Estándar de cifrado de datos

El Estándar de cifrado de datos (DES) es un algoritmo de clave simétrica para el cifrado de datos digitales. Aunque su longitud de clave corta de 56 bits lo hace demasiado inseguro para las aplicaciones modernas, ha tenido una gran influencia en el avance de la criptografía.

Desarrollado a principios de la década de 1970 en IBM y basado en un diseño anterior de Horst Feistel, el algoritmo se envió a la Oficina Nacional de Normas (NBS) luego de la invitación de la agencia para proponer un candidato para la protección de datos confidenciales., datos de gobierno electrónico no clasificados. En 1976, después de consultar con la Agencia de Seguridad Nacional (NSA), el NBS seleccionó una versión ligeramente modificada (reforzada contra el criptoanálisis diferencial, pero debilitada contra los ataques de fuerza bruta), que se publicó como Estándar Federal de Procesamiento de Información (FIPS) oficial para Estados Unidos en 1977.

La publicación de un estándar de encriptación aprobado por la NSA condujo a su rápida adopción internacional y al escrutinio académico generalizado. Surgieron controversias a partir de elementos de diseño clasificados, una longitud de clave relativamente corta del diseño de cifrado de bloque de clave simétrica y la participación de la NSA, lo que generó sospechas sobre una puerta trasera. Las S-box que habían provocado esas sospechas fueron diseñadas por la NSA para eliminar una puerta trasera que conocían en secreto (criptoanálisis diferencial). Sin embargo, la NSA también se aseguró de que el tamaño de la clave se redujera drásticamente para que pudieran descifrar el cifrado mediante un ataque de fuerza bruta. El intenso escrutinio académico que recibió el algoritmo con el tiempo condujo a la comprensión moderna de los cifrados de bloque y su criptoanálisis.

DES es inseguro debido al tamaño de clave relativamente corto de 56 bits. En enero de 1999, shared.net y Electronic Frontier Foundation colaboraron para descifrar públicamente una clave DES en 22 horas y 15 minutos (ver cronología). También hay algunos resultados analíticos que demuestran debilidades teóricas en el cifrado, aunque son inviables en la práctica. Se cree que el algoritmo es prácticamente seguro en forma de Triple DES, aunque existen ataques teóricos. Este cifrado ha sido reemplazado por el Estándar de cifrado avanzado (AES). DES ha sido retirado como estándar por el Instituto Nacional de Estándares y Tecnología.

Algunos documentos distinguen entre el estándar DES y su algoritmo, refiriéndose al algoritmo como DEA (Algoritmo de cifrado de datos).

Historia

Los orígenes de DES se remontan a 1972, cuando un estudio de la Oficina Nacional de Estándares sobre la seguridad informática del gobierno de EE. UU. identificó la necesidad de un estándar gubernamental para cifrar información confidencial no clasificada.

Casi al mismo tiempo, el ingeniero Mohamed Atalla en 1972 fundó Atalla Corporation y desarrolló el primer módulo de seguridad de hardware (HSM), el llamado "Atalla Box" que se comercializó en 1973. Protegía los dispositivos fuera de línea con una clave de generación de PIN segura y fue un éxito comercial. Los bancos y las compañías de tarjetas de crédito temían que Atalla dominara el mercado, lo que impulsó el desarrollo de un estándar de cifrado internacional. Atalla fue uno de los primeros competidores de IBM en el mercado bancario y los empleados de IBM que trabajaron en el estándar DES lo mencionaron como una influencia. El IBM 3624 adoptó más tarde un sistema de verificación de PIN similar al sistema Atalla anterior.

El 15 de mayo de 1973, después de consultar con la NSA, la NBS solicitó propuestas para un cifrado que cumpliera con rigurosos criterios de diseño. Ninguna de las presentaciones fue adecuada. Se emitió una segunda solicitud el 27 de agosto de 1974. Esta vez, IBM presentó un candidato que se consideró aceptable: un cifrado desarrollado durante el período 1973-1974 basado en un algoritmo anterior, el cifrado Lucifer de Horst Feistel. El equipo de IBM involucrado en el diseño y análisis de cifrado incluía a Feistel, Walter Tuchman, Don Coppersmith, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith y Bryant Tuckerman.

