El Estándar de cifrado avanzado (AES), el cifrado de bloques simétrico ratificado como estándar por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), se eligió mediante un proceso que duró de 1997 a 2000 que fue notablemente más abierto y transparente que su predecesor, el estándar de cifrado de datos (DES). Este proceso ganó elogios de la comunidad criptográfica abierta y ayudó a aumentar la confianza en la seguridad del algoritmo ganador de aquellos que sospechaban de las puertas traseras en el predecesor, DES.
Se necesitaba un nuevo estándar principalmente porque DES tiene una clave relativamente pequeña de 56 bits que se estaba volviendo vulnerable a los ataques de fuerza bruta . Además, el DES fue diseñado principalmente para hardware y es relativamente lento cuando se implementa en software. [1] Si bien Triple-DES evita el problema de un tamaño de clave pequeño, es muy lento incluso en hardware, no es adecuado para plataformas de recursos limitados y puede verse afectado por posibles problemas de seguridad relacionados con el (hoy comparativamente pequeño) tamaño de bloque de 64 bits.
El 2 de enero de 1997, NIST anunció que deseaba elegir un sucesor de DES para que se conociera como AES. Al igual que DES, este iba a ser "un algoritmo de cifrado no clasificado y divulgado al público capaz de proteger información gubernamental confidencial hasta bien entrado el próximo siglo". [2] Sin embargo, en lugar de simplemente publicar un sucesor, NIST solicitó la opinión de las partes interesadas sobre cómo se debería elegir al sucesor. El interés de la comunidad criptográfica abierta fue inmediatamente intenso y el NIST recibió una gran cantidad de presentaciones durante el período de comentarios de tres meses.
El resultado de esta retroalimentación fue un llamado a nuevos algoritmos el 12 de septiembre de 1997. [3] Todos los algoritmos serían cifrados en bloque, soportando un tamaño de bloque de 128 bits y tamaños de clave de 128, 192 y 256 bits. Tales cifras eran raras en el momento del anuncio; probablemente el más conocido fue Square .
En los nueve meses siguientes, se crearon y enviaron quince diseños de varios países. Eran, en orden alfabético: CAST-256 , CRYPTON , DEAL , DFC , E2 , FROG , HPC , LOKI97 , MAGENTA , MARS , RC6 , Rijndael , SAFER + , Serpent y Twofish .
En el debate que siguió, los criptógrafos investigaron muchas ventajas y desventajas de los candidatos; fueron evaluados no solo en seguridad, sino también en rendimiento en una variedad de configuraciones (PC de varias arquitecturas, tarjetas inteligentes, implementaciones de hardware) y en su viabilidad en entornos limitados (tarjetas inteligentes con memoria muy limitada, implementaciones de recuento de puertas bajas, FPGA ).