儲存加密系統是否關心數據的大小？

我正在研究偽隨機函式及其作為加密函式的用途。我讀到的其中一件事是“生日綁定”或“生日攻擊”。

當加密用於磁碟加密之類的東西時，被加密的數據量可能非常大，並且隨著時間的推移會大到足以發起生日攻擊。儲存加密系統是否關心它？還是沒什麼大不了的？還是我對數據大小的假設是一個問題，錯了？

加密算法規範通常會指定應使用相同密鑰加密多少數據的硬限制。例如，考慮專門為全盤加密設計的 AES-XTS 加密算法：

• IEEE 規范建議使用單個密鑰加密的“數據單元”（例如，磁碟扇區或塊）的長度不應超過 $ 2^{20} $ AES 塊。
• NIST 建議將此升級為硬性要求。

由於每個 AES 塊是 16 個字節，並且 $ 2^{20} $ 字節為 1 MiB，這是 16 MiB 的限制（ $ 2^{24} $ 字節）每個數據單元。你需要 $ 2^{44} $ 這樣的數據單元命中 $ 2^{64} $ - 阻止生日綁定，但 1 TiB ( $ 2^{40} $ 字節）只是 $ 2^{40} \div 2^{24} = 2^{16} $ 16 GiB 最大數據單元大小的倍數。因此，磁碟似乎還不足以達到這個限制。

但請注意，此限制是針對每個加密密鑰的。如果您使用多個加密密鑰，那麼您可以重置您使用的每個密鑰的限制。為每個磁碟捲使用單獨的密鑰已經很常見，並且一些文件系統（例如，Apple 的 APFS）已經支持每個文件的加密密鑰。

引用自：https://crypto.stackexchange.com/questions/55874