Каковы были бы недостатки очень больших размеров блоков в блочных шифрах?

Проблема заполнения: Если вы используете режим блочного шифрования, такой как CBC, то им нужно заполнение, и помните, что заполнение всегда применяется независимо от размера. Даже если размер $65536*к$ то требуется новый полный блок. Непонятно, как можно применить заполнение PKCS#7, так как он поддерживает блоки размером до 256 байт. Есть и другие простые отступы, такие как добавление 1 затем нули, затем кодирование размера заполнения.

В современной криптографии мы отказались от режимов заполнения, мы используем такие режимы, как AES-GCM, а режимы ChaCha20-Poly1305 — это режимы аутентификации без дополнений.

Количество раундов: Если мы рассмотрим Rijndael, который требует дополнительного раунда на 32 блока, аналогичный блочный шифр потребует 2048 раундов для достижения того же уровня безопасности (имейте в виду, что это действительно грубая оценка). Это создает задержку для первого вывода. ~ в 148 раз медленнее, чем первый выход AES-256. Хотя эта задержка может быть не важна для обмена сообщениями в Signal, есть места, где задержка не является предпочтительной.

Проблема с размером ключа: В SPN мы используем ключ x-or для округления значений. Если размер ключа меньше размера блока, это действительно проблема безопасности, которая может открыть новые возможности для линейных и дифференциальных атак. Следовательно, необходимо сгенерировать, обменяться передачами и сохранить ключ размером 65536 бит.

Проблема реализации: если оставить в стороне реализацию постоянного времени в программном обеспечении, в аппаратном обеспечении такого размера потребуется больше места для реализации. Это увеличит стоимость реализации и потребует большей мощности, чем блочные шифры меньшего размера.

Проблема с размером сообщения: для более коротких сообщений, чем размер блока, это очень распространено в базах данных, если используется режим CBC, это создаст проблему с размером. Да, в режиме на основе CTR это можно смягчить, однако на шифрование/дешифрование будет потрачено больше времени, чем на шифры с более коротким размером блока.

Постквант: Это не дает никаких преимуществ для постквантовой обработки, поскольку AES-256 уже защищен от оптимального алгоритма Гровера.

Нужны ли нам более 128-битные блочные шифры?

Да. Например, если бы AES был стандартизирован точно так же, как Rijndael, то случайные проблемы одноразового номера AES-GCM больше не будут для нас проблемой. Случайные одноразовые номера размером 256 будут защищены от коллизий под одним и тем же ключом.

Есть ли у нас более 256-битные блочные шифры?

Да, дружественный к процессору ChaCha20 с 512-битным выходом в режиме CTR. XChaCha20 имеет хорошую защиту от коллизий одноразовых номеров благодаря 192-битному размеру одноразовых номеров.