為什麼 Rijndael 是唯一具有可變輪數的密碼？

Rijndael 是唯一為其 128、192 和 256 位版本（分別為 10、12 和 14）定義不同輪數的 AES 候選者。其他的輪數是固定的（Serpent 為 32，Twofish 為 16 等），無論密鑰大小如何。這是為什麼？它可能反映了具有三個不同安全級別並傾向於“較低”安全級別的速度的意圖，但這仍然不能解釋為什麼只有Rijndael 這樣做而不是解決，比如 14 輪。

是否有一些 Rijndael 獨有的加密攻擊可以保證這一點？

其他的輪數是固定的（Serpent 為 32，Twofish 為 16 等），無論密鑰大小如何。這是為什麼？是否有一些 Rijndael 獨有的加密攻擊可以保證這一點？

在第二次 AES 會議上，Rijndael 團隊被問及這個設計決定。他們扭轉了局面，並指出較小的密鑰具有較低的安全級別（因此被視為中斷的門檻值較低）。畢竟，努力工作的攻擊 $ O(2^{180}) $ 將被視為對 256 位密鑰的中斷，但不是針對 128 位密鑰的中斷，因此對於 128 位密鑰，您可以通過更少的輪數來解決問題。相同類型的推理似乎適用於其他候選者（儘管 MARS 會稍微複雜一點，因為它在內部使用多種類型的回合）。

現在，Serpent 團隊回應說他們不想給任何人一個不使用 256 位密鑰的理由，因此他們不會考慮較短密鑰的更快版本。至於其他三支球隊（MARS、RC6、Twofish），他們似乎從來沒有想過。

引用自：https://crypto.stackexchange.com/questions/87569