
  1251.   theoretical computer science is notoriously lacking in such negative
  1252.   results.''
  1253.  
  1254. 6.4. How fast can people factor numbers?
  1255.  
  1256.   It depends on the size of the numbers. In October 1992 Arjen Lenstra
  1257.   and Dan Bernstein factored 2^523 - 1 into primes, using about three
  1258.   weeks of MasPar time. (The MasPar is a 16384-processor SIMD machine;
  1259.   each processor can add about 200000 integers per second.) The
  1260.   algorithm there is called the ``number field sieve''; it is quite a
  1261.   bit faster for special numbers like 2^523 - 1 than for general numbers
  1262.   n, but it takes time only exp(O(log^{1/3} n log^{2/3} log n)) in any
  1263.   case.
  1264.  
  1265.   An older and more popular method for smaller numbers is the ``multiple
  1266.   polynomial quadratic sieve'', which takes time exp(O(log^{1/2} n
  1267.   log^{1/2} log n))---faster than the number field sieve for small n,
  1268.   but slower for large n. The breakeven point is somewhere between 100
  1269.   and 150 digits, depending on the implementations.
  1270.  
  1271.   Factorization is a fast-moving field---the state of the art just a few
  1272.   years ago was nowhere near as good as it is now. If no new methods are
  1273.   developed, then 2048-bit RSA keys will always be safe from
  1274.   factorization, but one can't predict the future. (Before the number
  1275.   field sieve was found, many people conjectured that the quadratic
  1276.   sieve was asymptotically as fast as any factoring method could be.)
  1277.  
  1278. 6.5. What about other public-key cryptosystems?
  1279.  
  1280.   We've talked about RSA because it's well known and easy to describe.
  1281.   But there are lots of other public-key systems around, many of which
  1282.   are faster than RSA or depend on problems more widely believed to be
  1283.   difficult. This has been just a brief introduction; if you really want
  1284.   to learn about the many facets of public-key cryptography, consult the
  1285.   books and journal articles listed in part 10.
  1286.  
  1287. Xref: rde sci.crypt:3339 sci.answers:193 news.answers:3052
  1288. Path: rde!uunet!gatech!howland.reston.ans.net!noc.near.net!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  1289. From: crypt-comments@math.ncsu.edu
  1290. Newsgroups: sci.crypt,sci.answers,news.answers
  1291. Subject: Cryptography FAQ (07/10: Digital Signatures; last mod 19930504)
  1292. Supersedes: <cryptography-faq/part07_735019207@GZA.COM>
  1293. Followup-To: poster
  1294. Date: 7 May 1993 00:00:30 -0400
  1295. Organization: The Crypt Cabal
  1296. Lines: 82
  1297. Sender: faqserv@GZA.COM
  1298. Approved: news-answers-request@MIT.Edu
  1299. Expires: 11 Jun 1993 04:00:05 GMT
  1300. Message-ID: <cryptography-faq/part07_736747205@GZA.COM>
  1301. References: <cryptography-faq/part01_736747205@GZA.COM>
  1302. Reply-To: crypt-comments@math.ncsu.edu
  1303. NNTP-Posting-Host: pad-thai.aktis.com
  1304. X-Last-Updated: 1993/05/06
  1305.  
  1306. Archive-name: cryptography-faq/part07
  1307.  
  1308.  
  1309. This is the seventh of ten parts of the sci.crypt FAQ. The parts are
  1310. mostly independent, but you should read the first part before the rest.
  1311. We don't have the time to send out missing parts by mail, so don't ask.
  1312. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  1313.  
  1314. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  1315. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  1316. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers
  1317. every 21 days.
  1318.  
  1319.  
  1320. Contents:
  1321.  
  1322. 7.1. What is a one-way hash function?
  1323. 7.2. What is the difference between public, private, secret, shared, etc.?
  1324. 7.3. What are MD4 and MD5?
  1325. 7.4. What is Snefru?
  1326.  
  1327.  
  1328. 7.1. What is a one-way hash function?
  1329.  
  1330.   A typical one-way hash function takes a variable-length message and
  1331.   produces a fixed-length hash. Given the hash it is computationally
  1332.   impossible to find a message with that hash; in fact one can't
  1333.   determine any usable information about a message with that hash, not
  1334.   even a single bit. For some one-way hash functions it's also
  1335.   computationally impossible to determine two messages which produce the
  1336.   same hash.
  1337.  
  1338.   A one-way hash function can be private or public, just like an
  1339.   encryption function. Here's one application of a public one-way hash
  1340.   function, like MD5 or Snefru. Most public-key signature systems are
  1341.   relatively slow. To sign a long message may take longer than the user
  1342.   is willing to wait. Solution: Compute the one-way hash of the message,
  1343.   and sign the hash, which is short. Now anyone who wants to verify the
  1344.   signature can do the same thing.
  1345.  
  1346.   Another name for one-way hash function is message digest function.
  1347.  
  1348. 7.2. What is the difference between public, private, secret, shared, etc.?
  1349.  
  1350.   There is a horrendous mishmash of terminology in the literature for a
  1351.   very small set of concepts. Here are the concepts: (1) When an
  1352.   algorithm depends on a key which isn't published, we call it a private
  1353.   algorithm; otherwise we call it a public algorithm. (2) We have
  1354.   encryption functions E and decryption functions D, so that D(E(M)) = M
  1355.   for any message M. (3) We also have hashing functions H and
  1356.   verification functions V, such that V(M,X) = 1 if and only if X = H(M).
  1357.  
  1358.   A public-key cryptosystem has public encryption and private
  1359.   decryption. Checksums, such as the application mentioned in the
  1360.   previous question, have public hashing and public verification.
  1361.   Digital signature functions have private hashing and public
  1362.   verification: only one person can produce the hash for a message,
  1363.   but everyone can verify that the hash is correct.
  1364.  
  1365.   Obviously, when an algorithm depends on a private key, it's meant to
  1366.   be unusable by anyone who doesn't have the key. There's no real
  1367.   difference between a ``shared'' key and a private key: a shared key
  1368.   isn't published, so it's private. If you encrypt data for a friend
  1369.   rather than ``for your eyes only'', are you suddenly doing
  1370.   ``shared-key encryption'' rather than private-key encryption? No.
  1371.  
  1372. 7.3. What are MD4 and MD5?
  1373.  
  1374.   MD4 and MD5 are message digest functions developed by Ron Rivest.
  1375.   Definitions appear in RFC 1320 and RFC 1321 (see part 10). Code is
  1376.   available from [FTPMD].
  1377.  
  1378.   Note that a transcription error was found in the original MD5 draft
  1379.   RFC. The corrected algorithm should be called MD5a, though some
  1380.   people refer to it as MD5.
  1381.  
  1382. 7.4. What is Snefru?
  1383.  
  1384.   Snefru is a family of message digest functions developed by Ralph
  1385.   Merkle. Snefru-8 is an 8-round function, the newest in the family.
  1386.   Definitions appear in Merkle's paper [ME91a]. Code is available from
  1387.   [FTPSF].
  1388.  
  1389. Xref: rde sci.crypt:3340 sci.answers:194 news.answers:3053
  1390. Path: rde!uunet!gatech!howland.reston.ans.net!noc.near.net!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  1391. From: crypt-comments@math.ncsu.edu
  1392. Newsgroups: sci.crypt,sci.answers,news.answers
  1393. Subject: Cryptography FAQ (08/10: Technical Miscellany; last mod 19930504)
  1394. Supersedes: <cryptography-faq/part08_735019207@GZA.COM>
  1395. Followup-To: poster
  1396. Date: 7 May 1993 00:00:31 -0400
  1397. Organization: The Crypt Cabal
  1398. Lines: 369
  1399. Sender: faqserv@GZA.COM
  1400. Approved: news-answers-request@MIT.Edu
  1401. Expires: 11 Jun 1993 04:00:05 GMT
  1402. Message-ID: <cryptography-faq/part08_736747205@GZA.COM>
  1403. References: <cryptography-faq/part01_736747205@GZA.COM>
  1404. Reply-To: crypt-comments@math.ncsu.edu
  1405. NNTP-Posting-Host: pad-thai.aktis.com
  1406. X-Last-Updated: 1993/05/06
  1407.  
