Data Encryption Standard

DESの起源きげんは1970年代ねんだい初はじめに遡さかのぼる。1972年ねん、アメリカ政府せいふはコンピュータセキュリティが重要じゅうようであるという研究けんきゅう結果けっかを得えた。そこでNBS（National Bureau of Standard。合衆国がっしゅうこく標準ひょうじゅん局きょく。現在げんざいのNIST（アメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ））が、政府せいふ全体ぜんたいで機密きみつ情報じょうほうを暗号あんごう化かするための標準ひょうじゅん規格きかくが必要ひつようだと判断はんだんした^[1]。それに応おうじて1973年ねん5月がつ15日にち、NSAと相談そうだんの上うえ、NBSが厳きびしい設計せっけい基準きじゅんを満みたした暗号あんごうを公募こうぼした。しかし応募おうぼのいずれも条件じょうけんを満みたしていなかったため、1974年ねん8月がつ27日にちに2回かい目めの公募こうぼを行おこなった。今回こんかいはIBMの応募おうぼした案あんが条件じょうけんを満みたしていると思おもわれた。それは、以前いぜんからあったアルゴリズムに基もとづき1973年ねんから1974年ねんに開発かいはつされたホルスト・ファイステルのLucifer暗号あんごうだった。IBMでこの暗号あんごうの設計せっけいと解析かいせきを行おこなったチームにはファイステルの他ほかに、ウォルト・タックマン (Walt Tuchman)、ドン・コッパースミス (Don Coppersmith)、アラン・コンハイム (Alan Konheim)、カール・メイヤー (Carl Meyer)、マイク・マーチャーシュ (Mike Matyas)、ロイ・アドラー (Roy Adler)、エドナ・グロスマン (Edna Grossman)、ビル・ノッツ (Bill Notz)、リン・スミス (Lynn Smith)、ブライアント・タッカーマン (Bryant Tuckerman) らがいた。

Lucifer・DESはホルスト・ファイステルらの考かんがえたFeistel構造こうぞうと呼よばれる構造こうぞうをなしている。この事ことは後ごの共通きょうつう鍵かぎ暗号あんごう研究けんきゅうに多大ただいな影響えいきょうを与あたえ、後のちに提案ていあんされた多おおくの共通きょうつう鍵かぎ暗号あんごう方式ほうしきがFeistel構造こうぞうに基もとづいて設計せっけいされた。

1975年ねん3月がつ17日にち、規格きかく案あんとしてのDESが Federal Register に発表はっぴょうされた。そしてコメントが募集ぼしゅうされ、翌年よくねんには2回かいワークショップを開催かいさいしてこの規格きかく案あんについて議論ぎろんした。各所かくしょから様々さまざまな批判ひはんが寄よせられた。中なかには公開こうかい鍵かぎ暗号あんごうの先駆せんく者しゃであるマーティン・ヘルマンとホイットフィールド・ディフィーの批判ひはんがあり、鍵かぎ長ちょうが短みじかいという点てんと謎なぞめいた「Sボックス」がNSAによる不適切ふてきせつな干渉かんしょうを意味いみしているのではないかと指摘してきした。それは、このアルゴリズムを諜報ちょうほう機関きかんが密ひそかに弱よわめ、その諜報ちょうほう機関きかんだけが暗号あんごう化かされたメッセージを容易よういに解読かいどくできるようにしたのではないかという疑うたがいが持もたれたのである^[2]。アラン・コンハイム（DES設計せっけい者しゃの1人ひとり）はそれについて「我々われわれはSボックスをワシントンに送おくった。戻もどってきたものは送おくったものとは全まったく異ことなっていた」と述のべた^[3]。アメリカ合衆国あめりかがっしゅうこく上院じょういん諜報ちょうほう特別とくべつ委員いいん会かいがNSAの行為こういに不適切ふてきせつな干渉かんしょうがあったかどうかを調査ちょうさした。調査ちょうさ結果けっかの公開こうかいされた要約ようやくには次つぎのように書かかれている。

「DESの開発かいはつにおいて、NSAはIBMに対たいして鍵かぎ長ちょうが短みじかくても大丈夫だいじょうぶだと納得なっとくさせ、Sボックスの開発かいはつを間接かんせつ的てきに支援しえんし、最終さいしゅう的てきなDESアルゴリズムが統計とうけい学的がくてきにも数学すうがく的てきにも考かんがえられる最高さいこうのものだと保証ほしょうした」^[4]

しかし、同時どうじに次つぎのようなことも判明はんめいしている。

「NSAはいかなる形かたちでもアルゴリズムの設計せっけいを改変かいへんしていない。IBMはこのアルゴリズムを発明はつめい・設計せっけいし、関連かんれんする設計せっけい上じょうの意思いし決定けっていは全すべてIBMが行おこない、鍵かぎ長ちょうもDESのあらゆる商用しょうようの用途ようとにとって十分じゅうぶんな長ながさとして決定けっていした」^[5]

