Усовершенствованный стандарт шифрования (AES), симметричный блочный шифр , ратифицированный в качестве стандарта Национальным институтом стандартов и технологий США (NIST), был выбран с использованием процесса, длившегося с 1997 по 2000 год, который был заметно более открытым и прозрачным, чем его предыдущая версия. предшественник, стандарт шифрования данных (DES). Этот процесс получил похвалу от открытого криптографического сообщества и помог повысить уверенность в безопасности алгоритма-победителя у тех, кто с подозрением относился к бэкдорам в предшественнике, DES.
Новый стандарт был необходим в первую очередь потому, что у DES был относительно небольшой 56-битный ключ, который становился уязвимым для атак грубой силы . Кроме того, DES был разработан в первую очередь для аппаратного обеспечения и относительно медлителен при программной реализации. [1] Хотя Triple-DES позволяет избежать проблемы небольшого размера ключа, он очень медленный даже на аппаратном уровне, он не подходит для платформ с ограниченными ресурсами, и на него могут влиять потенциальные проблемы безопасности, связанные с (на сегодняшний день сравнительно небольшим) размер блока 64 бита.
2 января 1997 года NIST объявил, что хочет выбрать преемника DES, который будет называться AES. Как и DES, это должен был быть «несекретный, общедоступный алгоритм шифрования, способный защищать конфиденциальную правительственную информацию даже в следующем столетии». [2] Однако, вместо того, чтобы просто опубликовать преемника, NIST попросил заинтересованные стороны предоставить информацию о том, как следует выбирать преемника. Интерес со стороны открытого криптографического сообщества сразу же возрос, и в течение трехмесячного периода комментариев NIST получил очень много предложений.
Результатом этой обратной связи стал призыв к новым алгоритмам от 12 сентября 1997 года. [3] Все алгоритмы должны были быть блочными шифрами, поддерживающими размер блока 128 бит и размер ключа 128, 192 и 256 бит. Такие шифры были редкостью на момент объявления; самым известным был, вероятно, Квадрат .
В последующие девять месяцев было создано и представлено пятнадцать дизайнов из нескольких стран. Это были в алфавитном порядке: CAST-256 , CRYPTON , DEAL , DFC , E2 , FROG , HPC , LOKI97 , MAGENTA , MARS , RC6 , Rijndael , SAFER+ , Serpent и Twofish .
В ходе последовавших дебатов криптографы исследовали многие преимущества и недостатки кандидатов; они оценивались не только по безопасности, но и по производительности в различных условиях (ПК с различной архитектурой, смарт-карты, аппаратные реализации) и по их применимости в ограниченных средах (смарт-карты с очень ограниченным объемом памяти, реализации с малым числом вентилей, ПЛИС). ).