3DES的特例

3DES 使用 EDE，因為它向後兼容單個 DES，但請考慮以下情況 $ K_1 $ = $ K_2 $ = $ K_3 $ 哪個更安全 EDE 或 EEE。

電子電氣設備與 $ K_1 $ = $ K_2 $ = $ K_3 $ 與 EDE 相比，其不安全性明顯降低 $ K_1 $ = $ K_2 $ = $ K_3 $ ，因為前者有 48 輪，而後者減少到只有一個加密 E，因此 16 輪。兩個後果：

1. 這使得蠻力需要 3 倍以上的回合，因此增加了大約 $ \log_2(3)\approx 1.58 $ 針對蠻力的實際安全性（以位為單位的安全性隨著計算工作的 base-2 對數而增長）；然而，這仍然太低，甚至在 1999 年也是如此。蠻力是針對單個 DES 的典型攻擊，並且可以正常工作，包括具有 3 個相等密鑰的 EEE。
2. 這恢復了多達十幾個位的安全性，否則這些安全性可能會因 DES 的加密弱點而失去，超出其低密鑰大小。

關於第二點：假設 $ 2^{42.5} $ 已知的明文和盡可能多的 DES，Mitsuru Matsui 的DES Cipher 的線性密碼分析方法的實現（在EuroCrypt 1993 的程序中）以極好的機率打破 16 輪 DES，並且工作量比蠻力少千倍，但不是 48 輪（我沒有看到秩等於模 16 的子鍵相等可以有很大幫助）。

注意：16 輪單 DES 的線性密碼分析可能是 CTR 或 OFB模式下計算成本最低的攻擊；但在許多其他模式中，正如評論中指出的那樣， $ 2^{42.5} $ 已知明文本身允許恢復相當大一部分的其他明文，因此線性密碼分析是不切實際的。

引用自：https://crypto.stackexchange.com/questions/40438