是否有任何令人信服或合乎邏輯的理由使用 AES-192 而不是 AES-128 但不使用 AES-256?
我一直試圖找到一個使用 AES-192 而不是 AES-128 但不使用 AES-256 的情況。這裡有很多關於 AES 的問題(我喜歡這個AES-128/192/256),但從實際應用程序方面來看,我無法確定在 AES-128 上使用 AES-192 的任何情況。
AES-192 似乎存在是因為需要安全級別,但硬體實現似乎是 AES-128 或 AES-256。我對 IEEE 進行了文獻調查,在硬體空間中找不到任何使用 AES-192 而不是 AES-256 的應用程序,在軟體空間中也找不到任何東西,但我沒有深入研究具體的實現.
是否有任何令人信服或合乎邏輯的理由使用 AES-192 而不是 AES-128 但不使用 AES-256?
也許你甚至可以給我舉個例子——意思是:在某些應用程序或實現中使用 AES-192 而不是 AES-128 而不是 AES-256?
如果您可以訪問 AES-256(或 AES-128),則沒有理由使用 AES-192。
這個問題完全符合以下執行緒:
$$ Cfrg $$TLS 中的 AES-192 有一點空間嗎?這導致了這個有點結論:
親愛的大家,
從學術角度來看,針對 AES 的相關密鑰攻擊很有趣,因為它們打破了我們為 Rijndael 提出的安全聲明。
然而,這些攻擊需要攻擊者對密鑰進行非常複雜的操作。例如,即使是允許攻擊者在用於 AES 之前將她選擇的值添加(或 XOR)到密鑰的協議也不允許發起攻擊。如果您有興趣,可以閱讀文森特和我寫的論文“關於針對 AES 的相關密鑰攻擊”,例如http://jda.noekeon.org/
至於在 TLS 中包含 AES-192,我沒有看到任何好處。
親切的問候,
瓊·戴門
TL;DR:總結一下,AES-192 的唯一真正優勢是與 AES-256 相比,速度提升微不足道。