DES設計せっけいチームのウォルト・タックマンは「我々われわれはIBM内ないでIBMの人員じんいんだけでDESアルゴリズム全体ぜんたいを開発かいはつした。NSAに命めいじられて変更へんこうした部分ぶぶんは1つもない」と述のべた^[6]。一方いっぽう、機密きみつ解除かいじょされたNSAの暗号あんごう史しに関かんする本ほんには次つぎのように書かかれている。

「1973年ねん、NBSはDESを民間みんかん企業きぎょうに求もとめた。最初さいしょの応募おうぼ案あんは満足まんぞくのいくものではなかったため、NSAは独自どくじにアルゴリズムの研究けんきゅうを始はじめた。そして、工学こうがく研究けんきゅう部門ぶもんの代表だいひょうであるハワード・ローゼンブラムは、IBMのウォルト・タックマンがLuciferを汎用はんよう化かする修正しゅうせいを行おこなっていることに気きづいた。NSAはタックマンに人物じんぶつ証明しょうめいを与あたえ、当局とうきょくと共ともにLuciferを修正しゅうせいする作業さぎょうを行おこなわせた」^[7]

Sボックスに関かんする嫌疑けんぎの一部いちぶは1990年ねんに鎮しずめられることになった。同年どうねん、エリ・ビハムとアディ・シャミア（RSAのS）が差分さぶん解読かいどく法ほうを独自どくじに発見はっけんして公表こうひょうした。差分さぶん解読かいどく法ほうはブロック暗号あんごうを破やぶる汎用はんよう技法ぎほうである。DESのSボックスは無作為むさくいに選えらばれた場合ばあいよりもこの攻撃こうげき法ほうにずっと抵抗ていこう力りょくがあり、IBMが1970年代ねんだいにこの攻撃こうげき法ほうを知しっていたことを強つよく示唆しさしていた。1994年ねん、ドン・コッパースミスがSボックスの元々もともとの設計せっけい基準きじゅんについて一部いちぶを公表こうひょうしたことで、それが裏付うらづけられた^[8]。スティーブン・レビーによれば、IBMでは1974年ねんに差分さぶん解読かいどく法ほうを発見はっけんしていたが、NSAがそれを秘密ひみつにするよう要請ようせいしていたという^[9]。コッパースミスはIBMの方針ほうしんについて「（差分さぶん解読かいどく法ほう）は非常ひじょうに強力きょうりょくなツールであり、様々さまざまな方式ほうしきに応用おうようでき、これを公おおやけにすると国家こっかの安全あんぜんに悪わるい影響えいきょうを及およぼすことが懸念けねんされた」と述のべている。レビーはタックマンの言葉ことばとして「彼かれらは我々われわれのあらゆる文書ぶんしょに極秘ごくひというスタンプを押おさせようとした…それらは合衆国がっしゅうこく政府せいふの機密きみつと見みなされたので、我々われわれは実際じっさいにそれらに番号ばんごうを振ふり、金庫きんこに入いれた。彼かれらがそうしろと言いったから、そうしたまでだ」と書かいている^[9]。

批判ひはんはあったがDESは1976年ねん11月連邦れんぽう規格きかくとして承認しょうにんされ、1977年ねん1月がつ15日にちには FIPS PUB 46 として公表こうひょうされ、非ひ機密きみつ政府せいふ通信つうしんでの利用りようが承認しょうにんされた。さらに1981年ねんに ANSIとして制定せいていされ、民間みんかん標準ひょうじゅん規格きかくにもなった。1983年ねん、1988年ねん（FIPS-46-1 に更新こうしん）、1993年ねん (FIPS-46-2)、1999年ねん (FIPS-46-3) と再さい承認しょうにんされ、最後さいごにはトリプルDESが定さだめられた。2002年ねん5月がつ26日にち、DESは公開こうかいのコンペティションで選えらばれた Advanced Encryption Standard (AES) で置おき換かえられた。2005年ねん5月がつ19日にち、FIPS 46-3は公式こうしきに廃止はいしとなったが、NISTはトリプルDESについては政府せいふの重要じゅうよう情報じょうほう用ように使つかうことを2030年ねんまで承認しょうにんしている^[10]。

このアルゴリズムは ANSI X3.92^[11]、NIST SP 800-67^[10]、ISO/IEC 18033-3^[12] でも指定していされている（TDEAの要素ようそとして）。

