DESX — симметричный алгоритм шифрования, разработанный на основе блочного шифраDES (Data Encryption Standard). Данный алгоритм использует методотбеливания ключа с целью усиления устойчивости к атакам на основеполного перебора.

Исходный алгоритм DES был утвержден в качестве стандарта в 1977 и имел длину ключа 56 бит (${\displaystyle 2^{56}}$ возможных ключей). Алгоритм подвергался критике из-за того, что вычислительные мощности для полного перебора ключей были доступны крупным организациям и правительствам, в частностиАгентству Национальный Безопасности США. Для увеличения длины ключа алгоритма DES без его существенной переработки криптоаналитикомРональдом Ривестом из компанииRSA был предложен алгоритм DESX в 1984 г. Повышенная стойкость алгоритма была формально продемонстрированаДжо Килиан иФилипом Роугвей в 1996 г.

Суть алгоритма состоит в том, что перед выполнением однократного DES и после него на данные операцией XOR накладываются различные 64-битные фрагменты ключа:

${\displaystyle \text{DES-X(}M)=K_2\oplus {\text{DES}}_K(M\oplus K_1)}$

Таким образом, длина ключа увеличивается до 56 + 2 × 64 = 184 бит.

DESX полностью совместим с алгоритмом DES в случае, если К₁ = К₂ = 0.Авторы алгоритма дают ряд несложных рекомендаций, позволяющих использовать переменный размер ключа шифрования, предварительно применив к нему хеширование алгоритмомSHA-1. Кроме того, авторы алгоритма допускают использование 120-битного ключа шифрования, при этом К₁ устанавливается равным К₂. Существует вариант DESX, также разработанный компанией RSA, со 120-битным ключом, состоящим из К и К₁, а значение К₂ является функцией всех 16 байтов ключа шифрования. Известен еще один вариант алгоритма DESX, в котором вместо обеих операций XOR выполняется сложение по модулю${\displaystyle 2^{64}}$.

Скорость алгоритма DESX приблизительно равна скорости DES.

DESX достаточно стоек, имеет аппаратную реализацию и широко используется.

Реализация DESX включена в криптографические библиотеки BSAFE компании RSA Security с конца 80х годов.

Хотя длина ключа алгоритма DESX — 184 бита, эффективная длина ключа составляет 56 + 64 — 1 — log₂(M) = 119 — log₂(M) = ~119 бит, где М — число известных пар открытый текст/шифротекст. Более того длина ключа падает до 88 бит при${\displaystyle 2^{32}}$ известных открытых текстах и при использованииатаки на основе адаптивно подобранного открытого текста. Поэтому некоторые реализации используют ключ К₂ как одностороннюю функцию от К₁ и К.

DESX также увеличивает стойкость DES кдифференциальному илинейному криптоанализу, хотя улучшение не столь значительное, чем в случае атаки на основе полного перебора ключей. Для успешной атаки на алгоритм DESX дифференциальный криптоанализ потребует${\displaystyle 2^{61}}$ известных открытых текстов (${\displaystyle 2^{47}}$ для DES), а линейный криптоанализ —${\displaystyle 2^{60}}$ текстов(${\displaystyle 2^{43}}$ для DES).

• Joe Kilian and Phillip Rogaway,How to protect DES against exhaustive key search (PDF), Advances in Cryptology — Crypto '96, Springer-Verlag (1996), pp. 252–267.
• Phillip Rogaway,The security of DESX (PostScript)
• A. Biryukov and D. Wagner, Advanced Slide Attacks, Eurocrypt 2000, Springer-Verlag (2000), pp. 589–606

• Сеть Фейстеля
• Блочные шифры