问DES在硬件上是慢的，还是只在软件方面？

EN

DES软件速度慢，因为它早在8086处理器存在之前就在70年代早期就设计出来了，并且使用了一些面向位的操作，而这些操作在一个有面向字的指令集的处理器中并没有得到有效的实现。

它的目标产品是ASIC硬件设计，其中DES运行很快。DES硬件处理器在较旧的网卡上非常常见，用于服务器和工作站(我仍然拥有具有有线速度的TDES硬件的局域网卡)。DES已经被认为是过时的时候，这项技术应该已经渗透到消费级硬件。

当我们从安全的角度和AES比较时，DES会变得更慢。软件中的DES可能是AES速度的一半，也是关键空间的一半。因此，使用TDES来增加密钥空间，但现在它是AES速度的1/6。AES也能更好地抵御非暴力攻击。

双AES与两个128位键需要大约1.5倍的AES与256位密钥的处理，至少从蛮力的角度是不安全的。之所以使用TDES而不是double DES，是因为它需要3个操作才能使密钥空间加倍。

DES比AES慢，包括在硬件中，因为

• 为了获得类似的安全性，我们必须使用3 AES，它是每块子弹数的三倍，3 AES为48发，AES为10、12或14；
• DES的块大小为64位，是AES 128位的一半，因此，当加密一个相当大的数据块时，3 DES会比AES多执行96/10、96/12或96/14倍的循环；
• 这些在现代CPU中对DES不提供(或很少)硬件支持，因为在越来越多的CPU(包括大多数目标服务器)中有AES；因此，硬件DES被卸载到遥远的IC上，而AES通常是核心；
• DES常用于CBC模式，在加密过程中不允许并行化和预先处理，而AES通常使用CTR模式。

然而，当我们比较智能卡中使用的受DPA保护的实现时，就没有那么大的区别了，而且它往往被其他延迟所掩盖。

带有两个128位键的双AES将明显比具有256位键的单个AES慢(20轮对14轮)。理论上，双AES-128在理论上很容易受到中遇攻击的攻击，而AES-256则不然.

数字加密标准()是对最初要求硬件实现必须兼容的算法的描述。

用8位接口实现的初始置换是8条线，逆置换通过交换8位接口上的奇偶元来交换L和R块。

软件中的性能问题来自于没有指令来做我们可以在没有性能损失(排列)的硬件中描述的事情。

英特尔有一个基于i8048的实现，使用嵌入式编程，无法跟上300波特调制解调器。

与此同时，Fairchild Federal有一个双极CMOS芯片组，用于加密卫星转发器(105 Mbit/秒)。我们在过去看到过描述5.4 GHz范围内的高速硬件实现的文章。

十年前，斯普林斯公司有一个可编程指令协处理器，可以执行一个完整的DES循环。对于像初始排列这样的事情，可以有单独的指令。不幸的是，他们的可重构硬件不足以满足更复杂的算法，DES可以在4.7K左右的NAND门等价物中实现，其中大部分是DES )。

正如其他答案所指出的，一旦我们接受了在高性能计算机中实现加密算法的想法，我们就开始开发针对软件实现的算法。也没有真正的安全优势，要求复杂度最好留给硬件，随着更高性能的FPGA(或ASIC的出现，当你需要的最后一个因素10速度)。

对硬件实现的限制是控制密码学的传播，密码技术现在是普遍存在的(并且以不同的方式进行系统攻击，例如通过密钥交换弱点或秘密传票)。

最初的UNIX有一个DES实现，它可以用空盐(用于密码散列)初始化，并且与DES标准兼容，只执行16轮(而不是25个DES交互)。实际上，猫已经被从瓶子里放出来了(混合比喻)。