FPE 限制和 FPE 範圍

您認為格式保留加密（FPE）方案相對於其他傳統分組密碼有什麼限制嗎？FPE 是否有廣泛的應用成為未來的研究領域？

您認為格式保留加密（FPE）方案相對於其他傳統分組密碼有什麼限制嗎？

實際上，可以將 FPE 方案視為傳統分組密碼的推廣。畢竟，傳統的分組密碼被固定為特定的分組大小；使用 FPE，我們可以使用我們認為方便的任何塊大小（例如，整個消息）。

FPE 是否有廣泛的應用成為未來的研究領域？

我相信是這樣。FPE 的一個優點（稍加調整；大多數 FPE 方案都允許這樣做）是很容易建構一個非常容忍誤用的 AEAD 方案：

• 要加密，你會收到消息 $ M $ , 並追加 $ k $ 零和 $ \ell $ 隨機位（或隨機數；解密器將恢復這些位，因此如果需要它們可以用作序列號）。使用 FPE 方案加密，使用 AAD 作為調整。
• 要解密，您可以使用 AAD 作為調整，使用 FPE 方案進行解密；解析結果，並檢查是否 $ k $ 零出現在最後。

很明顯，這是一個安全的 AAD 方案（假設 FPE 方案是安全的）。此外：

• 如果發件人使用不良隨機性 $ \ell $ 隨機位，它成為一種確定性方案，對手可以確定同一消息是否被發送了兩次，但無法確定除此之外的任何內容。
• 如果接收方忘記檢查 $ k $ 零，那麼這變成了一個完全亂碼的方案，對手可以將解密的消息更改為隨機的東西，但除此之外不能做任何事情。這與許多 AEAD 方案形成對比，在這些方案中，如果解密器忘記檢查標籤，則加密變得具有延展性（並且 AAD 基本上被忽略）。

那麼，如果這真是太棒了，那麼缺點是什麼？嗯，一個主要的問題是性能——目前的 FPE 方案很慢，所以沒有使用這種直接的設計。一個性能更好（但仍然安全）的 FPE 方案將使它更具吸引力。

另一個明顯的缺點是 FPE 不能以“一次性”方式實現（我們分段處理消息）；當我們需要處理大消息時，這很方便；但是很明顯，能夠進行容錯加密（其中缺少隨機數熵僅洩漏消息是否相同）與一次性加密不兼容，並且能夠進行容錯解密（忘記檢查完整性檢查只允許主動攻擊者隨機化明文）與一次性解密不兼容。

引用自：https://crypto.stackexchange.com/questions/94859