Participación de la NSA en el diseño

El 17 de marzo de 1975, se publicó el DES propuesto en el Registro Federal. Se solicitaron comentarios públicos, y al año siguiente se realizaron dos talleres abiertos para discutir el estándar propuesto. Se recibieron críticas de los pioneros de la criptografía de clave pública Martin Hellman y Whitfield Diffie, citando una longitud de clave más corta y los misteriosos 'S-boxes'. como prueba de interferencia indebida de la NSA. La sospecha era que el algoritmo había sido debilitado de forma encubierta por la agencia de inteligencia para que ellos, pero nadie más, pudieran leer fácilmente los mensajes cifrados. Alan Konheim (uno de los diseñadores de DES) comentó: “Enviamos las cajas S a Washington. Regresaron y eran todos diferentes." El Comité Selecto de Inteligencia del Senado de los Estados Unidos revisó las acciones de la NSA para determinar si hubo alguna participación indebida. En el resumen no clasificado de sus hallazgos, publicado en 1978, el Comité escribió:

En el desarrollo de DES, NSA convenció a IBM de que un tamaño clave reducido era suficiente; ayudó indirectamente en el desarrollo de las estructuras de S-box; y certificó que el algoritmo final de DES era, al mejor de su conocimiento, libre de cualquier debilidad estadística o matemática.

Sin embargo, también encontró que

NSA no alteró el diseño del algoritmo de ninguna manera. IBM inventó y diseñó el algoritmo, tomó todas las decisiones pertinentes en relación con él, y convino en que el tamaño clave acordado era más que adecuado para todas las aplicaciones comerciales para las que se pretendía el DES.

Otro miembro del equipo DES, Walter Tuchman, afirmó: "Desarrollamos el algoritmo DES íntegramente dentro de IBM utilizando empleados de IBM. ¡La NSA no dictó ni un solo cable!" En contraste, un libro desclasificado de la NSA sobre historia criptológica afirma:

En 1973 NBS solicitó industria privada para un estándar de cifrado de datos (DES). Las primeras ofertas fueron decepcionantes, por lo que NSA comenzó a trabajar en su propio algoritmo. Entonces Howard Rosenblum, subdirector de investigación e ingeniería, descubrió que Walter Tuchman de IBM estaba trabajando en una modificación a Lucifer para uso general. NSA dio a Tuchman una autorización y lo trajo a trabajar conjuntamente con la Agencia en su modificación de Lucifer."

y

NSA colaboró estrechamente con IBM para fortalecer el algoritmo contra todos, excepto los ataques con fuerza bruta y para fortalecer las mesas de sustitución, llamadas S-boxes. Por el contrario, la NSA trató de convencer a IBM de reducir la longitud de la llave de 64 a 48 bits. Al final se comprometieron con una llave de 56 bits.

Algunas de las sospechas acerca de las debilidades ocultas en las cajas S se disiparon en 1990, con el descubrimiento independiente y la publicación abierta por parte de Eli Biham y Adi Shamir del criptoanálisis diferencial, un método general para descifrar cifrados de bloque. Los S-boxes de DES eran mucho más resistentes al ataque que si hubieran sido elegidos al azar, lo que sugiere fuertemente que IBM conocía la técnica en la década de 1970. Este fue de hecho el caso; en 1994, Don Coppersmith publicó algunos de los criterios de diseño originales para las cajas S. Según Steven Levy, los investigadores de IBM Watson descubrieron ataques criptoanalíticos diferenciales en 1974 y la NSA les pidió que mantuvieran la técnica en secreto. Coppersmith explica la decisión de secreto de IBM diciendo: "Eso se debió a que [el criptoanálisis diferencial] puede ser una herramienta muy poderosa, utilizada contra muchos esquemas, y existía la preocupación de que dicha información en el dominio público pudiera afectar negativamente a las empresas nacionales". seguridad." Levy cita a Walter Tuchman: "[l]os pidieron que selláramos todos nuestros documentos como confidenciales... De hecho, les pusimos un número a cada uno y los encerramos en cajas fuertes, porque se consideraban clasificados por el gobierno de EE. UU. Dijeron hazlo. Así que lo hice. Bruce Schneier observó que "La comunidad académica tardó dos décadas en darse cuenta de que la NSA 'modifica' en realidad mejoró la seguridad de DES."

