随着DES的逐渐衰老，分组密码的研究也在不断深入。在DES之后，近年来国际上又相继提出了多种新的分组密码体制，见表4-10。在这些分组密码中，有的已被破译，有的仍具有较高的安全性。下面对这此算法作一简介。

近年来出现的一些分组密码体制

• FEAL-8密码

    FEAL密码算法家族是日本NTT（日本电报电话公司）的清水(Shimizi)和宫口(Miyaguchi)设计的。作为一种分组密码，与DES相比其主要想法为增加每一轮迭代的算法强度，因此可以通过减少迭代次数而提高运算速度。

    FEAL-8即为8轮迭代的FEAL密码算法。FEAL密码算法推出之后，引起有关专家的注意。密码专家比哈姆和沙米尔利用养分密码分析技术发现，可以用比穷举法更快的速度破译FEAL密码。如FEAL-8只需2000个选择明文即可破译，而FEAL-4更只需8个精心选择的明文便可破译。

    目前，FEAL已经取得了专利。

• LOKI算法

    LOKI算法作为DES的一种潜在替代算法于1990年在密码学界首次亮相。LOKI同DES一样以64位二进制分组加密数据，也使用64位密钥（只是其中无奇偶校验位），所有64位均为密钥。LOKI密码公布之后，有关专家对其进行了研究破译并证明不大于14轮的LOKI算法极易受到差分密码分析的攻击等。不过，这仍然优于56位密钥的DES。LOKI较新的成果版本是LOKI-91。

    LOKI尚未取得专利，任何人都可以使用该算法。有意在商用产品中使用设计者基准方案的人士，可以与澳大利亚堪培拉国防学院计算机科学系西特拉德主任联系。

• Khufu和Khafre算法

    1990年由默克尔(Merhie)设计的这对算法具有较长的密钥，适合于软件实现，比较完全可靠。Khufu算法的总体设计同DES，只是拥有512位（64字节）的密钥。Khafre算法与前者类似，预定用于不能预先计算的场合。由于Khufu算法具有可变的S盒，可以抵抗差分密码分析的攻击。据了解目前尚无以该算法为目标的其它密码分析成果。

    这对密码算法都已取得专利，算法的原码在专利之中。对使用这对算法感兴趣的人士，可以与施乐（Xerox）公司专利许可证发放部的彼得（Petre）主任联系。

• IDEA算法

    1990年赖学家(XueJia Lai)和梅西(Massey)开发的IDEA密码首次成形，称为PES，即“建议的加密标准”。次年，根据有关专家对这一密码算法的分析结果，设计者对该算法进行了强化并称之为IPES，即“改进的建议加密标准”。该算法于1992年更名为IDEA，即“国际加密标准”。

    IDEA算法的密钥长度为128位。设计者尽最大努力使该算法不受差分密码分析的影响，赖学家已证明IDEA算法在其8轮迭代的第4轮之后便不受差分密码分析的影响了。假定穷举法攻击有效的话，那么即使设计一种每秒种可以试验10亿个密钥的专用芯片，并将10亿片这样的芯片用于此项工作，仍需1013年才能解决问题；另一方面，若用10²⁴片这样的芯片，有可能在一天内找到密钥，不过人们还无法找到足够的硅原子来制造这样一台机器。目前，尚无一片公开发表的试图对IDEA进行密码分析的文章。因此，就现在来看应当说IDEA是非常安全的。

    IDEA分组密码已在欧洲取得专利，在美国的专利还悬而未决，不存在非商用所需的使用许可证费用问题。对使用IDEA算法有兴趣的商业用户可以与瑞士Solothurm实验室的普罗福斯主任(Profos)联系。