Acest lucru va depinde de programul cheie al designului, dar de obicei sunt algoritmi de extindere relativ simpli.În special, cheile rotunde inițiale sunt adesea biții efectivi ai criptovariabilei și, prin urmare, recuperarea cheii rotunde inițiale recuperează primii biți ai criptovariabilei (biți suplimentari ai criptovariabilei pot fi apoi ghiciți exhaustiv cu mai puțină muncă decât ghicirea întregii criptovariabile). De asemenea, este obișnuit ca programările cheilor să fie inversabile (astfel încât cheia rotundă anterioară să poată fi calculată din cheia rotundă curentă - acest lucru permite implementarea eficientă a decriptării în memoria mică). Aceasta înseamnă că, dacă recuperăm toată ultima cheie de rundă, de obicei putem inversa programarea cheilor pentru a obține penultima cheie de rundă, antepenultima cheie de rundă și așa mai departe, înapoi la cheia de rundă inițială (care este adesea variabila cripto). în sine). Chiar dacă dimensiunea criptovariabilei este mai mare decât cheia rotundă recuperată, biții suplimentari pot fi de obicei recuperați exhaustiv cu mai puțină muncă decât epuizarea completă.
Toate cele de mai sus depind de alegerea programului cheie de către proiectant, dar se aplică modelelor majore, cum ar fi AES, DES, Serpent și Twofish.
