Poiché si è scoperto che DES è vulnerabile ad attacchi di tipo bruteforce, DES è stato largamente sostituito da schemi di cifrature più forti. Sono stati utilizzati come spunto due approcci:

• il primo: progettare un nuovo algoritmo che resiste alla crittoanalisi e al bruteforce: AES ne è un esempio;
• il secondo: utilizzare diverse cifrature di DES stesso, con diverse chiavi.

La forma più semplice di crittazione multipla ha due stadi e due chiavi. Dato un plaintext P e due chiavi di cifratura e , il testo cifrato C è generato come: Ovvero viene prima crittato P con e poi il risultato di tale cifratura viene crittato con .
La decrittazione è applicata in ordine inverso: Per DES, questo schema sembra includere una lunghezza della chiave che sia di bit e questo dovrebbe incrementare di molto la forza crittografica dell'algoritmo. Ma per verificarlo dopo esaminare l'algoritmo da più vicino.

Supponiamo vero che per DES, per tutte le chiavi di 56 bit, date due chiavi e possa essere possibile trovare una terza chiave in modo che: Se fosse vero che esiste una chiave che equivale la crittazione fatta con diverse chiavi, allora qualsiasi numero di crittazioni (DES) sarebbe inutile e sarebbe come crittare con una singola chiave da 56 bit. A prima vista, non sembra che l'equazione sopra regga.
Considera che la crittazione con DES è una mappatura di blocchi di 64 bit a blocchi di 64 bit. Infatti, la mappatura può essere vista come una permutazione. Se consideriamo tutti i possibili possibili blocchi in input, la crittazione con DES con una specifica chiave mapperà ogni blocco in un unico blocco a 64 bit. Altrimenti, se, dati due blocchi in input mappati verso stesso blocco di output, allora la decrittazione per recuperare il plaintext originale sarebbe impossibile, poiché ci sarebbe un singolo blocco di output, che corrisponde a più blocchi di input: si creerebbe un'ambiguità.

Con possibili input, quante differenti mappature ci sono che generano una permutazione dei blocchi di input? D'altra parte, DES definisce una mappatura per ogni chiave diversa, essendo una chiave lunga 56 bit, significa che ci sono: Dato che il numero di mappature possibili ottenute con due applicazioni di DES con chiavi diverse () è molto più grande del numero di mappature definite da una singola applicazione di DES, è ragionevole supporre che utilizzando DES due volte, con chiavi diverse, si otterrà una delle molte mappature che non possono essere ottenute con una singola applicazione. Ci furono molte prove a sostegno di questa ipotesi, ma la dimostrazione matematica è stata fornita solo nel 1992.

Un contraccolpo all'attacco meet-in-the-middle è dato dall'utilizzo di tre stadi di cifratura con tre chiavi diverse. Questo approccio applicato a DES origina un algoritmo di cifratura noto come 3DES o triple-DES (TDES). Ci sono due versioni di 3DES:

• una utilizza due chiavi
• l'altra ne utilizza tre

L'algoritmo ha la seguente forma, nota come EDE: Encryption-Decription-Encryption.
Ovvero per effettuare il 3DES viene applicata una cifratura, una decifratura e un'altra cifratura. Questa scelta non porta nessun vantaggio crittografico, il motivo per cui viene utilizzata è per rendere i messaggi scambiati con 3DES compatibili con DES semplice.

In 3DES con due chiavi, avremmo che vengono utilizzate due solo due chiavi. Nel caso in cui si dovesse decifrare un messaggio con DES semplice, basterebbe applicare il procedimento con due chiavi identiche per decifrare.

Questo algoritmo (3DES con due chiavi) è abbastanza popolare e non sono noti attacchi di forza bruta o di crittoanalisi.

Un cifrario a blocchi prende un blocco con una lunghezza fissata di b bit e una chiave in input e produce un blocco di b bit di ciphertext. Se la quantità di testo in chiaro da cifrare è maggiore di b bit, allora la cifratura a blocchi può ancora essere utilizzata dividendo il testo in chiaro in blocchi di b bit. Quando più blocchi di plaintext sono cifrati usando la stessa chiave, diversi problemi di sicurezza si palesano. Per utilizzare un cifrario a blocchi su diverse applicazioni sono stati definiti cinque modalità di funzionamento dal NIST (National Istitute of Standards and Technology).
In breve, una modalità di funzionamento è una tecnica per migliorare l'effetto di un algoritmo di cifratura o per adattarlo ad un'applicazione. Le cinque modalità di funzionamento coprono una vasta gamma di applicazioni in cui un cifrario a blocchi può essere utilizzato per crittografare i dati.

