Почему алгоритм Е2 не вышел в финал конкурса AES

Сеть Фейстеля «по определению» дает алгоритму ряд преимуществ: агоритмы, основанные на ней, применялись в течение десятилетий, их свойства хорошо изучены, что дает некоторую гарантию отсутствия как скрытых уязвимостей, так и незадекларированных возможностей. Известны также сильные и слабые стороны таких алгоритмов по отношению к различным методам криптоанализа. Кроме того, неоспоримым достоинством такой структуры является «симметричность» процедур зашифровывания и расшифровывания, для реализации которых можно использовать практически один и тот же программный код или аппаратный модуль.

Алгоритм Е2 является очередным подтверждением надежности алгоритмов шифрования, основанных на сети Фейстеля, — в процессе анализа данного алгоритма не было выявлено каких-либо слабостей (за исключением «усеченных» версий алгоритма — с уменьшенным количеством раундов) и серьезных недостатков. Однако в соперничестве с другими алгоритмами шифрования, многие из которых также не имели серьезных недостатков, решающими факторами оказались следующие:
алгоритм Е2 предъявляет очень высокие требования к энергонезависимой памяти, что делает весьма затрудненным его применение в таких устройствах, как смарт-карты;
алгоритм Е2 показывает относительно невысокую скорость шифрования;
дополнительные ресурсы требуются для функции расширения ключа, что также не способствует реализации Е2 в смарт-картах.

Таким образом, разработчики алгоритма Е2 создали действительно сильный алгоритм шифрования, не подверженный каким-либо известным или прогнозируемым атакам. Однако высокая криптостойкость алгоритма достигается за счет невысокой скорости шифрования и активного использования вычислительных ресурсов и памяти, что и предопределило «неуспех» Е2 в конкурсе AES.

По материалам книги Сергея Панасенко «Алгоритмы шифрования»

Алгоритмы шифрования