Feistel 密碼是否受生日約束？

這篇論文似乎是在說，當對手有 $ 2^{0.5 \cdot n} $ 明文和密文塊對，其中 $ n $ 是以位為單位的塊大小。這是真的？

不，您需要關注論文中所述的假設。

據說您需要 6 輪或更多輪次才能獲得高安全性，以抵禦不超過 $ 2^{n} $ 具有真正隨機選擇的輪函式的經典（平衡）feistel 密碼的明文密文對。這當然是 feistel 密碼的理想化模型。

為了測試你對句子的理解，“在本文中，我們將證明 5 輪隨機 Feistel 方案在 m ≪ 2n 時可以抵抗所有 CPA-2 攻擊，而 6 輪隨機 Feistel 方案在 m ≪ 2n 時可以抵抗所有 CPCA-2 攻擊。” 是關鍵的陳述。

分組密碼的常見用途受限於生日限制，Feistel 密碼（即分組密碼）也不例外。但引用的論文與此無關。

接近時 $ 2^{0.5\cdot n} $ 塊，密文塊之間的衝突在CBC和CFB操作模式下變得合理，並且允許找到以下明文塊的 XOR（使用 $ m $ 塊，此類問題的機率小於 $ 2^{2m-n-1} $ ）。在CTR等其他模式下，如果之後我們沒有看到密文沖突 $ 2^{0.5\cdot n} $ 綁定，這表明明文不是很隨機，因此不太可能是壓縮影片而不是全零。這些至少是對已知明文 (CBC..) 或選擇明文 (CTR..) 的理論上的攻擊。這可以變成一些遠端實用的東西 $ n=64 $ .

這篇論文給出了關於大數據所需的 Feistel 輪數的漸近結果。 $ n $ 和理想輪函式，與各種攻擊模型下的理想分組密碼相比，忽略操作模式。關於本文的更多資訊，我參考了kodlu 的回答。

引用自：https://crypto.stackexchange.com/questions/54288