  1408. Archive-name: cryptography-faq/part08
  1409.  
  1410.  
  1411. This is the eighth of ten parts of the sci.crypt FAQ. The parts are
  1412. mostly independent, but you should read the first part before the rest.
  1413. We don't have the time to send out missing parts by mail, so don't ask.
  1414. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  1415.  
  1416. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  1417. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  1418. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers
  1419. every 21 days.
  1420.  
  1421.  
  1422. Contents
  1423.  
  1424. 8.1. How do I recover from lost passwords in WordPerfect?
  1425. 8.2. How do I break a Vigenere (repeated-key) cipher?
  1426. 8.3. How do I send encrypted mail under UNIX? [PGP, RIPEM, PEM, ...]
  1427. 8.4. Is the UNIX crypt command secure?
  1428. 8.5. How do I use compression with encryption?
  1429. 8.6. Is there an unbreakable cipher?
  1430. 8.7. What does ``random'' mean in cryptography?
  1431. 8.8. What is the unicity point (a.k.a. unicity distance)?
  1432. 8.9. What is key management and why is it important?
  1433. 8.10. Can I use pseudo-random or chaotic numbers as a key stream?
  1434. 8.11. What is the correct frequency list for English letters?
  1435. 8.12. What is the Enigma?
  1436. 8.13. How do I shuffle cards?
  1437. 8.14. Can I foil S/W pirates by encrypting my CD-ROM?
  1438. 8.15. Can you do automatic cryptanalysis of simple ciphers?
  1439. 8.16. What is the coding system used by VCR+?
  1440.  
  1441.  
  1442. 8.1. How do I recover from lost passwords in WordPerfect?
  1443.  
  1444.   WordPerfect encryption has been shown to be very easy to break.
  1445.   The method uses XOR with two repeating key streams: a typed password
  1446.   and a byte-wide counter initialized to 1+<the password length>. Full
  1447.   descriptions are given in Bennett [BEN87] and Bergen and Caelli
  1448.   [BER91].
  1449.  
  1450.   Chris Galas writes: ``Someone awhile back was looking for a way to
  1451.   decrypt WordPerfect document files and I think I have a solution. 
  1452.   There is a software company named: Accessdata (87 East 600 South,
  1453.   Orem, UT 84058), 1-800-658-5199 that has a software package that will
  1454.   decrypt any WordPerfect, Lotus 1-2-3, Quatro-Pro, MS Excel and Paradox
  1455.   files. The cost of the package is $185. Steep prices, but if you
  1456.   think your pw key is less than 10 characters, (or 10 char) give them a
  1457.   call and ask for the free demo disk. The demo disk will decrypt files
  1458.   that have a 10 char or less pw key.'' Bruce Schneier says the phone
  1459.   number for AccessData is 801-224-6970.
  1460.  
  1461. 8.2. How do I break a Vigenere (repeated-key) cipher?
  1462.  
  1463.   A repeated-key cipher, where the ciphertext is something like the
  1464.   plaintext xor KEYKEYKEYKEY (and so on), is called a Vigenere cipher.
  1465.   If the key is not too long and the plaintext is in English, do the
  1466.   following: 
  1467.  
  1468.   1. Discover the length of the key by counting coincidences.
  1469.   (See Gaines [GAI44], Sinkov [SIN66].) Trying each displacement of
  1470.   the ciphertext against itself, count those bytes which are equal. 
  1471.   If the two ciphertext portions have used the same key, something
  1472.   over 6% of the bytes will be equal. If they have used different
  1473.   keys, then less than 0.4% will be equal (assuming random 8-bit bytes
  1474.   of key covering normal ASCII text). The smallest displacement which
  1475.   indicates an equal key is the length of the repeated key.
  1476.  
  1477.   2. Shift the text by that length and XOR it with itself. This
  1478.   removes the key and leaves you with text XORed with itself. Since
  1479.   English has about 1 bit of real information per byte, 2 streams of
  1480.   text XORed together has 2 bits of info per 8-bit byte, providing
  1481.   plenty of redundancy for choosing a unique decryption. (And in fact
  1482.   one stream of text XORed with itself has just 1 bit per byte.)
  1483.  
  1484.   If the key is short, it might be even easier to treat this as a
  1485.   standard polyalphabetic substitution. All the old cryptanalysis
  1486.   texts show how to break those. It's possible with those methods, in
  1487.   the hands of an expert, if there's only ten times as much text as key.
  1488.   See, for example, Gaines [GAI44], Sinkov [SIN66].
  1489.  
  1490. 8.3. How do I send encrypted mail under UNIX? [PGP, RIPEM, PEM, ...]
  1491.  
  1492.   Here's one popular method, using the des command:
  1493.  
  1494.     cat file | compress | des private_key | uuencode | mail
  1495.  
  1496.   Meanwhile, there is a de jure Internet standard in the works called
  1497.   PEM (Privacy Enhanced Mail). It is described in RFCs 1421 through
  1498.   1424. To join the PEM mailing list, contact pem-dev-request@tis.com.
  1499.   There is a beta version of PEM being tested at the time of this
  1500.   writing.
  1501.  
  1502.   There are also two programs available in the public domain for encrypting
  1503.   mail: PGP and RIPEM. Both are available by FTP. Each has its own
  1504.   newsgroup: alt.security.pgp and alt.security.ripem. Each has its own FAQ
  1505.   as well.
  1506.  
  1507.   PGP is most commonly used outside the USA since it uses the RSA algorithm
  1508.   without a license and RSA's patent is valid only (or at least primarily)
  1509.   in the USA.
  1510.  
  1511.   RIPEM is most commonly used inside the USA since it uses the RSAREF which
  1512.   is freely available within the USA but not available for shipment outside
  1513.   the USA.
  1514.  
  1515.   Since both programs use a secret key algorithm for encrypting the body of
  1516.   the message (PGP used IDEA; RIPEM uses DES) and RSA for encrypting the
  1517.   message key, they should be able to interoperate freely. Although there
  1518.   have been repeated calls for each to understand the other's formats and
  1519.   algorithm choices, no interoperation is available at this time (as far as
  1520.   we know).
  1521.  
  1522. 8.4. Is the UNIX crypt command secure?
  1523.  
  1524.   No. See [REE84]. There is a program available called cbw (crypt
  1525.   breaker's workbench) which can be used to do ciphertext-only attacks
  1526.   on files encrypted with crypt. One source for CBW is [FTPCB].
  1527.  
  1528. 8.5. How do I use compression with encryption?
  1529.  
  1530.   A number of people have proposed doing perfect compression followed by
  1531.   some simple encryption method (e.g., XOR with a repeated key).
  1532.  
  1533.   Unfortunately, you can only compress perfectly if you know the exact
  1534.   distribution of possible inputs. For all practical purposes it's
  1535.   impossible to describe ``the typical English text'' beyond coarse
  1536.   characteristics such as single-letter frequencies. You can build up
  1537.   more and more sophisticated models of your inputs, but if the enemy
  1538.   has a slightly more accurate model, he'll be able to find some
  1539.   redundancy in your compressed output.
  1540.  
  1541.   Note that nearly all practical compression schemes, unless they
  1542.   have been designed with cryptography in mind, produce output that
  1543.   actually starts off with high redundancy. For example, the output of
  1544.   UNIX compress begins with a well-known three-byte ``magic number''
  1545.   that can serve as an entering wedge for cryptanalysis.
