Eine Attacke auf 3DES mit dieser Methode bräuchte nach heutigen Erkenntnissen eine Milliarde GB Speicherplatz, auf den man schnell zugreifen kann. Obschon der Angriff im Vergleich zu anderen Schlüsseln "einfach" ist, sind die Anforderungen immer noch gigantisch, aber eben bei weitem nicht so gigantisch, wie man es von modernen Blockciphern (wie AES, Twofish etc.) vermutet.

Vielleicht wissen die Mitarbeiter des NSA ja mehr und können 3DES schneller angreifen (oder haben enorme Ressourcen), die zivile Welt hat ja auch erst rund zwanzig Jahre hinter dem NSA die Gründe für das Design von DES herausgefunden.

Sie heben lediglich Verbesserungsvorschlaege gemacht (die Konstanten in der Formel ueberarbeitet). Entwickelt wurde das Teil ausserhalb der NSA. Und man weiss heute dass diese Vorschlaege bessere Sicherheit brachten gegen gewisse Angriffsformen (differenzielle Kryptoanalyse), die damals den Akademikern unbekannt waren

die die Schlüssellänge auf 54 Bit begrenzt hat

Erstmals sind es 56bit. Und das war von den original Designern schon so vorgesehen. Das war mit dazumaliger (1960er, Transistormodule, Hybridschaltungen oder SSI TTL ICs) Rechner Technologie (und damaligen Vorhersagen, Mikroprozessor unbekannt!) auch auf lange Zeit hinaus genug, um brute force Attacken zu verhindern. Und das waren menschlich-merkbare 8 Charakter (nix Passphrase und SHA bilden) a 7 bit, damit man Schluessel eintippen konnte, keine Schluesselfiles noetig die man verlieren kann.

schon damals im Stande DES zu knacken ... anscheinend heute sind mit 3DES. darum verwendet man blowfish!

Und auch heute mit Blowfisch oder IDES oder was auch immer. Die spezial-Chip Hardware zum einen 128bit Schluessel brute forcen ist nur eine (grosse) Geldfrage. Kostet halt in der Benutzung ein paar Millionen pro Schluessel (immer noch weniger als ein paar tote Soldaten) und lohnt sich erst bei 1000en zu knackenden Schluesseln. Aber das duerfte der NSA ziemlich egal sein.

Ach, du glaubst deine Kommunikation sei der NSA ein paar Millionen wert? Dann verwende das einzige 100% nicht knackbare Verfahren: one time pad. Das heisst XOR deiner Daten mit einer gleich grossen, nie wieder benutzen (am besten vorzu loeschen), Serie von zufaelligen Bits. Die hast du per radioaktivitaetsbasiertem Zufallszahlen Generator erzeugt (damit sie nicht schwach sind), und per CD-R(W) im vornherein dem Empfaenger uebergeben hast. Pro Mail wird ein Teil der CD "verbraucht" (daher -RW zum die gleich loeschen). Wirklich sichere Daten werden auf die Art uebermittelt.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today

256-Bit AES oder auch Twofish mit Brute Force zu knacken, ist keine Geldfrage, das kann selbst die NSA mit allem, was technisch heutzutage vorstellbar ist vergessen, es sei denn, sie hätte Zugriff auf völlig neuartige Technologien. 2^256 sind immerhin über 10^77. Selbst wenn die NSA zig Milliarden Schlüssel pro Sekunde durchprobieren kann, das kann sie vergessen. Wenn ein Angriff überhaupt möglich ist, dann auf die Struktur von AES, Twofish o.ä., kaum mit Brute Force.