是否存在對 n 輪安全但在輪數增加時不安全的分組密碼？

普遍的看法是，增加分組密碼的輪數可以使其更安全。如果我們考慮線性和差分攻擊，這是完全正確的。

Tiny 加密算法支持這一理論。它有一個簡單的回合，並且在 32 回合後變得安全。甚至施奈爾等人。al 在他們的TwoFish 論文中支持這一理論。

然而，如果有足夠的輪次，即使是糟糕的輪次函式也可以變得安全。

甚至一些上一輪 AES 候選人也想要更高的一輪（32 輪）$$ Rijndael $$.

所有這些（以及更多）都支持這一理論：

$$ \text{More round is more secure.} $$

• 這種說法有任何證據嗎？或者
• 是否有人建立了一個安全的反例分組密碼 $ n $ 回合但不安全 $ n+m $ 回合？

雖然更多輪次通常會增加對攻擊的抵抗力（至少是已知的），但 Biham 和 Chen 表明82 輪 SHA-0 實際上比 80 輪 SHA-0 弱

$$ PDF $$. （將“較弱”理解為“更容易發現衝突”。而且，當您詢問分組密碼時，我們經常將雜湊函式視為容納內部分組密碼，所以我認為這仍然是一個合適的例子。）

引用自：https://crypto.stackexchange.com/questions/91929