由于DES密码破译的不断发展,DES的安全性与应用前景面临非常大的挑战。因此,需要设计一个不是保密的,公开的、免费的分组密码算法,用来保护21世纪政府敏感信息,并期望用这个新算法取代渐进没落的DES算法,成为新一代数据加密标准,叫做高级数据加密标准。
1997年4月15日,美国国家标准技术研究所发起征集AES算法的活动,并专门成立了AES工作组。1997年9月12日,联邦登记发布了征集AES候选算法的通知。截止到1998年8年6月15日,NST共收到21个提交的算法。1998年8月10日,NST召开第一次AES候选会议,公布了15个候选算法。1999年3月22日,NST召开第二次AES候选会议,公开了15个AES候选算法的讨论结果,且从里面选了5个算法进一步讨论。2000年10月2日,在进一步的分析与讨论这5个算法后,正式公布由比利时Joan Daemen与Vicent Rijmen设计的算法Rijndael成为AES算法。NIST发表了一篇16页的报告,总结了选Rijndael作为AES的原因:不管用反馈模式还是无反馈模式,Rijndael在普遍的计算环境的硬件与软件实现性能一直优秀。它的密钥建立时间非常少,灵敏性好。Rijndael极低的内存需求让它特别适合在存储器有限的环境里用,Rijndael的运算容易抵抗强力与时间选择攻击。Rijndael的内部循环结构会在指令级并行处理里得到潜在的好处。
NST还确认Rijndael满足当初选择AES时公布的若干要求与评估准则,即比三重DES快且安全性至少与它一样,分组长度为128bit,密钥长度为128/192/256bit。
安全性评估准则:包括算法抗密码分析的能力厉害,其有靠谱的数学基础,算法输出的随机性不错,与其他候选算法相比,AES算法更安全。
成本评估准则:包括许可成本低,且在各种平台上的计算效率与内存空间的需求不大,算法的实现速度很快。
算法与实现特性准则:主要包括灵活性、硬件和软件适应性、算法的简单性等。算法的灵活性应含以下几个要点:处理的密钥与分组的长度一定得超过最小的支持范围;在很多不同类型的环境中能安全及有效地实现;可作为序列密码、杂凑算法实现,且可给出附加的密码服务。算法一定要可用软件与硬件实现,且有助于有效的固件实现。算法设计相对简单。
比利时的Joan Daemaen和Vincent Rijmen设计的AES算法的原型是Square算法,其设计策略是宽轨迹,该策略是对差分分析与线性分析给出的,其最明显的好处是能给出算法的最佳差分特征的概率与线性通近的偏差的界,由此,可分析算法抵抗差分密码分析及线性密码分析的能力。
AES用的是代替/置换网络,也就是SP结构。每轮由三层组成,线性混合层、非线性层、密钥加层。S盒选取的是有限域GF(28)中的乘法逆运算,其差分均匀性与线性偏差均到了最佳。
