從20世紀70年代開始,DES得到了廣泛的應用,並且經過了五次重新評估和確認。儘管這樣,DES用戶仍然總是覺得不安全。隨着計算技術的开展,特別是計算機速度的提高及分佈式計算機複雜度的增強,使得許多DES用戶開始懷疑DES的有效性和安全性已逐步減弱,他們認為DES存在一些安全隱患和缺陷。

從1975年來,很多组织、公司與學者進行大量研究與分析DES的工作,討論DES中可能有及已被證明有的缺陷集中在以下幾點。

1.存在弱密鑰和半弱密鑰

DES若有子密鑰符合K1=K2=…=K16這樣的種子密鑰K叫做弱密鑰。弱密鑰不會被任意循環移位影響,且僅可以取得一樣的子密鑰,所以全0或全1構成的密鑰明顯為弱密鑰。此外,在生成子密鑰的過程中,種子密鑰被分為C0、D0兩個部分,且每部分都獨立進移位,若C0、D0分別為全0或全1時,也是弱密鑰,這樣的弱密鑰有4個。

有些種子密鑰只可生成兩個不一樣的子密鑰,每個子密鑰被用在8次循環中,這樣的種子密鑰K叫半弱密鑰。DES有不少於12個半弱密鑰,半弱密鑰將造成把明文加密為一樣的密文。

2.有效密鑰長度偏短

在DES的安全性爭議中,批評較多的是針對DES密鑰長度偏短問題。在DES是標準時,用的密鑰是56bit,其密鑰量僅有256約為1017個,很難抗擊窮舉搜索攻擊。因為在DES使用後期,一些政府组织和其他大型組織能用專用機器顺利获得窮舉攻擊在數小時內搜索完整個56bit的密鑰空間。

3.S盒的安全性疑義

DES密碼體制的安全性依靠於非線性的S盒。S盒的內容最初是由IBM的設計小組確定的,不過他們後來按照NSA的要求進行了修改。S盒設計的詳細準則不断未公開,使很多密碼學家懷疑S盒設計中可能有陷門。但是,NSA提出的修改使S盒有了改進,且可抵制差分密碼分析攻擊。