<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 28 May 2015 at 03:41, Jonathan Thornburg <span dir="ltr"><<a href="mailto:jthorn@astro.indiana.edu" target="_blank">jthorn@astro.indiana.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, May 27, 2015 at 05:38:45PM -0700, Ray Dillinger wrote:<br>
> In fact there's a<br>
> related issue with DES, where the effect of composing<br>
> any two encryptions with different keys is the same as<br>
> a single encryption with a third key (hence 3DES with<br>
> a DEcryption in the middle rather than another ENcryption<br>
> that wouldn't actually add anything to security).<br>
<br>
</span>There is good evidence that DES is *not* a group (references below).<br>
This means that composing multiple DES encryptions yields an operation<br>
which is distinct from any single-DES.<br></blockquote><div><br></div><div>In fact, symmetric ciphers MUST NOT be groups (under composition of keys) or there's a meet-in-the-middle attack available on them (this was a self-inflicted interview question when I joined Google :-).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
The reason to use EDE rather than EEE when doing 3DES is to allow<br>
backward-compatability with single-DES when all three keys are the same.<br></blockquote><div><br></div><div>The other reason is efficiency: if you do EDE then the input and output transforms can be dropped in the middle, since they cancel.</div><div><br></div></div></div></div>