是否有任何塊大小超過 128 位的加密方案

出於好奇，我問這個問題是否有任何塊長度超過 128 位的加密算法。我是密碼學的新手，我什麼都不知道。AES 128、192、256 都具有相同的 128 位塊長度。此外，如果答案是“否”，那麼擁有更大塊大小的可能挑戰是什麼。非常感謝您的幫助。

在設計中，較小的塊大小通常會導致更好的實現（儘管其程度可能因範例和指令集而異，例如 ARX 密碼）。也就是說，加密兩個 64 位塊將比加密一個 128 位塊（具有相同的密鑰大小和估計的安全性）更快。粗略地說，擴散和混淆發生得更快。

但是，64 位塊在具有生日綁定攻擊的模式下存在問題（請參閱https://sweet32.info/）。所以 128 位塊大小是最“最優”的選擇。

注意到OP 對 SO 的評論，我建議查看IANA以了解各種 Internet 協議使用的加密算法和密碼套件，註冊的 AEAD可能是一個好的開始。NIST 還有一個輕量級的密碼學項目，該項目將於 2020 年進行。

塊密碼依靠“操作模式”來提供實際功能的數據加密，並且大多數操作模式都是為 128 位塊設計的，因此很少有塊密碼更大的塊密碼。

另一方面，ChaCha 等流密碼和它的姐姐 Salsa 沒有這樣的限制，並且使用 512 位塊。如果要比較性能，RC4 可以作為基礎參考。

至於 NIST LWC 項目，有第一輪狀態的報告。

引用自：https://crypto.stackexchange.com/questions/82120