Історія. У 1972 році, після проведення дослідження потреб уряду США в комп'ютерній безпеці, американське НБС (Національне Бюро Стандартів) - тепер перейменовано ність

У 1972 році, після проведення дослідження потреб уряду США в комп'ютерній безпеці, американське НБС (Національне Бюро Стандартів) - тепер перейменовано ність (Національний Інститут Стандартів і Технологій) - визначило необхідність в загальноурядовий стандарті шифрування некритичною інформації. 15 травня 1973, після консультації з АНБ (Агентством національної безпеки), НБС оголосило конкурс на шифр, який задовольнить суворим критеріям проекту, але жоден конкурсант не забезпечував виконання всіх вимог. Другий конкурс був початий 27 серпня 1974. Цього разу, шифр Lucifer, представлений IBM і розвинений протягом періоду 1973-1974 визнали прийнятним, він був заснований на більш ранньому алгоритмі Хорста Фейстеля.

17 березня 1975 запропонований алгоритм DES був виданий у Федеральному Реєстрі. У наступному році було проведено 2 відкритих симпозіуму по обговоренню цього стандарту, де піддалися жорсткій критиці зміни, внесені АНБ в алгоритм: зменшення початкової довжини ключа і S-блоки (блоки підстановки), критерії проектування яких не розкривалися. АНБ підозрювалося в свідомому ослабленні алгоритму з метою, щоб АНБ могло легко переглядати зашифровані повідомлення. Після чого сенатом США була проведена перевірка дій АНБ, результатом якої стало заяву, опубліковану в 1978, в якому йшлося про те, що в процесі розробки DES АНБ переконало IBM, що зменшеною довжини ключа більш ніж достатньо для всіх комерційних додатків, що використовують DES, побічно допомагало в розробці S-перестановок, а також, що остаточний алгоритм DES був кращим, на їх думку, алгоритмом шифрування і був позбавлений статистичної або математичної слабкості. Також було виявлено, що АНБ ніколи не втручалося в розробку цього алгоритму.

Частина підозр у прихованій слабкості S-перестановок була знята в 1990, коли були опубліковані результати незалежних досліджень Елі Біхама (Eli Biham) і Аді Шаміра (Adi Shamir) по диференціальному криптоаналізу - основного методу злому блочних алгоритмів шифрування з симетричним ключем. S-блоки алгоритму DES виявилися набагато більш стійкими до атак, ніж, якби їх вибрали випадково. Це означає, що така техніка аналізу була відома АНБ ще в 70-х роках XX століття.

DES є блоковим шифром. Щоб зрозуміти як працює DES насамперед ми трохи розглянемо блоковий шифр, мережа Фейстеля.