“開放密鑰模型”攻擊，為什麼會受到關注？

在一篇關於 Feistel 網路的論文中，我找到了這條線

我們沒有努力防範開放密鑰模型中的攻擊

然後我在 iarc.org 上找到了這篇關於這個主題的論文。我發現只有一個單一的引用作為 RC4 和 WEP 實現中的相關密鑰的實際問題。如果開放密鑰模型是相關密鑰的問題，那麼與 Feistel 網路相關的論文的作者為什麼要就“開放密鑰模型”發表聲明。特別是，由於與 Feistel 網路的所有工作以及它們經過驗證的高回合數安全性，我只是不明白他們為什麼需要包含此免責聲明。有什麼我想念的嗎？

一篇論文指出所提議的設計並非旨在防止相關的關鍵攻擊，這種情況並不少見。造成這種情況的一個原因是針對機密性的攻擊過於強大：如果攻擊者已經擁有密鑰，並且可以隨意加密和解密，那麼人們不得不想知道攻擊者如何/為什麼甚至會從攻擊中受益.

開放密鑰模型似乎更進一步​​，並假設對手甚至可能選擇了有問題的密鑰。

就機密性而言，防禦已知/選擇的密鑰攻擊似乎沒有什麼意義。這樣做可能需要更精細的設計，或者至少需要更多輪次，這將降低“正常”案例中的性能，以防止在實踐中似乎不太可能發生的邊緣情況。

至於為什麼一篇論文會明確提到這樣的事情：最好是看到“我們沒有嘗試防禦此類攻擊”，而不是甚至不提及此類攻擊的存在。如果作者拒絕提及相關的關鍵攻擊，則可以解釋為他們不知道它們，而不是不想防禦它們。

另一方面，有一個令人信服的理由來嘗試防禦已知/選擇的密鑰攻擊：如果要將密碼用作散列函式的組成部分，則已知/選擇的密鑰攻擊將成為相關的威脅模型。例如，在simon/speck 提案的第 9 頁上簡要提到了這一點。

引用自：https://crypto.stackexchange.com/questions/39457