Анализ режима OFB [588, 430, 431, 789] показывает, что OFB стоит использовать только, когда размер обратной связи совпадает с размером блока. Например, 64-битовый алгоритм нужно использовать только в 64-битовом режиме OFB. Несмотря на то, что правительство США разрешает для DES и другие размеры обратных
связей DES [1143], избегайте их.
Режим OFB выполняет XOR над потоком ключей и текстом. Этот поток ключей со временем повторяется. Важно, чтобы он не повторялся для того же ключа, в противном случае нарушается безопасность . Когда размер обратной связи равен размеру блока, блочный шифр переставляет от-битовые значения (где т - это размер блока), и средняя длина цикла составляет 2™ -1. При длине блока 64 бита это очень большое число. Когда размер обратной связи п меньше длины блока, средняя длина цикла падает до приблизительно 2'"*. Для 64-битного шифра это только * - что явно недостаточно.