もう1つの理論りろん的てき攻撃こうげき法ほうである線形せんけい解読かいどく法ほうは1994年ねんに公表こうひょうされた。1998年ねんには総そう当あたり攻撃こうげきで実用じつよう的てきな時間じかんでDESを破われることが実証じっしょうされ、アルゴリズムの更新こうしんの必要ひつよう性せいが高たかまった。これら攻撃こうげき法ほうについては後ごの節ふしで詳述しょうじゅつする。

DESの登場とうじょうは暗号あんごう研究けんきゅう、特とくに暗号あんごう解読かいどく法ほうの研究けんきゅうを活発かっぱつ化かさせる触媒しょくばいの役割やくわりを果はたした。NISTは後のちにDESについて次つぎのように述のべている。

DESは暗号あんごうアルゴリズムの非ひ軍事ぐんじ的てき研究けんきゅうと開発かいはつを「ジャンプスタート」させたと言いえる。1970年代ねんだい、暗号あんごう学者がくしゃは軍隊ぐんたいや諜報ちょうほう機関きかん以外いがいにはほとんどおらず、暗号あんごうの学問がくもん的てき研究けんきゅうは限定げんてい的てきだった。今いまでは多数たすうの学者がくしゃが暗号あんごうを研究けんきゅうし、数学すうがく関係かんけいの学科がっかで暗号あんごうを教おしえ、情報じょうほうセキュリティ企業きぎょうやコンサルタントが商売しょうばいをしている。暗号あんごう解読かいどく者しゃはDESアルゴリズムを解析かいせきすることで経験けいけんを積つんだ。暗号あんごう研究けんきゅう者しゃブルース・シュナイアーは「DESは暗号あんごう解読かいどくというフィールドを大おおいに活気かっき付つけた。今いまでは研究けんきゅうすべきアルゴリズムのひとつだ」と述のべている^[13]。1970年代ねんだいから1980年代ねんだいにかけて、暗号あんごうに関かんする多おおくの書籍しょせきがDESを扱あつかっており、共通きょうつう鍵かぎ暗号あんごうを比較ひかくする際さいの基準きじゅんとなっている^[14]。

DESは原型げんけいともいうべきブロック暗号あんごうであり、固定こていビット長ちょうの平文へいぶんを入力にゅうりょくとし、一連いちれんの複雑ふくざつな操作そうさによって同おなじ長ながさの暗号あんごう文ぶんを出力しゅつりょくするアルゴリズムである。DESの場合ばあい、ブロック長ちょうは64ビットである。また、変換へんかんをカスタマイズする鍵かぎを使つかうため、暗号あんごう化かに使つかった鍵かぎを知しっている者ものだけが復号ふくごうできる。鍵かぎは見みた目めは64ビットだが、そのうち8ビットはパリティチェックに使つかうため、アルゴリズム上じょうの実際じっさいの鍵かぎの長ながさは56ビットである。

他たのブロック暗号あんごうと同様どうよう、DES自体じたいは暗号あんごう化かの安全あんぜんな手段しゅだんではなく、暗号あんごう利用りようモードで使つかう必要ひつようがある。FIPS-81 はDES用ようのいくつかのモードを示しめしている^[18]。その他たのDESの利用りよう法ほうについては FIPS-74 に詳くわしい^[19]。

アルゴリズムの全体ぜんたい構造こうぞうを図ず1に示しめす。16の処理しょり工程こうていがあり、それらを「ラウンド」と呼よぶ。また、最初さいしょと最後さいごに並ならべ替がえ処理しょりがあり、それぞれ IP および FP と呼よぶ。IP と FP はちょうど逆ぎゃくの処理しょりを行おこなう。IP と FP は暗号あんごう化かにはほとんど関係かんけいないが、1970年代ねんだいのハードウェアでブロックの入出力にゅうしゅつりょくを行おこなう部分ぶぶんとして含ふくまれており、同時どうじにそれによってソフトウェアによるDESの処理しょりが遅おそくなる原因げんいんにもなっている。

ラウンドでの処理しょりの前まえにブロックは半分はんぶん（32ビット）ずつに分わけられ、それぞれ異ことなる処理しょりを施ほどこされる。この十字じゅうじ交差こうさ構造こうぞうをFeistel構造こうぞうと呼よぶ。Feistel構造こうぞうを使つかうと、暗号あんごう化かと復号ふくごうは非常ひじょうに良よく似にた処理しょりになる。違ちがいは、復号ふくごうではラウンド鍵かぎを逆ぎゃくの順序じゅんじょで適用てきようするという点てんだけであり、アルゴリズムは同一どういつである。このため実装じっそうが単純たんじゅん化かでき、特とくにハードウェアで実装じっそうする場合ばあいに両者りょうしゃを別々べつべつに実装じっそうする必要ひつようが無ない。