El algoritmo como estándar

A pesar de las críticas, DES fue aprobado como estándar federal en noviembre de 1976 y publicado el 15 de enero de 1977 como FIPS PUB 46, autorizado para su uso en todos los datos no clasificados. Posteriormente se reafirmó como estándar en 1983, 1988 (revisado como FIPS-46-1), 1993 (FIPS-46-2) y nuevamente en 1999 (FIPS-46-3), este último prescribiendo "Triple DES" (vea abajo). El 26 de mayo de 2002, DES fue finalmente reemplazado por Advanced Encryption Standard (AES), luego de una competencia pública. El 19 de mayo de 2005, FIPS 46-3 se retiró oficialmente, pero NIST aprobó Triple DES hasta el año 2030 para información gubernamental confidencial.

El algoritmo también se especifica en ANSI X3.92 (hoy X3 se conoce como INCITS y ANSI X3.92 como ANSI INCITS 92), NIST SP 800-67 e ISO/IEC 18033-3 (como componente de TDEA).

Otro ataque teórico, el criptoanálisis lineal, se publicó en 1994, pero fue el cracker DES de Electronic Frontier Foundation en 1998 el que demostró que DES podía ser atacado de manera muy práctica y destacó la necesidad de un algoritmo de reemplazo. Estos y otros métodos de criptoanálisis se analizan con más detalle más adelante en este artículo.

Se considera que la introducción de DES fue un catalizador para el estudio académico de la criptografía, en particular de los métodos para descifrar los cifrados de bloques. Según una retrospectiva del NIST sobre DES,

Se puede decir que el DES tiene "animados" el estudio y desarrollo no militar de algoritmos de cifrado. En la década de 1970 había muy pocos criptógrafos, excepto los de organizaciones militares o de inteligencia, y poco estudio académico de criptografía. Actualmente hay muchos criptólogos académicos activos, departamentos de matemáticas con programas fuertes en criptografía, y empresas de seguridad de información comercial y consultores. Una generación de criptanalistas ha cortado su análisis de dientes (es decir, tratando de "gripar") el algoritmo DES. En palabras del criptógrafo Bruce Schneier, "DES hizo más para galvanizar el campo del criptanálisis que cualquier otra cosa. Ahora había un algoritmo que estudiar." Una parte asombrosa de la literatura abierta en criptografía en los años 70 y 1980 tratada con el DES, y el DES es el estándar contra el cual se ha comparado todo algoritmo clave simétrico.

Cronología

Descripción

Gráfico 1— La estructura general Feistel de DES

DES es el cifrado de bloque arquetípico: un algoritmo que toma una cadena de bits de texto sin formato de longitud fija y la transforma a través de una serie de operaciones complicadas en otra cadena de bits de texto cifrado de la misma longitud. En el caso de DES, el tamaño del bloque es de 64 bits. DES también usa una clave para personalizar la transformación, por lo que supuestamente solo pueden realizar el descifrado aquellos que conocen la clave particular utilizada para cifrar. La clave aparentemente consta de 64 bits; sin embargo, solo 56 de estos son realmente utilizados por el algoritmo. Los ocho bits se utilizan únicamente para comprobar la paridad y, posteriormente, se descartan. Por lo tanto, la longitud efectiva de la clave es de 56 bits.

La clave se almacena o transmite nominalmente como 8 bytes, cada uno con paridad impar. De acuerdo con ANSI X3.92-1981 (ahora conocido como ANSI INCITS 92-1981), sección 3.5:

Un poco en cada byte de 8 bits del KEY puede ser utilizado para la detección de errores en la generación, distribución y almacenamiento clave. Bits 8, 16,..., 64 son para uso en asegurar que cada byte es de paridad extraña.

Al igual que otros cifrados de bloque, DES en sí mismo no es un medio seguro de cifrado, sino que debe usarse en un modo de operación. FIPS-81 especifica varios modos para usar con DES. En FIPS-74 se incluyen más comentarios sobre el uso de DES.

El descifrado usa la misma estructura que el cifrado, pero con las claves usadas en orden inverso. (Esto tiene la ventaja de que el mismo hardware o software se puede usar en ambas direcciones).

