在 OPP 中使用 4 輪 Blake2b 排列是否合理？

MEM-AEAD 結構在遮罩的 Even-Mansour 模式中使用 4 輪 Blake2b 置換作為（可調整的）分組密碼。

據我所知，4 輪 Blake2b 排列已經被破解。為什麼設計師的選擇是合理的？

4輪Blake2b在復雜度上基本上相當於8輪ChaCha（Blake2輪接近ChaCha雙輪），並且尚未被打破。就像 Richie Frame 在評論中所寫的那樣，NORX 也聲稱可以在 4 輪 Blake2 中逃脫。

密碼少得可憐的一個原因是，在散列函式中，所有輸入都是已知的，並且（常量除外）都在攻擊者的控制之下。在密碼中，密鑰是秘密的，除非您考慮到相關密鑰攻擊等，否則不受攻擊者的控制。

引用自：https://crypto.stackexchange.com/questions/34917