⊕ という記号きごうは排他はいた的てき論理ろんり和わ (XOR) を意味いみする。F-関数かんすうはブロックの半分はんぶんを何なんらかの鍵かぎでかき混まぜる。F-関数かんすうの出力しゅつりょくをブロックの残のこり半分はんぶんと結合けつごうし、次つぎのラウンドに行いく前まえにその半分はんぶん同士どうしを入いれ替かえる。最後さいごのラウンドの後のちには入いれ替かえは行おこなわない。これは、暗号あんごう化かと復号ふくごうを似にたプロセスで行おこなうFeistel構造こうぞうの特徴とくちょうである。

図ず2にあるF-関数かんすうはブロックの半分はんぶん（32ビット）を一いち度どに処理しょりする。以下いかの4段階だんかいがある。

1. Expansion - expansion permutation と呼よばれる方式ほうしきで32ビットを48ビットに拡張かくちょうする。図ずでは E で示しめされている部分ぶぶんである。入力にゅうりょくのうち半分はんぶんのビットの複製ふくせい16ビット分ぶんを出力しゅつりょくのビット列びっとれつに追加ついかする。その出力しゅつりょくは8個この6ビットの部分ぶぶんからなり、それら6ビットのうちの中央ちゅうおう4ビットは入力にゅうりょくの対応たいおうする4ビットの部分ぶぶんと同おなじで、両りょう端はしの1ビットずつは入力にゅうりょく上じょうで隣接りんせつする部分ぶぶんのビットの複製ふくせいである。
2. Key mixing - ラウンド鍵かぎと上うえの出力しゅつりょく結果けっかをXOR操作そうさで結合けつごうする。ラウンド鍵かぎは48ビットで、もともとの鍵かぎから「鍵かぎスケジュール」（後述こうじゅつ）によって16個このラウンド鍵かぎが生成せいせいされる。
3. Substitution - ラウンド鍵かぎを混まぜた後のち、6ビットずつに分わけてSボックス (substitution box) に入力にゅうりょくする。8個このSボックスは入力にゅうりょくの6ビットから4ビットの出力しゅつりょくを生成せいせいし、このときルックアップテーブルの形かたちで提供ていきょうされる非線形ひせんけいな変換へんかんを行おこなう。SボックスがDESの安全あんぜん性せいの根幹こんかんであり、これが無なかったならば暗号あんごう化かの処理しょりは線形せんけいであり容易よういに破やぶることができることになる。
4. Permutation - Sボックス群ぐんの出力しゅつりょくである32ビットに固定こていの並ならべ替がえを施ほどこす。図ずでは P で示しめした部分ぶぶんである。このとき、各かくSボックスの出力しゅつりょくが次つぎのラウンドでSボックスに展開てんかいされるとき、6個この異ことなるSボックスに分散ぶんさんするよう並ならべ替かえる。

Sボックスでの置換ちかんとPボックスでの並ならべ替がえとEでの拡張かくちょうを交互こうごに行おこなうことで、クロード・シャノンが安全あんぜんで実用じつよう的てきな暗号あんごうに必要ひつような条件じょうけんとした「拡散かくさんとかく乱らん」を提供ていきょうする。

図ず3は暗号あんごう化かでの「鍵かぎスケジュール」、すなわちラウンド鍵かぎを生成せいせいするアルゴリズムを示しめしている。まず64ビットの入力にゅうりょくから56ビットを選択せんたくして並ならべ替がえを行おこなう Permuted Choice 1 (PC-1) がある。選えらばれなかった8ビットは単たんに捨すててもよいし、パリティビットとして鍵かぎのチェックに使つかってもよい。その56ビットは2つの28ビットに分割ぶんかつされ、その後ご別々べつべつに処理しょりされる。ラウンドを次つぎに進すすめる際さいにそれぞれを左ひだりに1ビットか2ビットローテートする（ラウンドによってローテートするビット数すうが異ことなる）。そして、それらを Permuted Choice 2 (PC-2) に入力にゅうりょくして48ビットのラウンド鍵かぎを出力しゅつりょくする。このときそれぞれの半分はんぶん（28ビット）から24ビットずつを選えらび、並ならべ替がえも左右さゆう別々べつべつに行おこなう。ローテートを行おこなうことでラウンドごとに選択せんたくするビットが変化へんかする（PC-2自体じたいは固定こていであり、毎回まいかい同おなじ位置いちのビットを選えらんで同おなじ順序じゅんじょで並ならべ替かえる）。各かくビットは16ラウンドのうち、だいたい14回かい使つかわれる。

復号ふくごうの際さいの鍵かぎスケジュールもほぼ同様どうようである。ラウンド鍵かぎは暗号あんごう化かのときとは逆順ぎゃくじゅんに適用てきようされる。その点てんを除のぞけば暗号あんごう化かと全まったく同おなじ工程こうていで処理しょりされる。