Estructura general

La estructura general del algoritmo se muestra en la Figura 1: hay 16 etapas idénticas de procesamiento, denominadas rondas. También hay una permutación inicial y final, denominadas IP y FP, que son inversas (IP "deshace" la acción de FP, y viceversa). IP y FP no tienen importancia criptográfica, pero se incluyeron para facilitar la carga de bloques dentro y fuera del hardware basado en 8 bits de mediados de la década de 1970.

Antes de las rondas principales, el bloque se divide en dos mitades de 32 bits y se procesa alternativamente; este entrecruzamiento se conoce como el esquema de Feistel. La estructura de Feistel garantiza que el descifrado y el cifrado sean procesos muy similares; la única diferencia es que las subclaves se aplican en el orden inverso al descifrar. El resto del algoritmo es idéntico. Esto simplifica enormemente la implementación, particularmente en el hardware, ya que no hay necesidad de algoritmos de cifrado y descifrado separados.

El símbolo ⊕ denota el operación exclusiva-OR (XOR). La función F codifica medio bloque junto con parte de la clave. La salida de la función F se combina luego con la otra mitad del bloque y las mitades se intercambian antes de la siguiente ronda. Después de la ronda final, se intercambian las mitades; esta es una característica de la estructura de Feistel que hace que el cifrado y el descifrado sean procesos similares.

La función Feistel (F)

La función F, representada en la figura 2, opera en medio bloque (32 bits) a la vez y consta de cuatro etapas:

Gráfico 2—La función Feistel (F-function) de DES

1. Ampliación: el medio bloque de 32 bits se expande a 48 bits utilizando el expansión permutación, denotado E en el diagrama, duplicando la mitad de los bits. La salida consta de ocho piezas de 6 bits (8 × 6 = 48 bits), cada una conteniendo una copia de 4 bits de entrada correspondientes, más una copia del bit inmediatamente adyacente de cada pieza de entrada a cada lado.
2. Mezcla de llaves: el resultado se combina con un subkey usando una operación XOR. Dieciséis subkeys de 48 bits, uno para cada ronda, se derivan de la clave principal usando la agenda clave (descrito a continuación).
3. Sustitución: después de mezclar en el subkey, el bloque se divide en ocho piezas de 6 bits antes de procesar por el S-boxes, o Cajas de sustitución. Cada uno de los ocho S-boxes reemplaza sus seis bits de entrada con cuatro bits de salida según una transformación no lineal, proporcionada en forma de una tabla de búsqueda. Los S-boxes proporcionan el núcleo de la seguridad del DES —sin ellos, el cifrado sería lineal y trivial.
4. Permutación: finalmente, las 32 salidas de las cajas S se reorganizan según una permutación fija, la P-box. Esto está diseñado para que, después de la permutación, los bits de la salida de cada S-box en esta ronda se difundan a través de cuatro S-boxes diferentes en la siguiente ronda.

La alternancia de sustitución de las cajas S y la permutación de bits de la caja P y la expansión E proporciona la llamada "confusión y difusión" respectivamente, un concepto identificado por Claude Shannon en la década de 1940 como una condición necesaria para un cifrado seguro pero práctico.

Horario clave

Gráfico 3— The key-schedule of DES

La figura 3 ilustra el programa de claves para el cifrado: el algoritmo que genera las subclaves. Inicialmente, se seleccionan 56 bits de la clave de los 64 iniciales mediante Elección permutada 1 (PC-1); los ocho bits restantes se descartan o se usan como bits de verificación de paridad.. Luego, los 56 bits se dividen en dos mitades de 28 bits; cada mitad se trata posteriormente por separado. En rondas sucesivas, ambas mitades se giran hacia la izquierda uno o dos bits (especificados para cada ronda), y luego se seleccionan 48 bits de subclave mediante Permuted Choice 2 (PC-2)—24 bits de la mitad izquierda y 24 de la derecha. Las rotaciones (indicadas por "<<<" en el diagrama) significan que se usa un conjunto diferente de bits en cada subclave; cada bit se usa en aproximadamente 14 de las 16 subclaves.

La programación de claves para el descifrado es similar: las subclaves están en orden inverso en comparación con el cifrado. Aparte de ese cambio, el proceso es el mismo que para el cifrado. Los mismos 28 bits se pasan a todas las cajas de rotación.