  1546.   
  1547.   This is not to say that compression before encryption is inherently a
  1548.   bad idea; it just has to be done very, very carefully, and by no means
  1549.   removes the need for strong encryption.
  1550.  
  1551.   Compression after encryption is silly.
  1552.  
  1553. 8.6. Is there an unbreakable cipher?
  1554.  
  1555.   Yes. The one-time pad is unbreakable; see part 4. Unfortunately the
  1556.   one-time pad requires secure distribution of as much key material as
  1557.   plaintext.
  1558.  
  1559.   Of course, a cryptosystem need not be utterly unbreakable to be
  1560.   useful. Rather, it needs to be strong enough to resist attacks by
  1561.   likely enemies for whatever length of time the data it protects is
  1562.   expected to remain valid.
  1563.  
  1564. 8.7. What does ``random'' mean in cryptography?
  1565.  
  1566.   Cryptographic applications demand much more out of a pseudorandom
  1567.   number generator than most applications. For a source of bits to be
  1568.   cryptographically random, it must be computationally impossible to
  1569.   predict what the Nth random bit will be given complete knowledge of
  1570.   the algorithm or hardware generating the stream and the sequence of
  1571.   0th through N-1st bits, for all N up to the lifetime of the source.
  1572.  
  1573.   A software generator (also known as pseudo-random) has the function
  1574.   of expanding a truly random seed to a longer string of apparently
  1575.   random bits. This seed must be large enough not to be guessed by
  1576.   the opponent. Ideally, it should also be truly random (perhaps
  1577.   generated by a hardware random number source).
  1578.  
  1579.   Those who have Sparcstation 1 workstations could, for example,
  1580.   generate random numbers using the audio input device as a source of
  1581.   entropy, by not connecting anything to it. For example,
  1582.  
  1583.         cat /dev/audio | compress - >foo
  1584.  
  1585.   gives a file of high entropy (not random but with much randomness in
  1586.   it). One can then encrypt that file using part of itself as a key,
  1587.   for example, to convert that seed entropy into a pseudo-random
  1588.   string.
  1589.  
  1590.   When looking for hardware devices to provide this entropy, it is
  1591.   important really to measure the entropy rather than just assume that
  1592.   because it looks complicated to a human, it must be "random". For
  1593.   example, disk operation completion times sound like they might be
  1594.   unpredictable (to many people) but a spinning disk is much like a
  1595.   clock and its output completion times are relatively low in entropy.
  1596.  
  1597. 8.8. What is the unicity point (a.k.a. unicity distance)?
  1598.  
  1599.   See [SHA49]. The unicity distance is an approximation to that amount
  1600.   of ciphertext such that the sum of the real information (entropy) in
  1601.   the corresponding source text and encryption key equals the number
  1602.   of ciphertext bits used. Ciphertexts significantly longer than this
  1603.   can be shown probably to have a unique decipherment. This is used to
  1604.   back up a claim of the validity of a ciphertext-only cryptanalysis. 
  1605.   Ciphertexts significantly shorter than this are likely to have
  1606.   multiple, equally valid decryptions and therefore to gain security
  1607.   from the opponent's difficulty choosing the correct one.
  1608.  
  1609.   Unicity distance, like all statistical or information-theoretic
  1610.   measures, does not make deterministic predictions but rather gives
  1611.   probabilistic results: namely, the minimum amount of ciphertext
  1612.   for which it is likely that there is only a single intelligible
  1613.   plaintext corresponding to the ciphertext, when all possible keys
  1614.   are tried for the decryption. Working cryptologists don't normally
  1615.   deal with unicity distance as such. Instead they directly determine
  1616.   the likelihood of events of interest.
  1617.  
  1618.   Let the unicity distance of a cipher be D characters. If fewer than
  1619.   D ciphertext characters have been intercepted, then there is not
  1620.   enough information to distinguish the real key from a set of
  1621.   possible keys. DES has a unicity distance of 17.5 characters,
  1622.   which is less than 3 ciphertext blocks (each block corresponds to
  1623.   8 ASCII characters). This may seem alarmingly low at first, but
  1624.   the unicity distance gives no indication of the computational work
  1625.   required to find the key after approximately D characters have been
  1626.   intercepted.
  1627.  
  1628.   In fact, actual cryptanalysis seldom proceeds along the lines used
  1629.   in discussing unicity distance. (Like other measures such as key
  1630.   size, unicity distance is something that guarantees insecurity if
  1631.   it's too small, but doesn't guarantee security if it's high.) Few
  1632.   practical cryptosystems are absolutely impervious to analysis; all
  1633.   manner of characteristics might serve as entering ``wedges'' to crack
  1634.   some cipher messages. However, similar information-theoretic
  1635.   considerations are occasionally useful, for example, to determine a
  1636.   recommended key change interval for a particular cryptosystem.
  1637.   Cryptanalysts also employ a variety of statistical and
  1638.   information-theoretic tests to help guide the analysis in the most
  1639.   promising directions.
  1640.  
  1641.   Unfortunately, most literature on the application of information
  1642.   statistics to cryptanalysis remains classified, even the seminal
  1643.   1940 work of Alan Turing (see [KOZ84]). For some insight into the
  1644.   possibilities, see [KUL68] and [GOO83].
  1645.  
  1646. 8.9. What is key management and why is it important?
  1647.  
  1648.   One of the fundamental axioms of cryptography is that the enemy is in
  1649.   full possession of the details of the general cryptographic system,
  1650.   and lacks only the specific key data employed in the encryption. (Of
  1651.   course, one would assume that the CIA does not make a habit of telling
  1652.   Mossad about its cryptosystems, but Mossad probably finds out anyway.)
  1653.   Repeated use of a finite amount of key provides redundancy that can
  1654.   eventually facilitate cryptanalytic progress. Thus, especially in
  1655.   modern communication systems where vast amounts of information are
  1656.   transferred, both parties must have not only a sound cryptosystem but
  1657.   also enough key material to cover the traffic.
  1658.  
  1659.   Key management refers to the distribution, authentication, and
  1660.   handling of keys.
  1661.  
  1662.   A publicly accessible example of modern key management technology
  1663.   is the STU III secure telephone unit, which for classified use
  1664.   employs individual coded ``Crypto Ignition Keys'' and a central Key
  1665.   Management Center operated by NSA. There is a hierarchy in that
  1666.   certain CIKs are used by authorized cryptographic control
  1667.   personnel to validate the issuance of individual traffic keys and
  1668.   to perform installation/maintenance functions, such as the
  1669.   reporting of lost CIKs.
  1670.  
  1671.   This should give an inkling of the extent of the key management
  1672.   problem. For public-key systems, there are several related issues,
  1673.   many having to do with ``whom do you trust?''
  1674.  
  1675. 8.10. Can I use pseudo-random or chaotic numbers as a key stream?
  1676.  
  1677.   Chaotic equations and fractals produce an apparent randomness from
  1678.   relatively compact generators. Perhaps the simplest example is a
  1679.   linear congruential sequence, one of the most popular types of random
  1680.   number generators, where there is no obvious dependence between seeds
  1681.   and outputs. Unfortunately the graph of any such sequence will, in a
  1682.   high enough dimension, show up as a regular lattice. Mathematically
  1683.   this lattice corresponds to structure which is notoriously easy for
  1684.   cryptanalysts to exploit. More complicated generators have more
  1685.   complicated structure, which is why they make interesting pictures---
  1686.   but a cryptographically strong sequence will have no computable
  1687.   structure at all.
  1688.  
  1689.   See [KNU81], exercise 3.5-7; [REE77]; and [BOY89].
  1690.  
  1691. 8.11. What is the correct frequency list for English letters?
  1692.  