DESについては安全あんぜん性せいとソフトウェアによる処理しょりが相対そうたい的てきに遅おそい点てんが懸念けねんされ、1980年代ねんだい末すえから1990年代ねんだい初はじめごろから研究けんきゅう者しゃらが様々さまざまなブロック暗号あんごうを代替だいたい案あんとして提案ていあんしてきた。例たとえば、RC5、Blowfish、IDEA、NewDES、SAFER、CAST5、FEALなどがある。その多おおくはDESと同おなじ64ビットのブロック長ちょうで、そのまま代替だいたいとして使つかえるようになっているが、鍵かぎには64ビットか128ビットを使つかっているものが多おおい。ソビエト連邦れんぽうではGOSTアルゴリズムが導入どうにゅうされた。これはブロック長ちょう64ビットで256ビットの鍵かぎを使つかっており、後のちにロシアでも使つかわれた。

DES自身じしんをもっと安全あんぜんな形かたちにして再さい利用りようすることもできる。かつてDESを使つかっていたところでは、DESの特許とっきょ権けん保持ほじ者しゃの1人ひとりが考案こうあんしたトリプルDES (TDES) を使つかっている（FIPS Pub 46-3 参照さんしょう）。この方式ほうしきでは2つ (2TDES) ないし3つ (3TDES) の鍵かぎを用もちいて、暗号あんごう‐復号ふくごう‐暗号あんごうの順じゅんでDESを3回かい行おこなう事ことで暗号あんごう化かする。TDESは十分じゅうぶん安全あんぜんだが、極きわめて時間じかんがかかる。それほど計算けいさん量りょうが増ふえない代替だいたい方式ほうしきとしてDES-Xがあり、鍵かぎ長ちょうを長ながくしてDESの処理しょりの前後ぜんごで外部がいぶ鍵かぎをXORする。GDESはDESの暗号あんごう処理しょりを高速こうそくにする方式ほうしきだが、差分さぶん解読かいどく法ほうに弱よわいことが分わかっている。

その後ごNISTがDESに代かわる米国べいこく標準ひょうじゅん暗号あんごう方式ほうしき Advanced Encryption Standard (AES) を公募こうぼした。そして2000年ねん10月がつ、ベルギーのホァン・ダーメン（英語えいご版ばん）とフィンセント・ライメンにより提案ていあんされたRijndael（ラインデール）が新あたらしい米国べいこく標準ひょうじゅん暗号あんごう方式ほうしきAESに選えらばれた。トリプルDESのようなad-hocな方法ほうほうで設計せっけいされた暗号あんごう方式ほうしきとは異ことなり、AESはSPN構造こうぞうと呼よばれるより整備せいびされた構造こうぞうを持もつ暗号あんごう方式ほうしきである。公募こうぼには他たにRC6、Serpent、MARS、Twofishも応募おうぼしたがどれも選えらばれなかった。AESは2001年ねん11月に FIPS 197 として正式せいしきに公表こうひょうされた。

DESの解読かいどく法ほうについては他たのブロック暗号あんごうよりも多数たすうの情報じょうほうがあるが、今いまも最もっとも実用じつよう的てきな攻撃こうげき法ほうは総そう当あたり攻撃こうげきである。暗号あんごう解読かいどく上じょうの各種かくしゅ特性とくせいが知しられており、3種類しゅるいの理論りろん上じょうの攻撃こうげき方法ほうほうが知しられている。それらは総そう当あたり攻撃こうげきよりも理論りろん上じょうは計算けいさん量りょうが少すくないが、非ひ現実げんじつ的てきな量りょうの既知きち平文へいぶんか選択せんたく平文へいぶんを必要ひつようとし、実用じつよう化かはされていない。

どんな暗号あんごうについても、最もっとも基本きほんとなる攻撃こうげき法ほうは総そう当あたり攻撃こうげき、すなわち鍵かぎのとりうる値ねを全すべて試ためす方法ほうほうである。鍵かぎの長ながさが鍵かぎのとりうる値ねの個数こすうに直接ちょくせつ関係かんけいしてくるため、総そう当あたりが現実げんじつ的てきかどうかも鍵かぎの長ながさで決きまる。DESについては標準ひょうじゅんとして採用さいようされる以前いぜんから鍵かぎの短みじかさが懸念けねんされていた。NSAを含ふくむ外部がいぶコンサルタントを交まじえた議論ぎろんの結果けっか、1つのチップで暗号あんごう化かできるよう鍵かぎの長ながさを128ビットから56ビットに減へらすことになった^[20]。