Seguridad y criptoanálisis

Aunque se ha publicado más información sobre el criptoanálisis de DES que sobre cualquier otro cifrado de bloque, el ataque más práctico hasta la fecha sigue siendo un enfoque de fuerza bruta. Se conocen varias propiedades criptoanalíticas menores y son posibles tres ataques teóricos que, si bien tienen una complejidad teórica menor que un ataque de fuerza bruta, requieren una cantidad poco realista de textos sin formato conocidos o elegidos para llevarse a cabo, y no son una preocupación en la práctica.

Ataque de fuerza bruta

Para cualquier cifrado, el método de ataque más básico es la fuerza bruta: probar todas las claves posibles por turno. La longitud de la clave determina el número de claves posibles y, por lo tanto, la viabilidad de este enfoque. Para DES, surgieron dudas sobre la idoneidad del tamaño de su clave desde el principio, incluso antes de que se adoptara como estándar, y fue el tamaño de clave pequeño, en lugar del criptoanálisis teórico, lo que dictó la necesidad de un algoritmo de reemplazo. Como resultado de conversaciones con consultores externos, incluida la NSA, el tamaño de la clave se redujo de 128 bits a 56 bits para caber en un solo chip.

La máquina de cracking del EFF de US$250.000 DES contenía 1.856 fichas personalizadas y podría forzar una tecla DES en cuestión de días, la foto muestra un tablero de circuitos DES Cracker equipado con varios chips Deep Crack.

En el ámbito académico, se presentaron varias propuestas para una máquina de craqueo DES. En 1977, Diffie y Hellman propusieron una máquina con un costo estimado de 20 millones de dólares que podía encontrar una clave DES en un solo día. En 1993, Wiener había propuesto una máquina de búsqueda de llaves que costaba 1 millón de dólares y que encontraría una llave en 7 horas. Sin embargo, ninguna de estas primeras propuestas se implementó o, al menos, no se reconoció públicamente ninguna implementación. La vulnerabilidad de DES quedó prácticamente demostrada a fines de la década de 1990. En 1997, RSA Security patrocinó una serie de concursos, ofreciendo un premio de $10,000 al primer equipo que rompiera un mensaje cifrado con DES para el concurso. Ese concurso fue ganado por el Proyecto DESCHALL, dirigido por Rocke Verser, Matt Curtin y Justin Dolske, utilizando ciclos inactivos de miles de computadoras en Internet. La viabilidad de descifrar DES rápidamente se demostró en 1998 cuando Electronic Frontier Foundation (EFF), un grupo de derechos civiles del ciberespacio, construyó un DES-cracker personalizado a un costo de aproximadamente US $ 250,000 (ver EFF DES cracker). Su motivación era mostrar que DES era frágil tanto en la práctica como en la teoría: "Hay muchas personas que no creerán una verdad hasta que puedan verla con sus propios ojos. Mostrarles una máquina física que puede descifrar DES en unos pocos días es la única forma de convencer a algunas personas de que realmente no pueden confiar su seguridad a DES." La máquina forzó una llave por fuerza bruta en poco más de 2 días. vale la pena buscar.

La siguiente galleta DES confirmada fue la máquina COPACOBANA construida en 2006 por equipos de las Universidades de Bochum y Kiel, ambas en Alemania. A diferencia de la máquina EFF, COPACOBANA consta de circuitos integrados reconfigurables disponibles comercialmente. 120 de estas matrices de puertas programables en campo (FPGA) del tipo XILINX Spartan-3 1000 funcionan en paralelo. Están agrupados en 20 módulos DIMM, cada uno con 6 FPGA. El uso de hardware reconfigurable hace que la máquina también sea aplicable a otras tareas de descifrado de códigos. Uno de los aspectos más interesantes de COPACOBANA es su factor de costo. Se puede construir una máquina por aproximadamente $10,000. La reducción de costos en un factor de aproximadamente 25 con respecto a la máquina EFF es un ejemplo de la mejora continua del hardware digital; consulte la ley de Moore. El ajuste por inflación durante 8 años produce una mejora aún mayor de aproximadamente 30x. Desde 2007, SciEngines GmbH, una empresa derivada de los dos socios del proyecto de COPACOBANA, ha mejorado y desarrollado sucesores de COPACOBANA. En 2008 su COPACOBANA RIVYERA redujo el tiempo de ruptura de DES a menos de un día, utilizando 128 Spartan-3 5000's. SciEngines RIVYERA ostentaba el récord en romper DES con fuerza bruta, habiendo utilizado 128 Spartan-3 5000 FPGA. Su modelo 256 Spartan-6 LX150 se ha reducido aún más esta vez.

