Конкурс AES

Алгоритм шифрования DES являлся стандартом симметричного шифрования США с 1979 г. и до принятия нового стандарта в виде алгоритма AES.

Фактически первые реальные шаги по замене стандарта шифрования были сделаны в 1997 г., когда Институт стандартов и технологий США NIST (National Institute of Standards and Technology) объявил о проведении открытого конкурса алгоритмов шифрования, победитель которого должен был стать новым стандартом симметричного шифрования США. В конкурсе могли принять участие любые организации или частные лица, в том числе находящиеся за пределами США. И действительно, список участников конкурса оказался весьма разнообразен; среди авторов алгоритмов-претендентов были:
всемирно известные криптологи, например, интернациональный коллектив авторов алгоритма Serpent — Росс Андерсон (Ross Anderson), Эли Бихам и Ларе Кнудсен;
организации, давно работающие в данной области и обладающие как богатым опытом разработки криптоалгоритмов, так и сильнейшими специалистами, например, американская фирма Counterpane — автор алгоритма Twofish;
всемирно известные корпорации, обладающие большим научным потенциалом, например, немецкий телекоммуникационный гигант Deutsche Telekom с алгоритмом MAGENTA;
образовательные учреждения, известные своими достижениями в области криптографии, например, Католический Университет г. Лювен (Katholieke Universiteit Leuven), Бельгия, с алгоритмом Rijndael;
и наоборот, организации, малоизвестные до проведения конкурса AES, например, фирма Tecnologia Apropriada (автор алгоритма FROG) из латиноамериканского государства Коста-Рика.

NIST установил всего два обязательных требования к алгоритмам — участникам конкурса:
128-битный размер блока шифруемых данных;
не менее трех поддерживаемых алгоритмом размеров ключей шифрования: 128, 192 и 256 битов.

Однако несравнимо больше было «рекомендательных» требований к будущему стандарту шифрования США. Поскольку удовлетворить обязательные требования было достаточно просто, анализ алгоритмов и выбор из них лучшего производился именно по его соответствию «необязательным» характеристикам. «Пожелания» института NIST были, в частности, таковы:
алгоритм должен быть стойким против криптоаналитических атак, известных на момент проведения конкурса;
структура алгоритма должна быть ясной, простой и обоснованной, что, во-первых, облегчало бы изучение алгоритма специалистами, а во-вторых, гарантировало бы отсутствие внедренных авторами алгоритма «закладок» (т. е., в данном случае, особенностей архитектуры алгоритма, которыми теоретически могли бы воспользоваться его авторы в злонамеренных целях);
должны отсутствовать слабые и эквивалентные ключи;
скорость шифрования данных должна быть высокой на всех потенциальных аппаратных платформах — от 8-битных до 64-битных;
структура алгоритма должна позволять распараллеливание операций в многопроцессорных системах и аппаратных реализациях;
алгоритм должен предъявлять минимальные требования к оперативной и энергонезависимой памяти;
не должно быть ограничений на использование алгоритма, в частности, в различных стандартных режимах работы, в качестве основы для построения хэш-функций, генераторов псевдослучайных последовательностей и т. д.