En cryptographie , FEAL ( Fast Data Encipherment Algorithm ) est un algorithme de chiffrement par blocs proposé comme alternative au Data Encryption Standard (DES), et conçu pour être beaucoup plus rapide dans les logiciels. L' algorithme basé sur Feistel a été publié pour la première fois en 1987 par Akihiro Shimizu et Shoji Miyaguchi de NTT . Le chiffrement est susceptible de diverses formes de cryptanalyse , et a servi de catalyseur dans la découverte de la cryptanalyse différentielle et linéaire .
Il existe plusieurs versions différentes de FEAL, bien que toutes soient des chiffrements de Feistel , et utilisent la même fonction de base de tour et fonctionnent sur un bloc de 64 bits . L'une des premières conceptions est maintenant appelée FEAL-4 , qui comporte quatre tours et une clé de 64 bits .
Des problèmes ont été décelés avec FEAL-4 dès le début : Bert den Boer a signalé une faiblesse dans une session rump non publiée lors de la même conférence où le chiffrement a été présenté pour la première fois. Un article ultérieur (den Boer, 1988) décrit une attaque nécessitant 100 à 10 000 textes en clair choisis , et Sean Murphy (1990) a trouvé une amélioration qui ne nécessite que 20 textes en clair choisis. Les méthodes de Murphy et den Boer contiennent des éléments similaires à ceux utilisés dans la cryptanalyse différentielle .
Les concepteurs ont riposté en doublant le nombre de tours, FEAL-8 (Shimizu et Miyaguchi, 1988). Cependant, huit tours se sont également révélés insuffisants : en 1989, lors de la conférence Securicom, Eli Biham et Adi Shamir ont décrit une attaque différentielle sur le chiffrement, mentionnée dans (Miyaguchi, 1989). Gilbert et Chassé (1990) ont ensuite publié une attaque statistique similaire à la cryptanalyse différentielle qui nécessite 10 000 paires de textes clairs choisis.
En réponse, les concepteurs ont introduit un chiffrement à ronde variable, FEAL-N (Miyaguchi, 1990), où « N » était choisi par l'utilisateur, avec FEAL-NX , qui avait une clé plus grande de 128 bits. La cryptanalyse différentielle de Biham et Shamir (1991) a montré que FEAL-N et FEAL-NX pouvaient être cassés plus rapidement qu'une recherche exhaustive pour N ≤ 31. Des attaques ultérieures, précurseurs de la cryptanalyse linéaire, ont pu casser des versions sous l' hypothèse de texte clair connu , d'abord (Tardy-Corfdir et Gilbert, 1991) puis (Matsui et Yamagishi, 1992), ce dernier cassant FEAL-4 avec 5 textes clairs connus, FEAL-6 avec 100 et FEAL-8 avec 2 15 .
En 1994, Ohta et Aoki ont présenté une attaque cryptanalytique linéaire contre FEAL-8 qui nécessitait 2 12 textes en clair connus.