Есть несколько причин.
Прежде всего, представление о том, что относительная сила различных методов атаки на шифр зависит только от логической структуры, а не от размера блока и ключа (по крайней мере, в тех случаях, когда они не зависят от структуры), является лишь грубой эвристикой.
В самом деле, представьте себе в качестве тривиального контрпримера шифр, в котором размер ключа является переменным, а подключи генерируются из главного ключа с помощью псевдослучайной функции. При достаточно малом размере ключа наш шифр легко станет формально «защищенным» от всех атак (но совершенно небезопасным с практической точки зрения), потому что стоимость перебора буквально экспоненциально падает с размером ключа. Если шифр хорошо спроектирован, то при достаточном количестве раундов он будет защищен от всех стандартных атак для некоторого диапазона размеров ключей. Но если мы достаточно увеличим размер ключа, он снова станет формально уязвимым для атаки типа «встреча посередине», потому что теперь перебор методом перебора обходится дороже атаки типа «встреча посередине» (хотя, конечно, можно было бы просто заявить, что меньше безопасности, чем размер мастер-ключа в этом случае).
Во-вторых, трудно определить, что Лучший атака на шифр на самом деле существует, и эта сложность имеет тенденцию увеличиваться с размером шифра. Большая часть литературы по криптографическим атакам использует упрощенную модель затрат, в которой доступ к памяти очень дешев и не зависит от объема памяти, необходимого для атаки. Кроме того, часто неясно, какова будет истинная стоимость атаки методом перебора и Лучший атаками в литературе принято считать те, которые сломать наибольшее количество раундов по оценочной стоимости, которая чуть меньше той, что, по мнению автора, будет стоить поиск ключа методом грубой силы.Все эти эффекты вместе, вероятно, приводят к нетривиальному проценту опубликованных атак, которые на самом деле обходятся дороже, чем поиск ключа методом полного перебора, а это означает, что существует некоторая случайность в определении того, какая атака является атакой. Лучший. Это верно для любого размера блока/ключа, но, вероятно, более выражено для более крупных, поскольку обозреватели не могут требовать, чтобы атака была продемонстрирована практически в полном объеме.
В-третьих, некоторые атаки легче исследовать для небольших размеров блоков и ключей, чем для больших; это означает, что некоторые атаки, которые, как известно, работают для небольших вариантов блочного шифра, вполне могут иметь столь же эффективный аналог для более крупной версии, но мы еще не нашли его.
Однако наиболее важной причиной, на мой взгляд, является первая из упомянутых: изучение небольших версий шифра может дать нам некоторые подсказки о хороших направлениях атаки против более крупных версий, но это всего лишь полезная эвристика, а не закон логики. природа.