  1693.   There are three answers to this question, each slightly deeper than
  1694.   the one before. You can find the first answer in various books:
  1695.   namely, a frequency list computed directly from a certain sample of
  1696.   English text.
  1697.  
  1698.   The second answer is that ``the English language'' varies from author
  1699.   to author and has changed over time, so there is no definitive list.
  1700.   Of course the lists in the books are ``correctly'' computed, but
  1701.   they're all different: exactly which list you get depends on which
  1702.   sample was taken. Any particular message will have different
  1703.   statistics from those of the language as a whole.
  1704.  
  1705.   The third answer is that yes, no particular message is going to have
  1706.   exactly the same characteristics as English in general, but for all
  1707.   reasonable statistical uses these slight discrepancies won't matter.
  1708.   In fact there's an entire field called ``Bayesian statistics'' (other
  1709.   buzzwords are ``maximum entropy methods'' and ``maximum likelihood
  1710.   estimation'') which studies questions like ``What's the chance that a
  1711.   text with these letter frequencies is in English?'' and comes up with
  1712.   reasonably robust answers.
  1713.  
  1714.   So make your own list from your own samples of English text. It will
  1715.   be good enough for practical work, if you use it properly.
  1716.  
  1717. 8.12. What is the Enigma?
  1718.  
  1719.   ``For a project in data security we are looking for sources of
  1720.   information about the German Enigma code and how it was broken by
  1721.   the British during WWII.''
  1722.  
  1723.   See [WEL82], [DEA85], [KOZ84], [HOD83], [KAH91].
  1724.  
  1725. 8.13. How do I shuffle cards?
  1726.  
  1727.   Card shuffling is a special case of the permutation of an array of
  1728.   values, using a random or pseudo-random function. All possible output
  1729.   permutations of this process should be equally likely. To do this, you
  1730.   need a random function (modran(x)) which will produce a uniformly
  1731.   distributed random integer in the interval [0..x-1]. Given that
  1732.   function, you can shuffle with the following [C] code: (assuming ARRLTH
  1733.   is the length of array arr[] and swap() interchanges values at the two
  1734.   addresses given)
  1735.  
  1736.   for ( n = ARRLTH-1; n > 0 ; n-- ) swap( &arr[modran( n+1 )], &arr[n] ) ;
  1737.  
  1738.   modran(x) can not be achieved exactly with a simple (ranno() % x) since
  1739.   ranno()'s interval may not be divisible by x, although in most cases the
  1740.   error will be very small. To cover this case, one can take ranno()'s
  1741.   modulus mod x, call that number y, and if ranno() returns a value less
  1742.   than y, go back and get another ranno() value.
  1743.  
  1744.   See [KNU81] for further discussion.
  1745.  
  1746. 8.14. Can I foil S/W pirates by encrypting my CD-ROM?
  1747.  
  1748.   Someone will frequently express the desire to publish a CD-ROM with
  1749.   possibly multiple pieces of software, perhaps with each encrypted
  1750.   separately, and will want to use different keys for each user (perhaps
  1751.   even good for only a limited period of time) in order to avoid piracy.
  1752.  
  1753.   As far as we know, this is impossible, since there is nothing in standard
  1754.   PC or workstation hardware which uniquely identifies the user at the
  1755.   keyboard. If there were such an identification, then the CD-ROM could be
  1756.   encrypted with a key based in part on the one sold to the user and in
  1757.   part on the unique identifier. However, in this case the CD-ROM is one
  1758.   of a kind and that defeats the intended purpose.
  1759.  
  1760.   If the CD-ROM is to be encrypted once and then mass produced, there must
  1761.   be a key (or set of keys) for that encryption produced at some stage in
  1762.   the process. That key is useable with any copy of the CD-ROM's data.
  1763.   The pirate needs only to isolate that key and sell it along with the
  1764.   illegal copy.
  1765.  
  1766. 8.15. Can you do automatic cryptanalysis of simple ciphers?
  1767.  
  1768.   Certainly. For commercial products you can try AccessData; see
  1769.   question 8.1. We are not aware of any FTP sites for such software,
  1770.   but there are many papers on the subject. See [PEL79], [LUC88],
  1771.   [CAR86], [CAR87], [KOC87], [KOC88], [KIN92], [KIN93], [SPI93].
  1772.  
  1773. 8.16. What is the coding system used by VCR+?
  1774.  
  1775.   One very frequently asked question in sci.crypt is how the VCR+ codes
  1776.   work. See [SHI92] for an attempt to describe it.
  1777.  
  1778. Xref: rde sci.crypt:3341 sci.answers:195 news.answers:3054
  1779. Path: rde!uunet!gatech!howland.reston.ans.net!noc.near.net!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  1780. From: crypt-comments@math.ncsu.edu
  1781. Newsgroups: sci.crypt,sci.answers,news.answers
  1782. Subject: Cryptography FAQ (09/10: Other Miscellany; last mod 19930504)
  1783. Supersedes: <cryptography-faq/part09_735019207@GZA.COM>
  1784. Followup-To: poster
  1785. Date: 7 May 1993 00:00:33 -0400
  1786. Organization: The Crypt Cabal
  1787. Lines: 171
  1788. Sender: faqserv@GZA.COM
  1789. Approved: news-answers-request@MIT.Edu
  1790. Expires: 11 Jun 1993 04:00:05 GMT
  1791. Message-ID: <cryptography-faq/part09_736747205@GZA.COM>
  1792. References: <cryptography-faq/part01_736747205@GZA.COM>
  1793. Reply-To: crypt-comments@math.ncsu.edu
  1794. NNTP-Posting-Host: pad-thai.aktis.com
  1795. X-Last-Updated: 1993/05/06
  1796.  
  1797. Archive-name: cryptography-faq/part09
  1798.  
  1799.  
  1800. This is the ninth of ten parts of the sci.crypt FAQ. The parts are
  1801. mostly independent, but you should read the first part before the rest.
  1802. We don't have the time to send out missing parts by mail, so don't ask.
  1803. Notes such as ``[KAH67]'' refer to the reference list in the last part.
  1804.  
  1805. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  1806. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  1807. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  1808. every 21 days.
  1809.  
  1810.  
  1811. Contents:
  1812.  
  1813. 9.1. What is the National Security Agency (NSA)?
  1814. 9.2. What are the US export regulations?
  1815. 9.3. What is TEMPEST?
  1816. 9.4. What are the Beale Ciphers, and are they a hoax?
  1817. 9.5. What is the American Cryptogram Association, and how do I get in touch?
  1818. 9.6. Is RSA patented?
  1819. 9.7. What about the Voynich manuscript?
  1820.  
  1821.  
  1822. 9.1. What is the National Security Agency (NSA)?
  1823.  
  1824.   The NSA is the official security body of the U.S. government. It
  1825.   was given its charter by President Truman in the late 40's, and
  1826.   has continued research in cryptology till the present. The NSA is
  1827.   known to be the largest employer of mathematicians in the world,
  1828.   and is also the largest purchaser of computer hardware in the
  1829.   world. Governments in general have always been prime employers of
  1830.   cryptologists. The NSA probably possesses cryptographic expertise many
  1831.   years ahead of the public state of the art, and can undoubtedly break
  1832.   many of the systems used in practice; but for reasons of national
  1833.   security almost all information about the NSA is classified.
  1834.  
  1835.   Bamford's book [BAMFD] gives a history of the people and operations of
  1836.   the NSA. The following quote from Massey [MAS88] highlights the
  1837.   difference between public and private research in cryptography:
  1838.  
