问为什么DES算法要使用16轮？

EN

我不知道具体为何选择数字16。然而，人们会猜测，在当时，密码分析将表明，根据性能权衡，16轮子弹提供了“足够”的安全性。也就是说，你的“更安全”的说法是正确的。

记住，更少的子弹意味着它更容易蛮力，因为它需要更少的时间和更便宜的扩展管道的专用硬件。另一方面，更多的子弹确实会增加破解的难度，但在计算上却更加昂贵。这意味着(尤其是在那些年代，请记住DES可以追溯到20世纪70年代)，它更昂贵/更耗时--这意味着“好人”(那些知道密码并合法使用密码的人)也是如此。

因此，在性能和安全性之间找到“正确的平衡”总是很重要的。最常见的指导方针是“当密码文本被破解时，加密信息的价值已经下降到无关紧要的程度”。也就是说，由于越来越多的可用计算能力和不断减少的成本，加密永远不会保护数据，但它的设计应该足够长。

您必须询问设计人员，但是维基百科文章包含以下引用：

也有人提出了针对缩减版本的密码的攻击，也就是少于16轮的DES版本。这样的分析可以洞察到安全需要多少回合，以及完整版本保留了多少“安全保证金”。差分线性密码分析是Langford和Hellman于1994年提出的，并将差分和线性密码分析结合为一次攻击。增强版本的攻击可以突破9轮DES，选择215.8个明文，时间复杂度为229.2 (Biham等人，2002年)。

在我看来，16回合只是在安全和性能之间的一种权衡。

事实是，16是一个二的幂，也可以简化事物。