学界がっかいでは様々さまざまなDES解読かいどく機きが提案ていあんされてきた。1977年ねん、ディフィーとヘルマンは1日にちでDESの鍵かぎを見みつけることができるマシンのコストを2000万まんドルと見積みつもった。1993年ねんになると、ウィーナーは7時じ間あいだで鍵かぎを見みつけることができる機械きかいのコストを100万まんドルと見積みつもった。しかし、そのような初期しょきの提案ていあんに基もとづいて実際じっさいに解読かいどく機きを製作せいさくした例れいはないし、少すくなくともそのような実例じつれいが公表こうひょうされたことはなかった。DESの脆弱ぜいじゃく性せいが実際じっさいに示しめされたのは1990年代ねんだい後半こうはんのことである。1997年ねん、RSAセキュリティは一連いちれんのコンテストを主催しゅさいし、DESで暗号あんごう化かされたメッセージを最初さいしょに解読かいどくしたチームに1万まんドルを賞金しょうきんとして提示ていじした。このコンテストで優勝ゆうしょうしたのは、Rocke Verser、Matt Curtin、Justin Dolske が主導しゅどうする DESCHALL Project で、インターネット上じょうの数すう千せん台だいのコンピュータのアイドル時間じかん（何なにもしていない時間じかん）を利用りようしたプロジェクトだった。1998年ねんには電子でんしフロンティア財団ざいだん (EFF) が約やく25万まんドルをかけてDES解読かいどく機きを製作せいさくした。EFFの意図いとは、DESを理論りろん上じょうだけでなく実際じっさいに破やぶることができることを示しめすことであり、「多おおくの人々ひとびとは実際じっさいに自分じぶんの目めで見みるまで真実しんじつを信しんじようとしない。DESを数日すうじつ間あいだで破やぶることができるマシンを実際じっさいに示しめすことで、DESによるセキュリティが信用しんようできないことを明あきらかにできる」と述のべている。この機械きかいは2日にち強きょうかけて総そう当あたり攻撃こうげきで鍵かぎを見みつけることができる。1999年ねん1月がつに行おこなわれた3回かい目めのコンテストでは、22時じ間あいだでdistributed.netによりDESが解読かいどくされた^[21]。この解読かいどくにはEFFのDES解読かいどく機きとインターネット経由けいゆで募集ぼしゅうされた10万まん台だいの計算けいさん機きが用もちいられた。

もう1つのDES解読かいどく機きとしてCOPACOBANA（cost-optimized parallel code breaker の略りゃく）が2006年ねん、ドイツのルール大学だいがくボーフムとキール大学だいがくのチームで開発かいはつされた。EFFの解読かいどく機きとは異ことなり、COPACOBANAは一般いっぱんに入手にゅうしゅ可能かのうな部品ぶひん（集積しゅうせき回路かいろ）のみを使つかっている。20個このDIMMモジュールで構成こうせいされ、それぞれに6個このFPGA（XILINX Spartan3-1000）を装備そうびし、それらが並列へいれつに動作どうさする。FPGAを使つかっているため、DES以外いがいの暗号あんごう解読かいどくにも応用おうよう可能かのうである。COPACOBANAの重要じゅうような特徴とくちょうはその低ていコストであり、1台だいを約やく1万まんドルで製作せいさくできる。EFFのDES解読かいどく機きに比くらべて約やく25分ぶんの1であり、8年間ねんかんの物価ぶっか上昇じょうしょう率りつを考慮こうりょすれば約やく30分ぶんの1ということができる。

総そう当あたり攻撃こうげきよりも少すくない計算けいさん量りょうで16ラウンドのDESを破やぶることができる攻撃こうげき法ほうが3種類しゅるい知しられている。差分さぶん解読かいどく法ほう (DC)、線形せんけい解読かいどく法ほう (LC)、Davies' attack である。しかし、これらの攻撃こうげき法ほうは理論りろん上じょうのものであって、実際じっさいに応用おうようするのは現実げんじつ的てきではない。これらを certificational weaknesses と呼よぶこともある。

差分さぶん解読かいどく法ほう

1980年代ねんだい末すえにエリ・ビハムとアディ・シャミアが再さい発見はっけんした。IBMとNSAにはそれ以前いぜんから知しられていたが、秘密ひみつにされていた。16ラウンドのDESを破やぶるには、2⁴⁷の選択せんたく平文へいぶんを必要ひつようとする。DESはDCへの耐たい性せいを考慮こうりょして設計せっけいされている。

