ми [5]: повинен бути відкрито опублікований; повинен бути симетричним блоковим шифром; повинен бути розроблений так, щоб довжину ключа можна було при необхідності збільшити; повинен допускати як апаратну, так і програмну реалізацію; має бути безкоштовним , тобто або незапатентованої, або з анульованими патентними правами;
Алгоритми-кандидати, що відповідають перерахованим вимогам, підлягають дослідженням за такими параметрами: стійкість (тобто зусилля, необхідні при криптоанализе); обчислювальна ефективність; вимоги до пам'яті; зручність апаратної та програмної реалізації; простота; гнучкість. p align="justify"> Природно, дана ініціатива Нистен викликала живий інтерес не тільки в американських урядових колах і промисловості, що виконує державні замовлення. Хоча стандарти ність є обов'язковими тільки для урядових структур США, проте, ними охоче користуються і в усьому іншому світі, зокрема, банківська сфера, телекомунікаційні компанії, комп'ютерна індустрія і т.д. Власне кажучи, саме тому федеральний криптостандарта DES і став найпоширенішим на планеті шифром. p align="justify"> У квітні 1997 року, після обговорення проблеми з усіма зацікавленими сторонами, Нистен сформулював більш конкретні вимоги до нового криптостандарта та їх роз'яснення. На переконання ність, AES повинен бути симетричним блоковим, а не потоковим шифром. (Нагадаємо, що в симетричному шифрі один і той же ключ застосовується як для зашифрування, так і для розшифрування повідомлення. Потоковий шифр застосовує змінюється від такту до такту криптоперетворень до окремих цифрам потоку даних, а блоковий шифр застосовує постійне криптоперетворень до цілим блокам даних.) При роз'ясненні позиції Нистен було сказано, що, по-перше, блочний шифр AES стане прямим наступником концептуально такого ж шифру DES, і, по-друге, вже наявні затверджені стандарти режимів функціонування криптоалгоритма орієнтовані на блочне шифрування. p align="justify"> Викладаючи погляд ність на новий шифр в самій короткій формі, можна сказати, що AES повинен істотно перевершувати по ефективності "потрійний DES" і при цьому не поступатися йому в стійкості. Нагадаємо, що "потрійний DES" - це еволюційний розвиток DES-шифрування, коли для підвищення стійкості блоки даних шифрують тричі на різних ключах. Природно, при цьому потрібно і значно більше обчислень. p align="justify"> У остаточному формулюванні вимоги до AES стали виглядати так. Шифр повинен мати розмір блоку 128 біт (істотно, що це вимога відразу ж вивело з гри майже всі застосовуються нині алгоритми, традиційно орієнтовані на 64-бітний блок), і допускати розміри ключів в 128, 192 і 256 біт [4]. На сьогоднішній день цілком достатньою довжиною ключа вважають 80 біт, однак, враховуючи, що AES приймається на 20-30 років, довжина ключа вибрана з солідним запасом. Для наочного уявлення про те, що дає 128-бітний розмір ключа, вказують, що кількість всіх можливих ключів такого розміру дорівнює приблизно 340...
