这些攻击是理论上的，除了极少数用途（如果有的话）之外，不太可能与所有用途有太大的实际相关性。不要让纸吓到你。这是一项有用的研究，研究人员会感兴趣，由一位著名且才华横溢的密码学家撰写，但在我看来，它不会威胁到 OCB 的实际使用。

Ferguson 所说的那种碰撞攻击需要在 OCB 下加密大约 2 个⁶⁸字节的数据（全部使用一个密钥），然后才可能发生。那是很多数据。没有一个典型的应用程序会在一个密钥下加密那么多数据。

你必须正确看待这些事情。如果这是您系统中最大的弱点，那么您在构建安全系统方面做得非常出色，令人难以置信。我怀疑我一生中是否见过一个安全系统，其中 OCB 是最薄弱的环节。在实践中，可用性问题、实施漏洞、错误配置等风险要大得多。用户更有可能选择错误的密码，或者陷入社会工程攻击，或者您的软件将具有 SQL 注入漏洞等。使用现代密码学，攻击者通常不会尝试破解密码；相反，他们绕过它。