  1839.   ``... if one regards cryptology as the prerogative of government,
  1840.   one accepts that most cryptologic research will be conducted
  1841.   behind closed doors. Without doubt, the number of workers engaged
  1842.   today in such secret research in cryptology far exceeds that of
  1843.   those engaged in open research in cryptology. For only about 10
  1844.   years has there in fact been widespread open research in
  1845.   cryptology. There have been, and will continue to be, conflicts
  1846.   between these two research communities. Open research is common
  1847.   quest for knowledge that depends for its vitality on the open
  1848.   exchange of ideas via conference presentations and publications in
  1849.   scholarly journals. But can a government agency, charged with
  1850.   responsibilities of breaking the ciphers of other nations,
  1851.   countenance the publication of a cipher that it cannot break? Can
  1852.   a researcher in good conscience publish such a cipher that might
  1853.   undermine the effectiveness of his own government's code-breakers?
  1854.   One might argue that publication of a provably-secure cipher would
  1855.   force all governments to behave like Stimson's `gentlemen', but one
  1856.   must be aware that open research in cryptography is fraught with
  1857.   political and ethical considerations of a severity than in most
  1858.   scientific fields. The wonder is not that some conflicts have
  1859.   occurred between government agencies and open researchers in
  1860.   cryptology, but rather that these conflicts (at least those of which
  1861.   we are aware) have been so few and so mild.''
  1862.  
  1863. 9.2. What are the US export regulations?
  1864.  
  1865.   In a nutshell, there are two government agencies which control
  1866.   export of encryption software. One is the Bureau of Export
  1867.   Administration (BXA) in the Department of Commerce, authorized by
  1868.   the Export Administration Regulations (EAR). Another is the Office
  1869.   of Defense Trade Controls (DTC) in the State Department, authorized
  1870.   by the International Traffic in Arms Regulations (ITAR). As a rule
  1871.   of thumb, BXA (which works with COCOM) has less stringent
  1872.   requirements, but DTC (which takes orders from NSA) wants to see
  1873.   everything first and can refuse to transfer jurisdiction to BXA.
  1874.  
  1875.   The newsgroup misc.legal.computing carries many interesting
  1876.   discussions on the laws surrounding cryptographic export, what
  1877.   people think about those laws, and many other complex issues which
  1878.   go beyond the scope of technical groups like sci.crypt. Make sure to
  1879.   consult your lawyer before doing anything which will get you thrown in
  1880.   jail; if you are lucky, your lawyer might know a lawyer who has at
  1881.   least heard of the ITAR.
  1882.  
  1883. 9.3. What is TEMPEST?
  1884.  
  1885.   TEMPEST is a standard for electromagnetic shielding for computer
  1886.   equipment. It was created in response to the discovery that
  1887.   information can be read from computer radiation (e.g., from a CRT) at
  1888.   quite a distance and with little effort.
  1889.  
  1890.   Needless to say, encryption doesn't do much good if the cleartext
  1891.   is available this way.
  1892.  
  1893. 9.4. What are the Beale Ciphers, and are they a hoax?
  1894.  
  1895.   (Thanks to Jim Gillogly for this information and John King for
  1896.   corrections.)
  1897.  
  1898.   The story in a pamphlet by J. B. Ward (1885) goes: Thomas
  1899.   Jefferson Beale and a party of adventurers accumulated a huge mass
  1900.   of treasure and buried it in Bedford County, Virginia, leaving
  1901.   three ciphers with an innkeeper; the ciphers describe the
  1902.   location, contents, and intended beneficiaries of the treasure.
  1903.   Ward gives a decryption of the second cipher (contents) called B2;
  1904.   it was encrypted as a book cipher using the initial letters of the
  1905.   Declaration of Independence (DOI) as key. B1 and B3 are unsolved;
  1906.   many documents have been tried as the key to B1.
  1907.  
  1908.   Aficionados can join a group that attempts to solve B1 by various
  1909.   means with an eye toward splitting the treasure:
  1910.  
  1911.   The Beale Cypher Association
  1912.   P.O. Box 975
  1913.   Beaver Falls, PA 15010
  1914.  
  1915.   You can get the ciphers from the rec.puzzles FAQL by including the
  1916.   line:
  1917.  
  1918.   send index
  1919.  
  1920.   in a message to netlib@peregrine.com and following the directions.
  1921.   (There are apparently several different versions of the cipher
  1922.   floating around. The correct version is based on the 1885 pamphlet,
  1923.   says John King <kingj@hpcc01.corp.hp.com>.)
  1924.  
  1925.   Some believe the story is a hoax. Kruh [KRU88] gives a long list of
  1926.   problems with the story. Gillogly [GIL80] decrypted B1 with the DOI
  1927.   and found some unexpected strings, including ABFDEFGHIIJKLMMNOHPP.
  1928.   Hammer (president of the Beale Cypher Association) agrees that this
  1929.   string couldn't appear by chance, but feels there must be an
  1930.   explanation; Gwyn (sci.crypt expert) is unimpressed with this
  1931.   string.
  1932.  
  1933. 9.5. What is the American Cryptogram Association, and how do I get in touch?
  1934.  
  1935.   The ACA is an organization devoted to cryptography, with an emphasis
  1936.   on cryptanalysis of systems that can be attacked either with
  1937.   pencil-and-paper or computers. Its organ ``The Cryptogram'' includes
  1938.   articles and challenge ciphers. Among the more than 50 cipher types in
  1939.   English and other languages are simple substitution, Playfair,
  1940.   Vigenere, bifid, Bazeries, grille, homophonic, and cryptarithm.
  1941.  
  1942.   Dues are $15 for one year (6 issues); more outside of North America;
  1943.   less for students under 18 and seniors. Subscriptions should be sent
  1944.   to ACA Treasurer, 18789 West Hickory St., Mundelein, IL 60060.
  1945.  
  1946. 9.6. Is RSA patented?
  1947.  
  1948.   Yes. The patent number is 4,405,829, filed 12/14/77, granted 9/20/83.
  1949.   For further discussion of this patent, whether it should have been
  1950.   granted, algorithm patents in general, and related legal and moral
  1951.   issues, see comp.patents and misc.legal.computing. For information
  1952.   about the League for Programming Freedom see [FTPPF]. Note that one of
  1953.   the original purposes of comp.patents was to collect questions such as
  1954.   ``should RSA be patented?'', which often flooded sci.crypt and other
  1955.   technical newsgroups, into a more appropriate forum.
  1956.  
  1957. 9.7. What about the Voynich manuscript?
  1958.  
  1959.   nelson@reed.edu (Nelson Minar) says there is a mailing list on the
  1960.   subject. The address to write to subscribe to the VMS mailing list
  1961.   is: <voynich-request@rand.org>
  1962.  
  1963.   the ftp archive is: rand.org:/pub/voynich
  1964.  
  1965.   There's all sorts of information about the manuscript itself, of
  1966.   course. A good bibliography can be found on the ftp site. [KAH67]
  1967.   gives a good introduction.
  1968.  
  1969. Xref: rde sci.crypt:3342 sci.answers:196 news.answers:3055
  1970. Path: rde!uunet!gatech!howland.reston.ans.net!noc.near.net!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  1971. From: crypt-comments@math.ncsu.edu
  1972. Newsgroups: sci.crypt,sci.answers,news.answers
  1973. Subject: Cryptography FAQ (10/10: References; last mod 19930504)
  1974. Supersedes: <cryptography-faq/part10_735019207@GZA.COM>
  1975. Followup-To: poster
  1976. Date: 7 May 1993 00:00:34 -0400
  1977. Organization: The Crypt Cabal
  1978. Lines: 351
  1979. Sender: faqserv@GZA.COM
  1980. Approved: news-answers-request@MIT.Edu
  1981. Expires: 11 Jun 1993 04:00:05 GMT
  1982. Message-ID: <cryptography-faq/part10_736747205@GZA.COM>
  1983. References: <cryptography-faq/part01_736747205@GZA.COM>
  1984. Reply-To: crypt-comments@math.ncsu.edu
  1985. NNTP-Posting-Host: pad-thai.aktis.com
  1986. X-Last-Updated: 1993/05/06
  1987.  
