<div dir="ltr"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">I think you need to read their paper more carefully. They assume the<br>
enemy has oracles that give permutation output for any input & vice<br>
versa, and define the time T to break the cipher as the number of<br>
calls to those oracles required. This is roughly equivalent to<br>
assuming a broken block cipher and asking how many cipher iterations<br>
you need to find the whitening.<br>
<br>
What they prove is a lower bound; for an n-bit permutation, 2n bits of<br>
whitening and D known or chosen plaintexts, you have:<br>
<br>
      DT >= 2^n<br>
<br>
With  2^(n/2) chosen plaintexts, that only gives T > 2^(n/2) which is<br>
not necessarily secure.</blockquote><div> </div> I'm just saying, the bare minimum of security a block cipher is capable
 of is half of it's block size. Thus if one uses a 256-bit block cipher 
with a 128-bit key, it would never be "theoretically" broken.</div>