
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 16, 2014 at 7:22 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">Jonathan Hunt <<a href="mailto:j@me.net.nz">j@me.net.nz</a>> writes:<br>


>On Wed, Jan 15, 2014 at 12:48 PM, Phillip Hallam-Baker <<a href="mailto:hallam@gmail.com">hallam@gmail.com</a>> wrote:<br>

>> What then should we do about all the folk clinging to 3DES? How about the<br>

>> people who stuck with MD5? How about the people who have not junked SHA-1?<br>

><br>

>I don't think anyone recommends using these broken constructs in new projects<br>

>(i.e. sets them as default in a cryptography library).<br>

<br>

</div>Since when was 3DES a broken construct?  In fact in the early-mid 2000's there<br>

were several papers published that made AES look a bit shaky (none of the<br>

attacks were developed much further, but we didn't know that at the time), so<br>

sticking to 3DES, with its extra quarter century of provenance, was a<br>

perfectly sensible move.  Even now, it's unlikely that any algorithm has<br>

received as much attention and analysis as 3DES.<br></blockquote><div><br></div><div>The problem is the same problem as usual with DES: Adi Shamir. Remember when he got bounced from that NSA conference? He gave a talk at MIT instead. And what he showed generalizes the meet in the middle approach.</div>

<div><br></div><div>It isn't a break of 3DES but the approach does show how the construction approach is weak. </div><div><br></div><div>The reason I point it out is that what we had in 2007 was very similar. There was no proof that the algorithm is backdoored. I am not aware that we have an actual smoking gun in the Snowden docs even today. No 'Time for some backdoor in DUAL_EC_DRNG'.</div>

<div><br></div><div>But what there is today on 3DES is certainly enough for those of us who went to the right talks to be able to say in 5 or 6 years, 'told you 3DES was vulnerable'. It wouldn't really be fair, it would be using a huge slice of hindsight. But so are the people complaining about RSA.</div>

<div> </div></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>

</div></div>