TEA被认为是安全的吗？

#1 楼

是的，当密钥是随机的（密钥更改应为原子性且使用新的随机密钥）时，AFAIK原始TEA是安全的且通常情况下很好；
64位块大小无关紧要（例如，使用了ECB以外的其他操作模式，并且在更改了千兆字节的数据之前更改了密钥）；
相对的缓慢性不是阻碍因素；
侧通道不是问题，也不是得到照顾（这不是特别困难；特别是TEA本质上不受定时攻击的影响）。比$ 2 ^ {126} $加密的工作量要少得多（这是在已知等效密钥的情况下蛮力所必需的）。我所知道的最好结果是陈家哲，王美琴和巴特·普雷涅尔对轻量级块密码TEA，XTEA和HIGHT的不可能的差分密码分析（AfricaCrypt 2012）（免费更新论文的替代链接），该专利在64轮中获得了17轮成功

维克兰姆·安德姆（Vikram R. Andem）的论文（芝加哥大学，2003年）也得出结论，TEA是安全的，但这项工作有些过时了。


回答问题的原因是未使用TEA的原因：


TEA在DES之后出现了很多，这是标准的，并且是由权威机构推动的（最初是因为如果
3DES足够用于许多用途，而且最重要的是标准。
TEA紧随IDEA之后出现，在大多数CPU上速度更快。
>由David J. Wheeler和Roger M. Needham在TEA中提出的安全性要求。TEA是一种微小的加密算法（FSE 1994的成果），其中未提交（“希望它是安全的”），并且只有非常基本的理由。
TEA的定义不适合互操作性：八位位组字符串到键和数据的映射没有标准定义（如果我希望TEA测试向量为某些官方机构认可的八位位组字符串，我不知道在哪里看！DES是在这方面要好得多）。甚至连回合的数目也没有刻在石头上：文章说：“十六个循环就足够了，我们建议32个循环”；请注意，这句话推荐64轮！
TEA很快被证明在相关密钥攻击下易受攻击。当密钥是随机的但不是激发信心时，这不是问题（特别是因为那和原始文章中没有考虑过的等同的密钥）。

TEA之后不久就引入了XTEA修复相关密钥攻击； XTEA未达到其设计目标，需要更正XXTEA；后者失去了一些TEA的简单性，并且在用作128位分组密码时，在随机密钥下需要更多的回合才能获得等效的安全性；同样，XXTEA的宽块变体也被严重破坏（主要是因为它使用的回合太少了），请参阅Elias Yarrkov的XXTEA密码分析（2010）。
每个TEA密钥都有一个琐碎的等效密钥；通常这不是问题（当键是8个八位字节的字符串时，DES要糟糕得多）；但是令人惊讶的是，TEA的少数几个显着用途（作为原始XBOX中设计不佳的哈希中的构建块）之一正是由于这个原因而造成的。
上述4..8破坏了TEA的形象（决策） -制造商通常基于他们对安全性或专业性的看法，甚至基于他们认为客户对选择的看法，来选择密码！）； 5和7甚至使人对TEA实际上是什么感到困惑（如在最初的问题中链接到错误的算法，以及我在最初的回答中对轮数的错误所说明的那样。）
在硬件方面，由于TEA的轮次很多，因此它们将具有较高的延迟（因此在CBC，OFB和CFB模式下会很慢）。事实上（可能还有结果），当有DES，3DES和AES时，就没有TEA的硬件，包括许多现代CPU中的硬件。这通常会使TEA比竞争对手慢得多。
现在，已经过了64位密码。

注意：据我所知，最近对TEA的相关密钥攻击是布鲁斯（John Kelsey）提出的Schneier和David Wagner，3-WAY，Biham-DES，CAST，DES-X，NewDES，RC2和TEA的相关关键密码分析（ICICS 1997）；它声称仅用$ 2 ^ {23} $个选择的纯文本和单个相关的键查询就可以成功，但是这种方法非常不现实：相关的键交换了原始数据的一半，以及其他微小的变化。但是攻击只会变得更好，并且用于TEA的任何密钥实际上都应该是随机的。