線形せんけい解読かいどく法ほう

1993年ねん、松井まつい充たかしが発見はっけん。2⁴³の既知きち平文へいぶんを必要ひつようとする。これを実際じっさいに実装じっそうして(Matsui, 1994)、DESの解読かいどく実験じっけんが行おこなわれている。DESがこの解読かいどく法ほうへの耐たい性せいを考慮こうりょして設計せっけいされたという証拠しょうこはない。1994年ねんには、これを拡張かくちょうした multiple linear cryptanalysis (Kaliski and Robshaw) が提案ていあんされ、その後ごも改良かいりょうが Biryukov らによって行おこなわれている。研究けんきゅうによると、複数ふくすうの線形せんけい近似きんじを用もちいることで必要ひつようなデータ量りょうが4分ぶんの1になる（つまり、2⁴³を2⁴¹に減へらせる）ことが示唆しさされている。また、選択せんたく平文へいぶんを使つかった線形せんけい解読かいどく法ほうでも同様どうようにデータ量りょうを削減さくげんできる (Knudsen and Mathiassen, 2000)。Junod (2001) は実験じっけんによって線形せんけい解読かいどく法ほうの時間じかん計算けいさん量りょうを測定そくていし、DESの解読かいどくは予想よそうよりも時間じかんがかからず 2³⁹ から 2⁴¹ になるとした。

Davies' attack

差分さぶん解読かいどく法ほうも線形せんけい解読かいどく法ほうもDESだけに限かぎらずに任意にんいの暗号あんごう解読かいどくにも使つかえるが、Davies' attack はDES専用せんようの解読かいどく法ほうであり、ドナルド・デービスが1980年代ねんだいに提案ていあんして、ビハムとBiryukov (1997) が改良かいりょうを施ほどこした。最もっとも強力きょうりょくな形式けいしきの攻撃こうげきには 2⁵⁰ の既知きち平文へいぶんを必要ひつようとし、計算けいさん量りょうも 2⁵⁰、成功せいこう率りつは51%である。

ラウンド数すうを減へらした暗号あんごう（DESの16ラウンドを減へらしたもの）への攻撃こうげき法ほうも提案ていあんされている。そのような研究けんきゅうによってラウンド数すうがどれだけあれば安全あんぜんかという考察こうさつも行おこなわれている。また、16ラウンドのDESにどれだけ安全あんぜんマージンがあるかも研究けんきゅうされてきた。1994年ねんにはラングフォードとヘルマンが差分さぶん解読かいどく法ほうと線形せんけい解読かいどく法ほうを組くみ合あわせた差分さぶん線形せんけい解読かいどく法ほうを提案ていあんした。改良かいりょう版ばんの解読かいどく法ほうでは、9ラウンドのDESを 2^15.8 の既知きち平文へいぶんを使つかって 2^29.2 の時間じかん計算けいさん量りょうで破やぶることができる (Biham et al., 2002)。

DESには相補そうほ性せいがある。すなわち次つぎが成なり立たつ。

E_k(P) = C ⇔ E_K(P) = C

ここで ${\displaystyle {\overline {x}}}$  は ${\displaystyle x}$  のビット毎ごとの反転はんてんである。${\displaystyle E_{K}}$  は鍵かぎ ${\displaystyle K}$  を使つかった暗号あんごう化かを意味いみする。${\displaystyle P}$  は平文へいぶん、${\displaystyle C}$  は暗号あんごうブロック列れつである。相補そうほ性せいがあるということは、総そう当あたり攻撃こうげきに必要ひつような試行しこう回数かいすうは2分ぶんの1で済すむことを意味いみする。

DESには4つのいわゆる「弱よわい鍵かぎ」がある。暗号あんごう化か (E) と復号ふくごう (D) で弱よわい鍵かぎを使つかうと、どちらも同おなじ効果こうかがある。

${\displaystyle E_{K}(E_{K}(P))=P}$  または ${\displaystyle E_{K}=D_{K}}$ 

また、6組くみの「やや弱よわい鍵かぎ」もある。弱よわい鍵かぎの1つ ${\displaystyle K_{1}}$  を使つかった暗号あんごう化かは、ペアのもう一方いっぽうの ${\displaystyle K_{2}}$  を使つかった復号ふくごうと等価とうかである。

${\displaystyle E_{K_{1}}(E_{K_{2}}(P))=P}$  または ${\displaystyle E_{K_{2}}=D_{K_{1}}}$ 

弱よわい鍵かぎややや弱よわい鍵かぎを実装じっそうで使つかわないようにするのは容易よういである。もともと無む作為さくいに鍵かぎを選えらんでも、それらを選えらぶ確かく率りつは極きわめて低ひくい。それらの鍵かぎは理論りろん上じょうは他たの鍵かぎより弱よわいわけではなく、攻撃こうげきに際さいしても特とくに利用りようできるわけでもない。

DESは群ぐんにならないことが証明しょうめいされている。つまり、集合しゅうごう ${\displaystyle \{E_{K}\}}$ （鍵かぎ ${\displaystyle K}$  がとりうる全すべての値ねの集合しゅうごう）は関数かんすう合成ごうせいにおいて群ぐんではないし、1つの群ぐんに閉とじていない (Campbell and Wiener, 1992)。これがもし群ぐんであるならば、DESは容易よういに破やぶることができ、トリプルDESにしても安全あんぜん性せいは向上こうじょうしなかったとされている。

