Но в качестве более общей метрики (для пользовательского блочного шифра) может ли безопасность измеряться влиянием изменения бита на входе на каждый бит на выходе?
Банально нет. Если функция раунда блочного шифра линейна, то никакое количество раундов не усложнит его инвертирование.
Вы также не описали, говорите ли вы о путанице, диффузии или о том и другом.
Путаница определяет отношения между ключ и зашифрованный текст: каждый бит зашифрованного текста зависит от многих битов ключа, так что при изменении любого бита ключа изменится примерно 50% битов зашифрованного текста.
Диффузия определяет отношения между простой текст и зашифрованный текст: каждый бит в зашифрованном тексте зависит от многих битов открытого текста, так что если какой-либо бит открытого текста изменится, примерно 50% битов зашифрованного текста изменятся.
И то, и другое необходимо, но недостаточно для обеспечения безопасности. В сочетании с нелинейной функцией раунда вы можете получить достойный блочный шифр, но даже в этом случае возможна утечка информации, что приведет к небезопасности.
Кроме того, блочные шифры сами по себе в лучшем случае защищены IND-CPA (самая слабая форма безопасности), если только один блок зашифрован любым заданным ключом. Зашифрованное количество блоков означает, что любые два идентичных блока открытого текста будут иметь идентичный зашифрованный текст, что является нарушением неразличимости. Чтобы быть безопасным IND-CPA, требуется режим работы, такой как режим CTR (превращающий его в потоковый шифр) или режим CBC (цепочка блоков зашифрованного текста). Но даже это не является «безопасным», поскольку злоумышленник может изменить зашифрованный текст и заставить жертву расшифровать его, чтобы получить неверный открытый текст, поэтому для надлежащей безопасности IND-CCA3 необходим режим шифрования с проверкой подлинности. Это будет что-то вроде режима GCM, SIV, GCM-SIV или OCB. И даже это имеет некоторые оговорки, поскольку для таких режимов требуется «одноразовый номер» (число, используемое ОДИН РАЗ), которое устраняет (GCM, OCB) или снижает (GCM-SIV, SIV) безопасность при повторном использовании.