512/N 位密鑰 AES

我正在從頭開始實施高級加密標準，但我提出了一個我無法回答的問題。

為什麼沒有人使用其他尺寸實現 AES？

我已經對此進行了搜尋，有些人說這只是因為它不在標準中（這是可以理解的），但其他人說從未證明其他數字（例如 512）曾經經過加密驗證。

就個人而言，後一個對我來說沒有意義，因為密鑰大小唯一改變的是一些值，而不是算法本身。這真的是一種可能性/擔憂嗎？

原始的 Rijndael 密碼NIST 送出具有更靈活的塊長度和密鑰長度。一旦它成為AES，這些就會受到限制。

從未證明其他數字（例如 512）曾經經過加密驗證

不確定你在上面說什麼。

但是，塊長度、密鑰長度、輪數之間存在依賴關係。

如果您有更長的密鑰，則需要更多輪次才能將熵“混合”到輪次密鑰中。

長於 128 位的塊會減慢速度，而且沒有明顯的安全優勢。

除了 128 位之外，192 位和 256 位密鑰是一種選擇的原因之一是為了避免某些操作模式的生日悖論類型攻擊（強度為 128 位）。

**編輯：**我沒有提到的一點是量子攻擊的影響，它不像 Shor 對抗 RSA 那樣具有破壞性（例如），因為改進只是多項式的。然而，由於我們不在漸近狀態，Grover 搜尋基本上將您的有效密鑰長度減半。使用 256 塊 GCM 模式也會更好。謝謝@poncho 和@kelalaka

引用自：https://crypto.stackexchange.com/questions/102074