En 2012, David Hulton y Moxie Marlinspike anunciaron un sistema con 48 FPGA Xilinx Virtex-6 LX240T, cada FPGA con 40 núcleos DES completamente canalizados que funcionan a 400 MHz, para una capacidad total de 768 gigakeys/seg. El sistema puede realizar búsquedas exhaustivas en todo el espacio de claves DES de 56 bits en aproximadamente 26 horas y este servicio se ofrece en línea mediante el pago de una tarifa.

Ataques más rápidos que la fuerza bruta

Hay tres ataques conocidos que pueden romper las 16 rondas completas de DES con menos complejidad que una búsqueda de fuerza bruta: criptoanálisis diferencial (DC), criptoanálisis lineal (LC) y Davies' ataque. Sin embargo, los ataques son teóricos y generalmente se consideran inviables de montar en la práctica; estos tipos de ataques a veces se denominan debilidades de certificación.

• El criptanálisis diferencial fue redescubierto a finales de los años ochenta por Eli Biham y Adi Shamir; fue conocido antes tanto por IBM como por la NSA y mantenido en secreto. Para romper las 16 rondas completas, criptanálisis diferencial requiere 2⁴⁷ Los vocablos escogidos. DES fue diseñado para ser resistente a DC.
• El criptanálisis lineal fue descubierto por Mitsuru Matsui, y necesita 2⁴³ flexografías conocidas (Matsui, 1993); el método se implementó (Matsui, 1994), y fue el primer criptanálisis experimental del DES que se reportó. No hay evidencia de que DES fue adaptado para ser resistente a este tipo de ataque. Una generalización de LC-criptanalisis lineal—se sugirió en 1994 (Kaliski y Robshaw), y fue perfeccionado por Biryukov y otros. (2004); su análisis sugiere que se podrían utilizar múltiples aproximaciones lineales para reducir los requisitos de datos del ataque al menos un factor de 4 (es decir, 2⁴¹ en lugar de 2⁴³). Una reducción similar en la complejidad de los datos se puede obtener en una variante de criptanálisis lineal (Knudsen y Mathiassen, 2000). Junod (2001) realizó varios experimentos para determinar la complejidad temporal real del criptanálisis lineal, e informó que era algo más rápido de lo previsto, requiriendo tiempo equivalente a 2³⁹-2⁴¹ Evaluaciones del DES.
• Ataque mejorado de Davies: mientras que el criptanálisis lineal y diferencial son técnicas generales y se pueden aplicar a varios esquemas, el ataque de Davies es una técnica especializada para el DES, primeramente sugerida por Donald Davies en los años ochenta, y mejorada por Biham y Biryukov (1997). La forma más poderosa del ataque requiere 2⁵⁰ llanos conocidos, tiene una complejidad computacional de 2⁵⁰, y tiene una tasa de éxito del 51%.

También se han propuesto ataques contra versiones de rondas reducidas del cifrado, es decir, versiones de DES con menos de 16 rondas. Dicho análisis da una idea de cuántas rondas se necesitan para la seguridad y cuánto "margen de seguridad" la versión completa se conserva.

El criptoanálisis diferencial lineal fue propuesto por Langford y Hellman en 1994 y combina el criptoanálisis diferencial y lineal en un solo ataque. Una versión mejorada del ataque puede romper DES de 9 rondas con 2^15,8 textos sin formato elegidos y tiene una complejidad de tiempo de 2^29,2 (Biham y otros, 2002).

Propiedades criptoanalíticas menores

DES exhibe la propiedad de complementación, es decir, que

${displaystyle E_{K}(P)=Ciff E_{overline {K}({overline) {P}={overline {C}}$

Donde ${displaystyle {overline {x}}}$ es el complemento de bitwise ${displaystyle x.}$ ${displaystyle E_{K}$ denota encriptación con llave ${displaystyle K.}$ ${displaystyle P}$ y ${displaystyle C}$ denote plaintext and ciphertext blocks respectively. La propiedad de la complementación significa que el trabajo para un ataque de fuerza bruta podría reducirse por un factor de 2 (o un solo bit) bajo una suposición de texto elegido. Por definición, esta propiedad también se aplica al cifrado TDES.