DESの暗号あんごう学がく的てき安全あんぜん性せいは最大さいだいでも約やく64ビットである。例たとえば、個々ここのラウンド鍵かぎを元もとの1つの鍵かぎから生成せいせいせずそれぞれ独立どくりつに供給きょうきゅうすれば、安全あんぜん性せいは768ビットになりそうなものだが、この限界げんかいによりそうならないことが知しられている。

• トリプルDES
• AES
• 暗号あんごう理論りろん
• スキップジャック (暗号あんごう)
• 共通きょうつう鍵かぎ暗号あんごう

• Biham, Eli and Adi Shamir (1991). “Differential Cryptanalysis of DES-like Cryptosystems”. Journal of Cryptology 4 (1): 3–72. doi:10.1007/BF00630563. http://www.springerlink.com/content/k54h077np8714058/.  (preprint)
• Biham, Eli and Adi Shamir, Differential Cryptanalysis of the Data Encryption Standard, Springer Verlag, 1993. ISBN 0-387-97930-1, ISBN 3-540-97930-1.
• Biham, Eli and Alex Biryukov:An Improvement of Davies' Attack on DES. J. Cryptology 10(3):195–206 (1997)
• Biham, Eli, Orr Dunkelman, Nathan Keller:Enhancing Differential-Linear Cryptanalysis. ASIACRYPT 2002:pp254–266
• Biham, Eli. A Fast New DES Implementation in Software Cracking DES:Secrets of Encryption Research, Wiretap Politics, and Chip Design, Electronic Frontier Foundation
• Biryukov, A, C. De Canniere and M. Quisquater (2004). “On Multiple Linear Approximations”. Lecture Notes in Computer Science 3152: 1–22. doi:10.1007/b99099. http://www.springerlink.com/content/16udaqwwl9ffrtxt/.  (preprint).
• Campbell, Keith W., Michael J. Wiener:DES is not a Group. CRYPTO 1992:pp512–520
• Coppersmith, Don. (1994). The data encryption standard (DES) and its strength against attacks. IBM Journal of Research and Development, 38(3), 243–250.
• Diffie, Whitfield and Martin Hellman, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard" IEEE Computer 10(6), June 1977, pp74–84
• Ehrsam et al., Product Block Cipher System for Data Security, アメリカ合衆国あめりかがっしゅうこく特許とっきょ第だい 3,962,539号ごう, Filed February 24, 1975
• Gilmore, John, "Cracking DES:Secrets of Encryption Research, Wiretap Politics and Chip Design", 1998, O'Reilly, ISBN 1-56592-520-3.
• Junod, Pascal. On the Complexity of Matsui's Attack. - ウェイバックマシン（2009年ねん5月がつ27日にちアーカイブ分ぶん） Selected Areas in Cryptography, 2001, pp199–211.
• Kaliski, Burton S., Matt Robshaw:Linear Cryptanalysis Using Multiple Approximations. CRYPTO 1994:pp26–39
• Knudsen, Lars, John Erik Mathiassen:A Chosen-Plaintext Linear Attack on DES. Fast Software Encryption - FSE 2000:pp262–272
• Langford, Susan K., Martin E. Hellman:Differential-Linear Cryptanalysis. CRYPTO 1994:17–25
• Levy, Steven, Crypto:How the Code Rebels Beat the Government—Saving Privacy in the Digital Age, 2001, ISBN 0-14-024432-8.
• Matsui, Mitsuru (1994). “Linear Cryptanalysis Method for DES Cipher”. Lecture Notes in Computer Science 765: 386–397. doi:10.1007/3-540-48285-7. http://www.springerlink.com/content/92509p5l4ravyn62/. 
• Mitsuru Matsui (1994). “The First Experimental Cryptanalysis of the Data Encryption Standard”. Lecture Notes in Computer Science 839: 1–11. doi:10.1007/3-540-48658-5_1. http://www.springerlink.com/content/vrteugmt7erqqbw1/. 
• National Bureau of Standards, Data Encryption Standard, FIPS-Pub.46. National Bureau of Standards, U.S. Department of Commerce, Washington D.C., January 1977.

• FIPS 46-3:DES標準ひょうじゅんについての公式こうしき文書ぶんしょ (PDF);やや古ふるいHTML版ばん
• COPACOBANA 1万まんドルでDESを破やぶるマシン。ルール大学だいがくボーフムとキール大学だいがくがFPGAを使つかって製作せいさく。
• RFC4772 :Security Implications of Using the Data Encryption Standard (DES)