工作坊：政府試圖緩解公眾對 DES 的疑慮

由於 DES 引起了極高的關注以及日益激烈的爭議，國家標準局於 1976 年底舉辦了兩次工作坊，試圖緩和學術界中越來越激進的反對聲浪。來自業界與政府的二十名參與者於 1976 年 8 月 30 日至 31 日在國家標準局總部集會，其中包括國家標準局的 Dennis Branstad、Seymour Jeffery 以及 Dana Grub；而迪菲則從西海岸趕來參加。

為了確認進行密鑰窮舉攻擊的可行性，工作坊探討了建造一臺能在合理投資回報期內實現此攻擊之機器所需的技術進展速度。經過多位講者介紹構建 DES 破解機器所需各個組件預期的發展趨勢後，迪菲概述了他與赫爾曼的評估：一臺價值 2000 萬美元、能在 24 小時內定位 DES 密鑰，且每個密鑰成本約為 1 萬美元的機器是可以製造的。迪菲與赫爾曼預估，在未來十年內，由於計算成本不斷下降，每個密鑰的破解成本可降低至 50 美元。迪菲認為國家安全局有能力秘密地建造這樣一臺機器。而摩托羅拉的 Durrell Hillis 則指出，只有 RCA 能夠提供迪菲與赫爾曼所需並行處理 DES 破解機器中約 100 萬顆晶片，並且以如此大規模的生產能力來製造該機器，可能需要 1 至 2 年的時間，而這種大規模生產能力最早也要到 1981 年才有可能實現。

工作坊隨後分成兩組，一組負責推測設計、運算速度及建造一臺 DES 破解機所需的成本，另一組則專注於探討技術演進對構造此類機器能力的影響。對於密鑰長度的疑慮，並非所有與會者皆持相同看法；AT&T 的 Robert Morris 評論道：「我覺得密鑰長度並不像聽起來那麼糟糕。」與會者提出了多種不同的 DES 破解機架構方案，有的方案是改造現有超級電腦，有的則主張從零開始構建。大家一致評估認為，根據 Hellman 與 Diffie 的方案，一臺採用百萬晶片平行處理的 DES 破解機需耗費約 300 人年的工作量、造價約 7200 萬美元，且最早也只能在 1990 年完成——即便如此，該方案的實現可能性僅在 10% 至 20% 之間。Tuchman 則認為，建造一臺 DES 破解機所需的成本將比 2000 萬美元高出一個數量級。

隨後，焦點轉向了 S 盒。Tuchman 重申：「國家安全局曾要求 IBM 不得洩露這些原理。」Lexar 公司的 John Scantlin 表示：「我們對 S 盒隱藏後門的潛在可能性感到十分不安，隨著我們進一步分析，這種不安感越來越強。」Scantlin 也呼籲應對該演算法進行客觀評估，以確定其安全性。Morris 則評論道：「我對於大家不願討論 S 盒的設計感到震驚……這些資訊應該予以公開。」另一位與會者指出，儘管他在 S 盒中未發現明顯的弱點，但其結構卻與後門極為相似。更令人沮喪的是，有報導稱，一位匿名的 IBM 員工在被要求提供 S 盒安全性證據時回答道：「你必須相信我們，我們都是好童子軍。」在討論各種可能針對 DES 發起的攻擊手法時，Walter Tuchman 的耐心逐漸耗盡，他說道：「事實上，我們曾長時間嘗試過許多方法，直到最終大家都感到集體挫敗。我真希望你們也能夠一起努力，直到你們與我們一同感受到這種挫敗感，把這一切都釋放出來。」

儘管政府和 IBM 均積極介入，但迪菲與赫爾曼對 DES 的疑慮依然未能消除。