DES también tiene cuatro llamadas claves débiles. El cifrado (E) y el descifrado (D) bajo una clave débil tienen el mismo efecto (ver involución):

${displaystyle E_{K}(E_{K}(P)=P}$ o equivalentemente, ${displaystyle E_{K}=D_{K}$

También hay seis pares de semi-tejido claves. Encriptación con uno de los pares de teclas semide roble, ${displaystyle K_{1}$, opera idénticamente a la desencriptación con el otro, ${displaystyle K_{2}$:

${displaystyle E_{K_{1}(E_{K_{2}(P)=P}$ o equivalentemente, ${displaystyle E_{K_{2}=D_{K_{1}}$

Es bastante fácil evitar las claves débiles y semidébiles en una implementación, ya sea probándolas explícitamente o simplemente eligiendo claves al azar; las probabilidades de elegir una clave débil o semidébil por casualidad son insignificantes. Las teclas no son realmente más débiles que cualquier otra tecla de todos modos, ya que no le dan ninguna ventaja a un ataque.

El DES también ha demostrado no ser un grupo, o más precisamente, el conjunto ${displaystyle {E_{K}}}$ (para todas las llaves posibles ${displaystyle K}$) bajo la composición funcional no es un grupo, ni "cerrar" a ser un grupo. Esta fue una pregunta abierta durante algún tiempo, y si hubiera sido el caso, habría sido posible romper el DES, y múltiples modos de encriptación como Triple DES no aumentarían la seguridad, ya que la encriptación repetida (y desciframientos) bajo diferentes claves sería equivalente a encriptación bajo otra llave única.

DES simplificado

El DES simplificado (SDES) se diseñó solo con fines educativos, para ayudar a los estudiantes a aprender sobre las técnicas criptoanalíticas modernas. SDES tiene una estructura y propiedades similares a DES, pero se ha simplificado para que sea mucho más fácil realizar el cifrado y descifrado a mano con lápiz y papel. Algunas personas sienten que aprender SDES da una idea de DES y otros cifrados de bloque, y una idea de varios ataques criptoanalíticos contra ellos.

Algoritmos de reemplazo

Las preocupaciones sobre la seguridad y el funcionamiento relativamente lento de DES en el software motivaron a los investigadores a proponer una variedad de diseños alternativos de cifrado de bloques, que comenzaron a aparecer a fines de la década de 1980 y principios de la de 1990: los ejemplos incluyen RC5, Blowfish, IDEA, NewDES, SAFER, CAST5 y FEAL. La mayoría de estos diseños mantuvieron el tamaño de bloque de 64 bits de DES y podrían actuar como un "drop-in" reemplazo, aunque normalmente usaban una clave de 64 o 128 bits. En la Unión Soviética se introdujo el algoritmo GOST 28147-89, con un tamaño de bloque de 64 bits y una clave de 256 bits, que también se usó en Rusia más tarde.

DES se puede adaptar y reutilizar en un esquema más seguro. Muchos antiguos usuarios de DES ahora usan Triple DES (TDES), que fue descrito y analizado por uno de los titulares de patentes de DES (ver FIPS Pub 46-3); consiste en aplicar DES tres veces con dos (2TDES) o tres (3TDES) claves diferentes. TDES se considera adecuadamente seguro, aunque es bastante lento. Una alternativa menos costosa desde el punto de vista computacional es DES-X, que aumenta el tamaño de la clave mediante la operación XOR de material de clave adicional antes y después de DES. GDES era una variante DES propuesta como una forma de acelerar el cifrado, pero se demostró que era susceptible al criptoanálisis diferencial.

El 2 de enero de 1997, NIST anunció que deseaba elegir un sucesor de DES. En 2001, después de una competencia internacional, NIST seleccionó un nuevo cifrado, el Estándar de cifrado avanzado (AES), como reemplazo. El algoritmo que fue seleccionado como AES fue presentado por sus diseñadores bajo el nombre de Rijndael. Otros finalistas en la competencia NIST AES incluyeron RC6, Serpent, MARS y Twofish.