  1988. Archive-name: cryptography-faq/part10
  1989.  
  1990.  
  1991. This is the tenth of ten parts of the sci.crypt FAQ. The parts are
  1992. mostly independent, but you should read the first part before the rest.
  1993. We don't have the time to send out missing parts by mail, so don't ask.
  1994. Notes such as ``[KAH67]'' refer to the reference list in this part.
  1995.  
  1996. The sections of this FAQ are available via anonymous FTP to rtfm.mit.edu 
  1997. as /pub/usenet/news.answers/cryptography-faq/part[xx]. The Cryptography 
  1998. FAQ is posted to the newsgroups sci.crypt, sci.answers, and news.answers 
  1999. every 21 days.
  2000.  
  2001.  
  2002. Contents
  2003.  
  2004. 10.1. Books on history and classical methods
  2005. 10.2. Books on modern methods
  2006. 10.3. Survey articles
  2007. 10.4. Reference articles
  2008. 10.5. Journals, conference proceedings
  2009. 10.6. Other
  2010. 10.7. How may one obtain copies of FIPS and ANSI standards cited herein?
  2011. 10.8. Electronic sources
  2012. 10.9. RFCs (available from [FTPRF])
  2013. 10.10. Related newsgroups
  2014.  
  2015.  
  2016. 10.1. Books on history and classical methods
  2017.  
  2018.   [FRIE1] Lambros D. Callimahos, William F. Friedman, Military Cryptanalytics.
  2019.           Aegean Park Press, ?.
  2020.   [DEA85] Cipher A. Deavours & Louis Kruh, Machine Cryptography and
  2021.           Modern Cryptanalysis. Artech House, 610 Washington St.,
  2022.           Dedham, MA 02026, 1985.
  2023.   [FRIE2] William F. Friedman, Solving German Codes in World War I.
  2024.           Aegean Park Press, ?.
  2025.   [GAI44] H. Gaines, Cryptanalysis, a study of ciphers and their
  2026.           solution. Dover Publications, 1944.
  2027.   [HIN00] F.H.Hinsley, et al., British Intelligence in the Second
  2028.           World War. Cambridge University Press. (vol's 1, 2, 3a, 3b
  2029.           & 4, so far). XXX Years and authors, fix XXX
  2030.   [HOD83] Andrew Hodges, Alan Turing: The Enigma. Burnett Books
  2031.           Ltd., 1983
  2032.   [KAH91] David Kahn, Seizing the Enigma. Houghton Mifflin, 1991.
  2033.   [KAH67] D. Kahn, The Codebreakers. Macmillan Publishing, 1967.
  2034.           [history] [The abridged paperback edition left out most
  2035.           technical details; the original hardcover edition is
  2036.           recommended.]
  2037.   [KOZ84] W. Kozaczuk, Enigma. University Publications of America, 1984
  2038.   [KUL76] S. Kullback, Statistical Methods in Cryptanalysis. Aegean
  2039.           Park Press, 1976.
  2040.   [SIN66] A. Sinkov, Elementary Cryptanalysis. Math. Assoc. Am. 1966.
  2041.   [WEL82] Gordon Welchman, The Hut Six Story. McGraw-Hill, 1982.
  2042.   [YARDL] Herbert O. Yardley, The American Black Chamber. Aegean Park
  2043.           Press, ?.
  2044.  
  2045. 10.2. Books on modern methods
  2046.  
  2047.   [BEK82] H. Beker, F. Piper, Cipher Systems. Wiley, 1982.
  2048.   [BRA88] G. Brassard, Modern Cryptology: a tutorial.
  2049.           Spinger-Verlag, 1988.
  2050.   [DEN82] D. Denning, Cryptography and Data Security. Addison-Wesley
  2051.           Publishing Company, 1982.
  2052.   [KOB89] N. Koblitz, A course in number theory and cryptography.
  2053.           Springer-Verlag, 1987.
  2054.   [KON81] A. Konheim, Cryptography: a primer. Wiley, 1981.
  2055.   [MEY82] C. Meyer and S. Matyas, Cryptography: A new dimension in
  2056.           computer security. Wiley, 1982.
  2057.   [PAT87] Wayne Patterson, Mathematical Cryptology for Computer
  2058.           Scientists and Mathematicians. Rowman & Littlefield, 1987.
  2059.   [PFL89] C. Pfleeger, Security in Computing. Prentice-Hall, 1989.
  2060.   [PRI84] W. Price, D. Davies, Security for computer networks. Wiley, 1984. 
  2061.   [RUE86] R. Rueppel, Design and Analysis of Stream Ciphers.
  2062.           Springer-Verlag, 1986.
  2063.   [SAL90] A. Saloma, Public-key cryptography. Springer-Verlag, 1990.
  2064.   [WEL88] D. Welsh, Codes and Cryptography. Claredon Press, 1988.
  2065.  
  2066. 10.3. Survey articles
  2067.  
  2068.   [ANG83] D. Angluin, D. Lichtenstein, Provable Security in Crypto-
  2069.           systems: a survey. Yale University, Department of Computer
  2070.           Science, #288, 1983.
  2071.   [BET90] T. Beth, Algorithm engineering for public key algorithms.
  2072.           IEEE Selected Areas of Communication, 1(4), 458--466,
  2073.           1990.
  2074.   [DAV83] M. Davio, J. Goethals, Elements of cryptology. in Secure
  2075.           Digital Communications, G. Longo ed., 1--57, 1983.
  2076.   [DIF79] W. Diffie, M. Hellman, Privacy and Authentication: An
  2077.           introduction to cryptography. IEEE proceedings, 67(3),
  2078.           397--427, 1979.
  2079.   [DIF88] W. Diffie, The first ten years of public key cryptography.
  2080.           IEEE proceedings, 76(5), 560--577, 1988.
  2081.   [FEI73] H. Feistel, Cryptography and Computer Privacy. Scientific 
  2082.           American, 228(5), 15--23, 1973.
  2083.   [FEI75] H. Feistel, H, W. Notz, J. Lynn Smith. Some cryptographic
  2084.           techniques for machine-to-machine data communications,
  2085.           IEEE IEEE proceedings, 63(11), 1545--1554, 1975.
  2086.   [HEL79] M. Hellman, The mathematics of public key cryptography.
  2087.           Scientific American, 130--139, 1979.
  2088.   [LAK83] S. Lakshmivarahan, Algorithms for public key
  2089.           cryptosystems. In Advances in Computers, M. Yovtis ed.,
  2090.           22, Academic Press, 45--108, 1983.
  2091.   [LEM79] A. Lempel, Cryptology in transition, Computing Surveys,
  2092.           11(4), 285--304, 1979.
  2093.   [MAS88] J. Massey, An introduction to contemporary cryptology, IEEE
  2094.           proceedings, 76(5), 533--549, 1988.
  2095.   [SIM91] G. Simmons (ed.), Contemporary Cryptology: the Science of
  2096.           Information Integrity. IEEE press, 1991.
  2097.  
  2098. 10.4. Reference articles
  2099.  
  2100.   [AND83] D. Andelman, J. Reeds, On the cryptanalysis of rotor and
  2101.           substitution-permutation networks. IEEE Trans. on Inform.
  2102.           Theory, 28(4), 578--584, 1982.
  2103.   [BEN87] John Bennett, Analysis of the Encryption Algorithm Used in
  2104.           the WordPerfect Word Processing Program. Cryptologia 11(4),
  2105.           206--210, 1987.
  2106.   [BER91] H. A. Bergen and W. J. Caelli, File Security in WordPerfect
  2107.           5.0. Cryptologia 15(1), 57--66, January 1991.
