In derKryptografie bezeichnet eineS-Box (englischsubstitution box) eineGrundkomponentesymmetrischer Kryptosysteme, die eine Bitfolge durch eine andere ersetzt (substituiert).

Einem×n S-Box ist eine – in der Regel nichtlineare – Substitutionsoperation, bei der eine m-stellige Binärzahl (m-Tupel vonBits) durch eine n-stellige Binärzahl ersetzt wird. Sie kann beispielsweise mit einer Tabelle implementiert werden, die 2^m Zellen enthält. Je nach Anwendung kann es notwendig sein, dass diese Abbildunginvertierbar (im Sinne vonbijektiv) ist.

S-Boxen werden inBlockverschlüsselungen wie beispielsweiseDES undBlowfish eingesetzt, um die Beziehung zwischenKlar- undGeheimtext zu verwischen (in derkryptologischen FachspracheKonfusion genannt).

Der DES-Algorithmus verwendet acht verschiedene S-Boxen, die auch teilweise dasShannon’sche Prinzip derDiffusion umsetzen. Dies kann einfach nachvollzogen werden: Die Änderung eines Input-Bits ändert mindestens 2 Output-Bits.^[1] Dieses Verhalten liegt im Design der S-Boxen. Bei vollständiger Diffusion hingegen wäre dasStrict Avalanche Criterion (SAC) erfüllt und die Änderung eines Input-Bits würde jedes Output-Bit mit der Wahrscheinlichkeit von 0,5 ändern.

S-Boxen müssen sehr sorgfältig entworfen werden, um einerKryptoanalyse, insbesondere derlinearen und derdifferentiellen Kryptoanalyse zu widerstehen.

Eine S-Box sollte die folgenden Anforderungen erfüllen:^[2]

• Vollständigkeit: Jedes Ausgangsbit ist von jedem Eingangsbit abhängig.
• Avalanche: Die Änderung eines Eingangsbits zieht im Mittel die Änderung der Hälfte aller Ausgangsbits nach sich.
• Nichtlinearität: Kein Ausgangsbit istlinear oderaffin von einem Eingangsbit abhängig. Dies sollte auch nicht näherungsweise der Fall sein.^[3]
• Korrelationsimmunität: Solange nur ein Teil der Eingangsbits bekannt ist, können keine Rückschlüsse auf die Ausgangsbits gezogen werden. Und umgekehrt.

Man unterscheidet zwischen statischen und dynamischen S-Boxen: Während vieleBlockchiffren wieDES oderAES festgelegte (statische) S-Boxen verwenden, initialisieren beispielsweiseRC4 undTwofish aus dem Schlüssel die S-Box dynamisch (sogenannte:key-dependent S-box). Statische S-Boxen haben Vorteile bei derImplementierung inHardware hinsichtlich Geschwindigkeit und Speicherbedarf; dynamische S-Boxen können dieKryptoanalyse erheblich erschweren.

Naheliegend ist die Realisierung alsArray mit${\displaystyle 2^a}$ Elementen, deren jedes eineb Bit lange Ausgabe enthält. Diea Eingabebits werden als Zahl interpretiert, die das Array-Element mit der zugehörigen Ausgabe bezeichnet.

Die S-Box kann auch mitbooleschen Operationen verwirklicht werden. Die Eingabebits stehen ina Datenwörtern jeweils an der gleichen Bitposition, und dieb Ausgabebits werden durch Verknüpfen dieser Datenwörter mitbitweisen Operatoren berechnet. Bei einer Wortbreite vonw Bit erfolgen dadurchw Substitutionen parallel.Serpent ist eine Blockverschlüsselung, die für diese Methode ausgelegt ist.

Ein Beispiel ist diese statische 6×4-Bit S-Box (S₅) von DES:

Der Eingabewert ist 6 Bit lang. Der 4-Bit-Ausgabewert steht in der Zeile mit den beiden äußeren Bits und der Spalte mit den 4 inneren Bits des Eingabewertes. Im Beispiel hat der Eingabewert "011011" die äußeren Bits "01" und die inneren Bits "1101". Der zugehörige Ausgabewert ist demnach "1001".

1. ↑Don Coppersmith:The Data Encryption Standard (DES) and its strength against attacks. In: International Business Machines Corporation (Hrsg.):IBM Journal of Research and Development.Band 38,Nr. 3, 3. Mai 1994,S. 247,Absch. Design Criteria Nr. S-4 (simson.net [PDF]): „If two inputs to an S-box differ in exactly one bit, the outputs must differ in at least two bits.“ 
2. ↑Walter Fumy, Hans Peter Rieß:Kryptographie: Entwurf und Analyse symmetrischer Kryptosysteme. Oldenbourg, München / Wien 1988,ISBN 3-486-20868-3. 
3. ↑Bruce Schneier:Applied Cryptography. Protocols, Algorithms and Source Code in C. 2. Auflage. John Wiley & Sons, New York 1996,ISBN 0-471-11709-9,S. 349–350. 

• Symmetrisches Kryptosystem