В термине S-блок присутствует двусмысленность относительно того, означает ли он общую справочную таблицу или, в частности, функцию биективной подстановки. Я видел оба варианта использования.
Если мы имеем в виду общую справочную таблицу, то есть примеры шифров, использующих в качестве записей 32-битные слова. Хороший пример МАРС который использует 512-длинную таблицу 32-битных значений.MARS был одним из финалистов AES и поэтому привлек внимание криптоаналитиков, но, насколько мне известно, не было обнаружено никаких значительных уязвимостей в системе безопасности. Если я правильно помню, MARS был не так эффективен, как AES.
Если мы имеем в виду функцию биективной подстановки, как комментирует @fgrieu, ограничения памяти означают, что большие таблицы поиска невозможны. Однако в недавнем конкурсе блочных шифров Китайской ассоциации криптографических исследований одна из заявок ВЕСНА аппаратно реализовал биективную 32-битную функцию как компонент блочного шифра, и этот компонент был описан как S-блок, несмотря на то, что он не был реализован как таблица поиска. Я не знаю, сколько анализов было сделано для SPRING, но я не знаю ни о каких неполных атаках. Что касается производительности, то авторы SPRING утверждают, что их конструкция особенно подходит для аппаратной реализации и дает конкурентоспособные временные данные.
Аргументом против больших S-блоков является то, что их труднее анализировать, чем типичные 4-битные и 8-битные S-блоки. Криптографы требуют, чтобы S-блоки обладали сильными нелинейными свойствами, чтобы противостоять линейному и разностному криптоанализу, и эти свойства можно было тщательно протестировать для заданного 4-битного или 8-битного S-блока (действительно Сааринен по существу исчерпал все возможные 4-битные S-блоки, чтобы найти те, которые обладают лучшими свойствами). Такое исчерпывающее тестирование очень дорого для больших S-блоков, а вычисления для нахождения хорошего большого S-блока могут быть непомерно высокими.
