四重 DES 與 AES-128 安全性

我遇到了這個問題，關於 CBC 加密模式下四重 DES（假設 DES 完成四次）的安全性與 CBC 加密模式下 AES-128 的安全性。哪些參數有助於確定安全性，假設 4 個不同的密鑰（或其他情況下使用 k1、k2、k3、k1），因此密鑰長度將為 224 位（3DES 提供 100 位安全級別），而 AES 為 128 位。

在某些應用中，4DES 安全性的一個嚴重限制因素是其 64 位塊大小。在常見的操作模式中，這將安全性限制在對於當今許多應用程序來說不足的數據大小。它使 4DES 的安全性遠低於 AES-128。

例如，假設 VPN 在 CBC 模式下使用固定密鑰。假設攻擊者註入已知流量，該流量由一個已知的重複字節組成，該字節代表 64 GiB 參考密文的有效載荷的 99.9%，然後獲得另外 64 GiB 的實際密文。很有可能在其中之一之間至少有一個匹配 $ 2^{33} $ 塊（8字節）的參考流量和 $ 2^{33} $ 實際流量的塊。並且任何這樣的匹配塊都可以以> 99％的機率正確破譯。

如果我們最多想要剩餘風險 $ \epsilon $ 這種攻擊成功了，我們需要將相同密鑰的流量限制在大約 $ 2^{36},\sqrt\epsilon $ 字節。對於百萬分之一的剩餘風險，大約是 64 MiB，以現代標準衡量並不多。

雖然具有非重疊計數器的 DES-CTR 比 DES-CBC 更不容易受到這種攻擊，但這種模式是不尋常的、不切實際的，並且仍然容易受到類似數據大小門檻值的區分攻擊。

引用自：https://crypto.stackexchange.com/questions/82110