  2108.   [BIH91] E. Biham and A. Shamir, Differential cryptanalysis of
  2109.           DES-like cryptosystems. Journal of Cryptology, vol. 4, #1,
  2110.           3--72, 1991.
  2111.   [BI91a] E. Biham, A. Shamir, Differential cryptanalysis of Snefru,
  2112.           Khafre, REDOC-II, LOKI and LUCIFER. In Proceedings of CRYPTO
  2113.           '91, ed. by J. Feigenbaum, 156--171, 1992.
  2114.   [BOY89] J. Boyar, Inferring Sequences Produced by Pseudo-Random
  2115.           Number Generators. Journal of the ACM, 1989.
  2116.   [BRI86] E. Brickell, J. Moore, M. Purtill, Structure in the
  2117.           S-boxes of DES. In Proceedings of CRYPTO '86, A. M. Odlyzko
  2118.           ed., 3--8, 1987.
  2119.   [BRO89] L. Brown, A proposed design for an extended DES, Computer
  2120.           Security in the Computer Age. Elsevier Science Publishers
  2121.           B.V. (North Holland), IFIP, W. J. Caelli ed., 9--22, 1989.
  2122.   [BRO90] L. Brown, J. Pieprzyk, J. Seberry, LOKI - a cryptographic
  2123.           primitive for authentication and secrecy applications.
  2124.           In Proceedings of AUSTCRYPT 90, 229--236, 1990.
  2125.   [CAE90] H. Gustafson, E. Dawson, W. Caelli, Comparison of block
  2126.           ciphers. In Proceedings of AUSCRYPT '90, J. Seberry and J.
  2127.           Piepryzk eds., 208--220, 1990.
  2128.   [CAM93] K. W. Campbell, M. J. Wiener, Proof the DES is Not a Group.
  2129.           In Proceedings of CRYPTO '92, 1993.
  2130.   [CAR86] John Carrol and Steve Martin, The Automated Cryptanalysis
  2131.           of Substitution Ciphers. Cryptologia 10(4), 193--209, 1986.
  2132.   [CAR87] John Carrol and Lynda Robbins, Automated Cryptanalysis of
  2133.           Polyalphabetic Ciphers. Cryptologia 11(4), 193--205, 1987.
  2134.   [ELL88] Carl M. Ellison, A Solution of the Hebern Messages. Cryptologia,
  2135.           vol. XII, #3, 144-158, Jul 1988.
  2136.   [EVE83] S. Even, O. Goldreich, DES-like functions can generate the
  2137.           alternating group. IEEE Trans. on Inform. Theory, vol. 29,
  2138.           #6, 863--865, 1983.
  2139.   [GAR91] G. Garon, R. Outerbridge, DES watch: an examination of the
  2140.           sufficiency of the Data Encryption Standard for financial
  2141.           institutions in the 1990's. Cryptologia, vol. XV, #3,
  2142.           177--193, 1991.
  2143.   [GIL80] Gillogly, ?. Cryptologia 4(2), 1980.
  2144.   [GM82]  Shafi Goldwasser, Silvio Micali, Probabilistic Encryption and
  2145.           How To Play Mental Poker Keeping Secret All Partial Information.
  2146.           Proceedings of the Fourteenth Annual ACM Symposium on Theory of
  2147.           Computing, 1982.
  2148.   [HUM83] D. G. N. Hunter and A. R. McKenzie, Experiments with
  2149.           Relaxation Algorithms for Breaking Simple Substitution
  2150.           Ciphers. Computer Journal 26(1), 1983.
  2151.   [KAM78] J. Kam, G. Davida, A structured design of substitution-
  2152.           permutation encryption networks. IEEE Trans. Information
  2153.           Theory, 28(10), 747--753, 1978.
  2154.   [KIN78] P. Kinnucan, Data encryption gurus: Tuchman and Meyer.
  2155.           Cryptologia, vol. II #4, 371--XXX, 1978.
  2156.   [KIN92] King and Bahler, Probabilistic Relaxation in the
  2157.           Cryptanalysis of Simple Substitution Ciphers. Cryptologia
  2158.           16(3), 215--225, 1992.
  2159.   [KIN93] King and Bahler, An Algorithmic Solution of Sequential
  2160.           Homophonic Ciphers. Cryptologia 17(2), in press.
  2161.   [KOC87] Martin Kochanski, A Survey of Data Insecurity Packages.
  2162.           Cryptologia 11(1), 1--15, 1987.
  2163.   [KOC88] Martin Kochanski, Another Data Insecurity Package.
  2164.           Cryptologia 12(3), 165--177, 1988.
  2165.   [KRU88] Kruh, ?. Cryptologia 12(4), 1988.
  2166.   [LAI90] X. Lai, J. Massey, A proposal for a new block encryption 
  2167.           standard. EUROCRYPT 90, 389--404, 1990.
  2168.   [LUB88] C. Rackoff, M. Luby, How to construct psuedorandom
  2169.           permutations from psuedorandom functions. SIAM Journal of
  2170.           Computing, vol. 17, #2, 373--386, 1988.
  2171.   [LUC88] Michael Lucks, A Constraint Satisfaction Algorithm for the
  2172.           Automated Decryption of Simple Substitution Ciphers. In
  2173.           CRYPTO '88.
  2174.   [MAS88] J. Massey, An introduction to contemporary cryptology.
  2175.           IEEE proceedings, 76(5), 533--549, 1988.
  2176.   [ME91a] R. Merkle, Fast software encryption functions. In Proceedings
  2177.           of CRYPTO '90, Menezes and Vanstone ed., 476--501, 1991.
  2178.   [MEY78] C. Meyer, Ciphertext/plaintext and ciphertext/key
  2179.           dependence vs. number of rounds for the Data Encryption
  2180.           Standard. AFIPS Conference proceedings, 47, 1119--1126,
  2181.           1978.
  2182.   [NBS77] Data Encryption Standard. National Bureau of Standards,
  2183.           FIPS PUB 46, Washington, DC, January 1977.
  2184.   [PEL79] S. Peleg and A. Rosenfeld, Breaking Substitution Ciphers
  2185.           Using a Relaxation Algorithm. CACM 22(11), 598--605, 1979.
  2186.   [REE77] J. Reeds, `Cracking' a Random Number Generator.
  2187.           Cryptologia 1(1), 20--26, 1977.
  2188.   [REE84] J. A. Reeds and P. J. Weinberger, File Security and the UNIX
  2189.           Crypt Command. AT&T Bell Laboratories Technical Journal,
  2190.           Vol. 63 #8, part 2, 1673--1684, October, 1984.
  2191.   [SHA49] C. Shannon, Communication Theory of Secrecy Systems. Bell
  2192.           System Technical Journal 28(4), 656--715, 1949.
  2193.   [SHE88] B. Kaliski, R. Rivest, A. Sherman, Is the Data Encryption
  2194.           Standard a Group. Journal of Cryptology, vol. 1, #1,
  2195.           1--36, 1988.
  2196.   [SHI88] A. Shimizu, S. Miyaguchi, Fast data encipherment algorithm
  2197.           FEAL. EUROCRYPT '87, 267--278, 1988.
  2198.   [SHI92] K. Shirriff, C. Welch, A. Kinsman, Decoding a VCR Controller
  2199.           Code. Cryptologia 16(3), 227--234, 1992.
  2200.   [SOR84] A. Sorkin, LUCIFER: a cryptographic algorithm.
  2201.           Cryptologia, 8(1), 22--35, 1984.
  2202.   [SPI93] R. Spillman et al., Use of Genetic Algorithms in
  2203.           Cryptanalysis of Simple Substitution Ciphers. Cryptologia
  2204.           17(1), 31--44, 1993.
  2205.         
  2206. 10.5. Journals, conference proceedings
  2207.  
