Другие возможные проблемы процедуры расширения ключа

Существуют и другие потенциальные уязвимости, вносимые в алгоритм шифрования неудачно спроектированной процедурой расширения ключа:
нестойкость к атакам класса «встреча посередине, поскольку данные атаки эксплуатируют тот факт, что первая часть шифрующих преобразований атакуемого алгоритма использует иной набор битов ключа, нежели вторая часть;
слабые ключи— ключи, зашифровывание с использованием которых эквивалентно расшифровыванию, или обладающие другими характеристиками, существенно упрощающими вскрытие;
эквивалентные ключи — различные ключи, но дающие один и тот же результат зашифровывания на некоем подмножестве открытых текстов;
классы ключей— возникают, когда криптоаналитик может относительно легко определить подмножество ключевого множества, которому принадлежит искомый ключ, и, соответственно, уменьшить таким образом область полного перебора ключа.

По материалам книги Сергея Панасенко «Алгоритмы шифрования»

Алгоритмы шифрования