ソフトウェアでAESよりも3DESを選択するのはなぜですか？

私の意見では、AESではなく3DESを選択する理由はありません。

特にソフトウェアの場合、3DESのパフォーマンスにはいつもひどいものでした。さらに、最近のほとんどのCPUにはAESアクセラレータが付属しているため、AESはさらに高速です。

しかし、残念ながら、変更管理は困難です。特定のスマートカードまたはハードウェアモジュールはAESをサポートしていませんが、3DESをサポートしています…ハードウェアの変更を回避できる場合は、実際には壊れていないため、3DESを使い続けることができます。

また、ほとんどのソフトウェア開発チームには暗号化愛好家/暗号学者がいないため、継続している可能性があります。彼らが慣れている、または彼らのシステムが基づいている古き良きアルゴリズムを使用するため。必ずしも正当な理由ではありませんが、特にソフトウェアに関しては変更が難しいため、ほとんどの場合、下位互換性などを妨げるような変更は避けたいと考えています。

注意してください。今日でも、まったく同じ理由で2つのキーの3DESを見つけることができます！

理論的には、3DESは64ビットブロックを備えているため、今日の高スループットデータ転送プロトコルには適していません。ブロックの衝突につながる可能性があるため、AESは128ビットブロックでその側で安全です。

そのトピックについては、の1つを参照してください。 3DESが安全かどうかの詳細については、私の回答をご覧ください。

コメント

• これはすばらしい回答でした。ありがとうございました。ただし、1つの質問：たとえば、POSなどの'がAESをサポートしていないハードウェアがある場合、データを暗号化するためにそのハードウェアを更新することをお勧めします。 AES-128？ 3DESがまだ壊れていなくても'それを行うためのコストは価値がありますか？
• それは主にそのPOSの脅威モデルに依存します…これは主に、攻撃の推定コスト、アップグレードの推定コスト、および攻撃の場合の推定損失に依存します…実用的なセキュリティは、残念ながら理論的な暗号化ほど洗練されておらず、一般に多くのトレードオフに基づいています。 。 3DESは'今後数十年のブルートフォース攻撃によって破壊されることはありません、IMO。そして、POSが大量のトラフィックを生成しているのではないかと思います。したがって、理論的な突破口がない限り（ありそうもない）、それはまだ時間があることを意味します…
• ええ、'時間はありますが、ほとんどのアプリケーションは' TLSで3DESを使用するのを見てきましたが、'結論として、脆弱性をもたらす可能性があります。また、3DESが安全かどうかについてのあなたの回答では、NISTはまだそれを推奨していると言いますが、NIST自体が3DESは非推奨になると言っているため、今日では適用されません。'したがって、これらすべてを念頭に置いて、ほとんどの場合、AESに行くコストは完全に価値があると思います。特に機密情報を扱う場合。
• 'それがまだ真実かどうかはわかりませんが、約5年前は大規模ですクレジットカードネットワークの一部は single DESによって保護されていました。銀行は端末の交換コストが高すぎると判断し、そのままにしました（新しいPOS端末はAESをサポートする傾向がありますが、古いものは' t）
• @franpen：なぜですか？彼らは、POS端末のコスト、インストールにかかるコスト、サイバー詐欺による損失額を知っています。次に、ビジネス上の決定を下します。