В симметричной криптографии то, что вы описали, может произойти, по крайней мере, теоретически. Это называется атакой Consistent Key Recovery, в отличие от более распространенной атаки Target Key Recovery. Восстановление согласованного ключа — это когда злоумышленник находит ключ, который согласуется с любой парой ввода-вывода. Восстановление целевого ключа — это когда злоумышленник находит фактический ключ (который будет соответствовать всем парам ввода-вывода). Если злоумышленник проводит атаку с исчерпывающим поиском ключа, он, скорее всего, встретит согласованный ключ (который будет работать для одного или нескольких запросов) до того, как он встретит фактический ключ (который будет работать для всех запросов).
Вопрос заключался в том, насколько велик разрыв между преимуществом нахождения последовательного ключа и преимуществом в нахождении целевого ключа. Я нашел одну лекцию Белларе, в которой говорится об этой проблеме (но ничего в письменном виде). В этой лекции Белларе упоминает, что пробела почти нет (то есть почти такое же преимущество), если блочный шифр является настоящим блочным шифром (например, AES). Он сказал, что такой вывод основан на эвристических или эмпирических данных. Если преимущества почти одинаковы, это означает, что целевой ключ является ЕДИНСТВЕННЫМ ключом, совместимым с запросами ввода-вывода. Но теоретически непротиворечивый ключ (отличный от целевого ключа) возможен и может быть восстановлен задолго до восстановления целевого ключа. Вы можете посмотреть весь лекция поскольку я уверен, что Белларе может объяснить это НАМНОГО лучше, чем я.