Оценим минимальную битовую длину ключа, необходимую для обеспечения криптостойкости, то есть защиты криптосистемы от атаки полным перебором всех возможных секретных ключей. Сделаем такие предположения:
одно ядро процессора выполняет $R = 10^7 \approx 2^{23}$ шифрований и расшифрований в секунду;
вычислительная сеть состоит из $n = 10^3 \approx 2^{10}$ узлов;
в каждом узле имеется $C = 16 = 2^4$ ядер процессора;
нужно обеспечить защиту данных на $Y = 100$ лет, то есть на $S \approx 2^{32}$ с;
выполняется закон Мура об удвоении вычислительной производительности на единицу стоимости каждые 2 года, то есть производительность вырастет в $M = 2^{Y/2} \approx 2^{50}$ раз.
Число попыток $N$ при переборе примерно равно
$$ N \approx R \cdot n \cdot C \cdot S \cdot M, $$
Следовательно, минимально допустимая длина ключа для защиты от атаки перебором на 100 лет составляет порядка
$$ \log_2 N \approx 119\text{ бит}. $$
Примером успешной атаки перебором может служить взлом перебором секретных ключей интернет-сетью из 78000 частных компьютеров, производивших фоновые вычисления по проекту DesChal, предыдущего американского стандарта шифрования DES с 56-битовым секретным ключом в 1997 году.