OFB и проблемы безопасности

Анализ режима OFB [588, 430, 431, 789] показывает, что OFB стоит использовать только, когда размер обратной связи совпадает с размером блока. Например, 64-битовый алгоритм нужно использовать только в 64-битовом режиме OFB. Несмотря на то, что правительство США разрешает для DES и другие размеры обратных связей DES [1143], избегайте их.

Режим OFB выполняет XOR над потоком ключей и текстом. Этот поток ключей со временем повторяется. Важно, чтобы он не повторялся для того же ключа, в противном случае нарушается безопасность. Когда размер обратной связи равен размеру блока, блочный шифр переставляет m-битовые значения (где m - это размер блока), и средняя длина цикла составляет 2m -1. При длине блока 64 бита это очень большое число. Когда размер обратной связи n меньше длины блока, средняя длина цикла падает до приблизительно 2m/2. Для 64-битного шифра это только 232 - что явно недостаточно.