Инициатива в разработке AES принадлежит NIST. Основная цель состояла в создании федерального стандарта (FIPS), который бы описывал алгоритм шифрования, используемый для защиты информации как в государственном, так и в частном секторе.Конкуренция среди финалистов была достаточно серьезной, и в результате длительного процесса оценки NIST выбрал Rijndael в качестве алгоритма AES. Мы кратко рассмотрим этот процесс и суммируем различные характеристики алгоритмов, которые были описаны на данном этапе..

Обзор финалистов
MARS
1) входное забеливание: к байтам текста добавляют байты из материала ключа
2) перемешивание (стр.сети Фейштеля) 8 раз без использования ключа,
3) сеть Фейштеля 3го типа с 4мя ветвями, 8 раундов прямого преобразования с использованием ключа,
4) всё повторяется в обратном порядке
MARS предложен корпорацией IBM.

RC6 основан на сети Фейштеля; для AES было предложено использовать 20 раундов. Два четных блока исп-ся для одновременного изменения содержимого двух нечетных блоков, затем сдвиг – меняются местами чет и нечет. Каждый раунд также включает умножение по модулю 32, сложение, XOR и сложение с ключом. RC6 был предложен лабораторией RSA. имеет самую высокую скорость среди финалистов.

Rijndael использует линейно-подстановочные преобразования и состоящий из 10-14 раундов в зависимости от длины ключа. Функция раунда Rijndael состоит из четырех слоев.
1) для каждого байта применяется S-box размерностью 8х8 бит. 2 и 3) линейные перемешивани
4) операция XOR байтов подключа и каждого байта массива. В последнем раунде перемешивание столбцов опущено.

Daemen и Rijmen
Serpent представляет собой сеть фейштеля из 4х ветвей смешанного типа: 2чет.ветви меняют совместно значения 2х нечетных, затем меняются местами.
состоит из 32 раундов.
в качестве криптопреобр. исп. XOR, табл.подстановки и сдвиги.

Функция раунда состоит из трех слоев: операция XOR с ключом, 32-х параллельное применение одного из восьми фиксированных S-boxes и линейное преобразование. В последнем раунде слой XOR с ключом заменен на линейное преобразование.

Anderson, Biham и LarsKnudsen
Twofish является сетью Фейштеля с 16 раундами. Сеть Фейштеля незначительно модифицирована с использованием однобитных ротаций. Функция раунда влияет на 32-битные слова, используя четыре зависящих от ключа S-boxes, за которыми следуют фиксированные максимально удаленные отдельные матрицы в GF(28), преобразование псевдо-Адамара и добавление ключа. Twofish был предложен Schneier

Критерий оценки
критерий оценки был разделен на три основных категории:
1. Безопасность.
2. Стоимость.
3. Характеристики алгоритма и его реализации.

Запасной алгоритм
что запасной алгоритм во многом эквивалентен второму AES-алгоритму, так как многие пользователи пожелают, чтобы даже "cold backup" был реализован в продуктах.
было принято решение не выбирать запасной алгоритм.
стандарт будет пересматриваться каждые пять лет.

Атаки на варианты с уменьшенным числом раундов
Полный перебор ключа требует меньше памяти и информации и может легко выполняться параллельно с использованием нескольких процессоров. Таким образом, любую атаку, требующую операций больше, чем необходимо при полном переборе ключей, осуществить сложнее. По этой причине многие из атак на варианты с уменьшенным числом раундов относятся только к большей длине ключа AES, хотя и в данном случае требования выполнения не представляют сегодня практического интереса. Аналогично требования памяти важны для многих атак на варианты с уменьшенным числом раундов.