Ecco le modalità in tabella:

La modalità più semplice è l'electronic codebook (ECB) in cui il plaintext è gestito un blocco alla volta e ogni blocco di plaintext è crittato usando la stessa chiave. Per un plaintext più lungo di b bit la procedura prevede di dividere il plaintext in più blocchi, aggiungendo del padding (bit posti a 0) se necessario. La decrittazione è applicata in maniera inversa, un blocco alla volta, usando la stessa chiave.

Di seguito nella figura, è schematizzato il funzionamento di ECB.

Per messaggi lunghi ECB potrebbe essere non sicuro. Poiché se, per esempio, è noto che i messaggi scambiati iniziano sempre con la stessa espressione, si lascia spazio alla crittoanalisi.

Per superare le difficoltà di ECB, vorremmo una tecnica in cui lo stesso blocco di plaintext, se ripetuto, produca differenti blocchi cifrati. Un metodo semplice per soddisfare questa caratteristica è CBC. In questo schema, l'input all'algoritmo di cifratura è lo XOR tra il blocco di testo in chiaro corrente e il blocco di testo cifrato precedente. Viene utilizzata la stessa chiave per ogni blocco.
Anche CBC richiede che vi sia, eventualmente, del padding per l'ultimo blocco.

Di seguito nella figura, è schematizzato il funzionamento di CBC.

Si noti che per decifrare, ogni blocco cifrato è passato all'algoritmo di decifratura (usando la chiave). Il risultato ottenuto è messo in XOR con il precedente blocco cifrato per produrre il blocco in chiaro.

Questa modalità non presenta i problemi di ECB e risulta essere la modalità di cifratura più utilizzata per un cifrario a blocchi. Nell'immagine appare il simbolo che rappresenta un vettore di inizializzazione (Initialization Vector) lungo quanto il blocco. è noto ad entrambi gli estremi della comunicazione, ma è (e deve essere) impredicibile da terze parti.

Per qualsiasi cifrario a blocchi, la cifratura viene applicata a blocchi di b bit. Nel caso di DES, b = 64 bit nel caso di AES, b = 128 bit. È sempre possibile far comportare un cifrario a blocchi come un cifrario a flusso (stream cipher) utilizzando una delle seguenti modalità: cipher feedback, output feedback, counter (che non tratteremo).

Una proprietà interessante che un cifrario a flusso deve avere è che il testo cifrato deve essere della stessa lunghezza del testo in chiaro. Se vengono trasmessi caratteri a 8 bit, ogni carattere crittato deve avere una lunghezza di 8 bit.

La figura mostra lo schema per la cifratura di CFB.

Nella figura si assume che l'unità di trasmissione sia di s bit, un valore comune per s è 8 bit.
Come in CBC, le unità di plaintext sono incatenata tra di loro, in modo che il ciphertext prodotto sia funzione dei precedenti ciphertext. In questo caso invece di blocchi di b bit, il plaintext è diviso in segmenti di s bit.
L'input per la cifratura è un registro a scorrimento di b bit che è inizialmente impostato a qualche vettore di inizializzazione (). Gli s bit più a sinistra dell'output della funzione di cifratura sono messi in XOR con i primi segmenti del plaintext per produrre la prima unità di testo cifrato , che viene trasmessa. Il vettore viene shiftato di s bit, e viene posizionato negli s bit più a destra in . Questo processo continua fino a che tutti le unità di testo in chiaro non vengono cifrate.

Per la decifratura è utilizzato lo stesso schema, eccetto che l'unità di ciphertext ricevuto è messa in XOR con l'output della funzione di cifratura per produrre l'unità di plaintext. Si noti che è usata la funzione di cifratura e non di decifratura.

La modalità Output Feedback (OFB) è simile nella struttura a CFB. Per OFB, l'output della cifratura viene restituito per diventare l'input necessario alla cifratura del successivo blocco di plaintext. In CFB, l'output dello XOR è restituito per diventare l'input per la cifratura del blocco successivo. Un'altra differenza è che OFB opera su tutti i blocchi di plaintext e ciphertext, mentre CFB opera su segmenti di dimensioni di s bit.

La figura riassume lo schema di funzionamento di OFB.