Redigerer Trippel DES (avsnitt)

==Sikkerhet==
Hovedsakelig har TDES med tre forskjellige nøkler (3TDES) en nøkkellengde på 168 bits: tre 56-bit DES nøkler (med paritetsbits har 3TDES en total lagringslengde på 192 bits), men på grunn av [[meet-in-the-middle angrep]] så er den reelle sikkerheten bare på 112 bits. En variant, kalt to-nøkkel TDES (2TDES), bruker k<sub>1</sub> = k<sub>3</sub>, og reduserer derved nøkkellengden til 112 bits, og lagringslengden til 128 bits. Denne metoden, derimot, er utsatt for enkelte angrep med utvalgte klartekster, eller angrep med kjente klartekster<ref>[[Ralph Merkle]], [[Martin Hellman]]: [http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf On the Security of Multiple Encryption] {{Wayback|url=http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf|date=20110927011526}} ([[PDF]]), [[Communications of the ACM]], Vol 24, No 7, pp 465&#x2013;467, July 1981.</ref><ref>[[Paul van Oorschot]], [[Michael J. Wiener ]], ''A known-plaintext attack on two-key triple encryption'', [[EUROCRYPT]]'90, LNCS 473, 1990, pp 318&#x2013;325.</ref> og har derfor bare fått tildelt et sikkerhetsnivå på 80 bits.<ref>NIST, [http://csrc.nist.gov/publications/nistpubs/800-57/SP800-57-Part1.pdf Recommendation for Key Management &mdash; Part 1: general] ([[PDF]]), Special Publication 800-57.</ref>

Frem til [[2005]] så har det beste kjente angrepet på 3TDES krevet omtrent 2<sup>32</sup> kjente klartekster, 2<sup>113</sup> steg, 2<sup>90</sup> enkle DES krypteringer og 2<sup>88</sup> hukommelse<ref>[[Stefan Lucks]]: [http://th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz Attacking Triple Encryption]  {{Wayback|url=http://th.informatik.uni-mannheim.de/People/Lucks/papers/pdf/3des.pdf.gz|date=20051109071329}} ([[PDF]]), [[Fast Software Encryption]] 1998, pp 239&#x2013;253.</ref> (referansen beskriver andre avveiinger mellom tid og hukommelse). Dette er for tiden ikke praktisk gjennomførbart. Hvis en angriper ønsker å finne en av mange kryptografiske nøkler, så finnes det et hukommelseseffektivt angrep som vil finne en av 2<sup>28</sup> nøkler, gitt at man har en håndfull utvalgte klartekster per nøkkel og omtrent 2<sup>84</sup> krypteringsoperasjoner.<ref>[[Eli Biham]]: [http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1996/CS/CS0884.ps.gz How to Forge DES-Encrypted Messages in 2<sup>28</sup> Steps] {{Wayback|url=http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1996/CS/CS0884.ps.gz|date=20051210220928}} ([[PostScript]]), 1996.</ref> Dette angrepet er velegnet for parallellkjøring, og grenser til det som er praktisk gjennomførbart, gitt at man har et milliardbudsjett og flere år på seg for å utføre angrepet, selv om omstendighetene rundt selve gjennomføringen vil være begrenset.