  2208.   CRYPTO
  2209.   Eurocrypt
  2210.   IEEE Transactions on Information Theory
  2211.   Cryptologia: a cryptology journal, quarterly since Jan 1977.
  2212.           Cryptologia; Rose-Hulman Institute of Technology; Terre Haute
  2213.           Indiana 47803 [general: systems, analysis, history, ...]
  2214.   Journal of Cryptology; International Association for Cryptologic
  2215.           Research; published by Springer Verlag (quarterly since
  2216.           1988).
  2217.   The Cryptogram (Journal of the American Cryptogram Association);
  2218.           18789 West Hickory Street; Mundelein, IL 60060; [primarily
  2219.           puzzle cryptograms of various sorts]
  2220.   Cryptosystems Journal, Published by Tony Patti, P.O. Box 188,
  2221.           Newtown PA, USA 18940-0188 or tony_s_patti@cup.portal.com.
  2222.           Publisher's comment: Includes complete cryptosystems with
  2223.           source and executable programs on diskettes. Tutorial. The
  2224.           typical cryptosystems supports multi-megabit keys and Galois
  2225.           Field arithmetic. Inexpensive hardware random number
  2226.           generator details.
  2227.   Computer and Communication Security Reviews, published by Ross Anderson.
  2228.           Sample issue available from various ftp sites, including
  2229.           black.ox.ac.uk. Editorial c/o rja14@cl.cam.ac.uk. Publisher's
  2230.           comment: We review all the conference proceedings in this field,
  2231.           including not just Crypto and Eurocrypt, but regional gatherings
  2232.           like Auscrypt and Chinacrypt. We also abstract over 50 journals,
  2233.           and cover computer security as well as cryptology, so readers can
  2234.           see the research trends in applications as well as theory.
  2235.  
  2236. 10.6. Other
  2237.  
  2238.   Address of note: Aegean Park Press, P.O. Box 2837, Laguna Hills, CA
  2239.   92654-0837. Answering machine at 714-586-8811.
  2240.  
  2241.   The ``Orange Book'' is DOD 5200.28-STD, published December 1985 as
  2242.   part of the ``rainbow book'' series. Write to Department of Defense,
  2243.   National Security Agency, ATTN: S332, 9800 Savage Road, Fort Meade, MD
  2244.   20755-6000, and ask for the Trusted Computer System Evaluation
  2245.   Criteria. Or call 301-766-8729.
  2246.  
  2247.   [BAMFD] Bamford, The Puzzle Palace. Penguin Books, ?.
  2248.   [GOO83] I. J. Good, Good Thinking: the foundations of probability and
  2249.           its applications. University of Minnesota Press, 1983.
  2250.   [KNU81] D. E. Knuth, The Art of Computer Programming, volume 2:
  2251.           Seminumerical Algorithms. Addison-Wesley, 1981.
  2252.   [KUL68] Soloman Kullbach, Information Theory and Statistics.
  2253.           Dover, 1968.
  2254.   [YAO88] A. Yao, Computational Information Theory. In Complexity in
  2255.           Information Theory, ed. by Abu-Mostafa, 1988.
  2256.  
  2257. 10.7. How may one obtain copies of FIPS and ANSI standards cited herein?
  2258.  
  2259.   Many textbooks on cryptography contain complete reprints of the FIPS
  2260.   standards, which are not copyrighted.
  2261.  
  2262.   The following standards may be ordered from the
  2263.       U.S. Department of Commerce, National Technical Information Service,
  2264.       Springfield, VA 22161.
  2265.  
  2266.       FIPS PUB 46-1 Data Encryption Standard  (this is DES)
  2267.       FIPS PUB 74   Guidelines for Implementing as Using the NBS DES
  2268.       FIPS PUB 81   DES Modes of Operation
  2269.       FIPS PUB 113  Computer Data Authentication (using DES)
  2270.  
  2271.   The following standards may be ordered from the
  2272.       American National Standards Institute Sales Office,
  2273.       1430 Broadway, New York, NY 10018.
  2274.       Phone 212.642.4900
  2275.  
  2276.       ANSI X3.92-1981  Data Encryption Algorithm (identical to FIPS 46-1)
  2277.       ANSI X3.106-1983 DEA Modes of Operation    (identical to FIPS 113)
  2278.  
  2279.   Notes:  Figure 3 in FIPS PUB 46-1 is in error, but figure 3 in X3.92-1981
  2280.       is correct. The text is correct in both publications.
  2281.  
  2282.  
  2283. 10.8. Electronic sources
  2284.  
  2285.   Anonymous ftp:
  2286.  
  2287.   [FTPBK] ftp.uu.net:bsd-sources/usr.bin/des/
  2288.   [FTPCB] ftp.uu.net:usenet/comp.sources.unix/volume10/cbw/
  2289.   [FTPDF] ftp.funet.fi:pub/unix/security/destoo.tar.Z
  2290.   [FTPDQ] rsa.com:pub/faq/
  2291.   [FTPEY] ftp.psy.uq.oz.au:pub/DES/
  2292.   [FTPMD] rsa.com:?
  2293.   [FTPMR] ripem.msu.edu:pub/crypt/newdes.tar.Z
  2294.   [FTPOB] ftp.3com.com:Orange-book
  2295.   [FTPPF] prep.ai.mit.edu:pub/lpf/
  2296.   [FTPPK] ucsd.edu:hamradio/packet/tcpip/crypto/des.tar.Z
  2297.   [FTPRF] nic.merit.edu:documents/rfc/
  2298.   [FTPSF] beta.xerox.com:pub/hash/
  2299.   [FTPSO] chalmers.se:pub/des/des.1.0.tar.Z
  2300.   [FTPTR] ripem.msu.edu:pub/crypt/other/tran.tar.Z
  2301.   [FTPUF] ftp.uu.net:usenet/comp.sources.unix/volume28/ufc-crypt/
  2302.   [FTPWP] garbo.uwasa.fi:pc/util/wppass2.zip
  2303.  
  2304. 10.9. RFCs (available from [FTPRF])
  2305.  
  2306.   [1424]  B. Kaliski, Privacy Enhancement for Internet Electronic Mail:
  2307.           Part IV: Key Certification and Related Services. RFC 1424,
  2308.           February 1993.
  2309.   [1423]  D. Balenson, Privacy Enhancement for Internet Electronic Mail:
  2310.           Part III: Algorithms, Modes, and Identifiers. RFC 1423,
  2311.           February 1993.
  2312.   [1422]  S. Kent, Privacy Enhancement for Internet Electronic Mail:
  2313.           Part II: Certificate-Based Key Management. RFC 1422, February
  2314.           1993.
  2315.   [1421]  J. Linn, Privacy Enhancement for Internet Electronic Mail:
  2316.           Part I: Message Encryption and Authentication Procedures. RFC
  2317.           1421, February 1993.
  2318.  
  2319. 10.10. Related newsgroups
  2320.  
  2321.   There are other newsgroups which a sci.crypt reader might want also to
  2322.   read. Some have their own FAQs as well.
  2323.  
  2324.   alt.privacy.clipper
  2325.   alt.security                  general security discussions
  2326.   alt.security.index            index to alt.security
  2327.   alt.security.pgp              discussion of PGP
  2328.   alt.security.ripem            discussion of RIPEM
  2329.   alt.society.civil-liberty     general civil liberties, including privacy
  2330.   comp.compression              discussion of compression algorithms and code
  2331.   comp.org.eff.news             News reports from EFF
  2332.   comp.org.eff.talk             discussion of EFF related issues
  2333.   comp.patents                  discussion of S/W patents, including RSA
  2334.   comp.risks                    some mention of crypto and wiretapping
  2335.   comp.society.privacy          general privacy issues
  2336.   comp.security.announce        announcements of security holes
  2337.   misc.legal.computing          
  2338.   sci.math                      general math discussion
  2339.