Среди основных недостатков DES, существенно снижающих уровень его безопасности, можно выделить следующие:

- наличие слабых ключей, вызванное тем, что при генерации ключевой последовательности используются два регистра сдвига, которые работают независимо друг от друга. Примером слабого ключа может служить 1F1F1F1F 0E0E0E0E (с учетом битов контроля четности), В данном случае результатом генерации будут ключевые последовательности, одинаковые с исходным ключом во всех 16 раундах. Существуют также разновидности слабых ключей, которые дают при гене¬рации всего лишь две (четыре) ключевые последовательности. Для неполиораундовых схем DES характерно наличие связанных ключей (например, ключ, полученный из другого ключа посредством инверсии одного бита);

- небольшая длина ключа 56 бит (или 64 бита с контролем четности). На современном уровне развития микропроцессорных средств данная длина ключа не может обеспечивать должной защиты для некоторых типов информации. Применение тройного DES (Triple DES, схема его реализации приведена на рис. 1.12) не дает ощутимого результата, хотя в новой версии используются три разных ключа (Ki, K2, К3). Дело в том, что в конечном итоге работа с тремя ключами эквивалентна зашифрованию на другом ключе К4, то есть для любых Ki, K2, К3 найдется такой ключ К4, что:

EK3(DK2(EK1(P))) - EKi(P);