Advanced Encryption Standard , AES – Soutěž organizovaná NIST v roce 1997 s cílem vybrat nový kryptografický standard, který by měl být nástupcem DES . V důsledku soutěže v roce 2000 byla vítězem vyhlášena Rijndaelova šifra (která je dnes často označována názvem soutěže - AES ).
Potřeba přijetí nového standardu byla způsobena malou délkou klíče DES (56 bitů), což teoreticky umožnilo proti tomuto algoritmu použít metodu hrubé síly (brute force search). Architektura DES byla navíc orientována na hardwarovou implementaci a softwarová implementace algoritmu na platformách s omezenými zdroji neposkytovala dostatečný výkon. Modifikace 3-DES měla dostatečnou délku klíče, ale byla třikrát pomalejší.
2. ledna 1997 NIST oznámil [1] svůj záměr vybrat nástupce DES , který je od roku 1977 americkým standardem. Namísto zveřejnění algoritmu však NIST přijal různé návrhy od zainteresovaných stran, jak by měl být algoritmus vybrán. Bouřlivý ohlas otevřené kryptografické komunity vedl k vyhlášení soutěže (12. září 1997). Jakákoli organizace nebo skupina výzkumníků by mohla nabídnout svůj vlastní algoritmus. Požadavky na nový standard byly následující:
Takové šifry byly v době vyhlášení soutěže poměrně vzácné; snad nejlepší byl SQUARE . Kromě toho se žadatelům doporučuje:
Kromě toho musí být algoritmus, který tvrdí, že se stane standardem, distribuován po celém světě na nevýhradním základě a bez placení za použití patentu.
20. srpna 1998 byl na 1. konferenci AES oznámen seznam 15 kandidátů: CAST-256 , CRYPTON , DEAL , DFC , E2 , FROG , HPC , LOKI97 , MAGENTA , MARS , RC6 , Rijndael , Serpent , SAFER + Fish .
V následných diskuzích byly tyto algoritmy podrobeny komplexní analýze a byly zkoumány nejen kryptografické vlastnosti, jako je odolnost vůči známým útokům, absence slabých klíčů, dobré statistické vlastnosti , ale také praktické aspekty implementace: optimalizace rychlosti provádění kódu na různých architekturách (od PC po smart karty a hardwarové implementace), možnost optimalizace velikosti kódu, možnost paralelizace. Kandidáti byli testováni na tvorbu náhodných binárních sekvencí pomocí sady statistických testů NIST .
Během prvního kola bylo testování provedeno se 128bitovými klíči. Pouze 9 algoritmů z 15 dokázalo projít statistickými testy, a to: CAST-256, DFC, E2, LOKI-97, MAGENTA, MARS, Rijndael, SAFER+ a Serpent. Zbývající algoritmy vykazovaly určité odchylky v testech na náhodnou povahu binárních sekvencí, které generují [2] .
V březnu 1999 se konala 2. konference AES a v srpnu 1999 bylo vyhlášeno 5 finalistů: MARS , RC6 , Rijndael , Serpent a Twofish . Všechny tyto algoritmy byly vyvinuty renomovanými kryptografy s celosvětovou reputací. Na 3. konferenci AES v dubnu 2000 autoři představili své algoritmy.
Ve druhém kole byla hodnocena vhodnost finalistů prvního kola jako generátorů náhodných čísel na základě 192bitových a 256bitových klíčů. Statistické testy NIST trvaly několik měsíců a výpočty byly prováděny na mnoha pracovních stanicích Sun Ultra . Všechna data byla generována a zpracována online. Jako výsledek druhého kola se ukázalo, že každý z pěti výše uvedených algoritmů generuje absolutně náhodnou binární sekvenci, a proto může být použit jako generátor pseudonáhodných čísel a je možné použít klíče o velikostech: 128, 192 a 256 bitů [3] .
Hlasy na konferenci AES2 byly rozděleny takto:
Třetí konference AES se konala v New Yorku 13. a 14. dubna 2000, krátce před dokončením druhé fáze. Zúčastnilo se ho 250 účastníků, z nichž mnozí přijeli ze zahraničí. Dvoudenní konference byla rozdělena do osmi zasedání, čtyři za den, plus neformální vedlejší zasedání na závěr prvního dne. Zasedání prvního dne diskutovalo o problémech souvisejících s programovatelnými poli ( FPGA ), hodnotilo implementaci algoritmů na různých platformách, včetně PA-RISC , IA-64 , DEC Alpha , čipových karet na vysoké úrovni a signálových procesorů, porovnávalo výkon žadatelů o standard byl analyzován počet kol v kandidátských algoritmech. Na sezeních druhého dne byl Rijndael analyzován se sníženým počtem kol a ukázala se jeho slabina v tomto případě, byla diskutována otázka integrace všech pěti kandidátských algoritmů do finálního standardu, všechny algoritmy byly znovu testovány. Na závěr druhého dne proběhla prezentace, na které uchazeči hovořili o svých algoritmech, jejich výhodách a nevýhodách. O Rijndaelovi mluvil Vincent Raymen, který oznámil spolehlivost ochrany, vysoký celkový výkon a jednoduchost architektury svého kandidáta.
2. října 2000 bylo oznámeno, že vítězem soutěže se stal Rijndaelův algoritmus [4] a byla zahájena procedura standardizace.
28. února 2001 byl návrh zveřejněn a 26. listopadu 2001 byl AES přijat jako FIPS 197 .
Historickou retrospektivu soutěže lze sledovat na webu NIST [5] .