Не понял IEEE P1619/Draft16
В начале стандарта есть два предложения.
The number of 128-bit blocks in the data unit shall not exceed 2^128-2.
Это понятно, завязано на период 128-битного регистра. А вот следующее
The number of 128-bit blocks should not exceed 2^20 .
Что здесь имеется ввиду?
Может быть, речь о необходимости смены ключа после каждых 220 блоков?
После каждых 16 мегабайт? Вряд ли, да и в стандарте больше нигде об этом нет. В предыдушем LRW режиме маскирующее значение используется без таких ограничений, и слабостью это никто вроде не называл. Единственное осмысленное, что я могу предположить – в реальных системах число блоков на кластер (data unit в их терминологии) никогда не превосходит миллиона. Но немного странно встретить такую фразу в стандарте, да еще и без пояснений.