LINUX.ORG.RU
ФорумTalks

криптоманьяков тред (идеи, рассуждения)

 , , ,


2

1

Треба совет знающих и просто желающих пообщаться. Кастуйте всех, кто в теме.

Часть I. Истоки

В последнее время всплывают, одно за другим, сообщения о том, что то тут, то там, в общеиспользуемых криптоалгоритмах (реализациях) находят уязвимости (закладки). Возникает вопрос доверия даже опенсорсным, ибо я вот, например, не в силах проверить весь код (хотя бы критический) в них, а если и в силах, то не в желаниях, ибо времени жалко. Плюс, возникла мысль, что к общеизвестным алгоритмам (реализациям) уже давно понапилено эксплойтов и прочего кулхацкерского софта, и, что если я запилю свой собственный софт для шифрования (пусть и дырявый как сама дырка, но мой) то вероятность взлома сего шифра кулхацкером упадет в ноль, а от криптоаналитиков меня надежно охраняет неуловимый Джо. Итак, решено, пилим свой софт...

Часть II. Попытка

Как только я сел за работу, так через полчаса обнаружил что все — готово. (идея и работающий прототип: програмка на делфи с тремя кнопками — создать ключ, зашифровать файл, расшифровать файл) Сам был в шоке, но оно работало, и, как мне тогда казалось, с бесконечной криптостойкостью. Потом появился ряд мыслей, но оно уже — шлифовка, а не идея.

II 1 Генерация ключа

В делфи (как и везде в подлунном мире) бывает только генератор ПСЕВДОслучайных чисел, и, совершенно очевидно (даже мне), что оно для генерации ключа не годится. Мною было принято управленческое решение как реализовать случайность ключа:

- создаем массив в 64Кб (чтоб адресовался двухбайтовой переменной)

- заполняем его числами 0, 1, 2, .. , 255, 0, 1, ... то есть 256 раз последовательностью 0..255

- теперь перемешиваем: генерируем два псевдослучайных двухбайтовых целых числа и меняем в массиве, который только что заполняли, местами числа (восьмибитные) местами по этим адресам

- когда пользователю надоедает пырить в экран, он жмет кнопку «стоп» и в этом мой главный козырь, ибо момент, в который он нажмет на конопку, СЛУЧАЕН, а не псевдослучаен. На выходе мы заимели массив, в котором гарантированно по 256 раз встречается каждое целое число из диапазона 0..255. Сохраняем в файл.

II 2 шифрование файла

Файл, как знает каждый ЛОРовец, представляет из себя одномерный массив восьмибитных целых чисел (так принято). По моей мысли, алгоритм шифрования следующий:

- побайтно считываем исходный файл и для каждого байта выполняем «бесконечный» цикл:

- псевдослучайно выбираем двухбайтовый индекс и, если в ключ[индекс] == наш_байт — то записываем в выходной файл этот самый индекс и выходим из цикла

таким макаром мы получаем на выходе массив чисел, который и сохраняем в файлнейм.энкриптед (внимательный анон сразу же заметит, что шифрованный файл в два раза пожирнеет)

II 3 расшифровка

она очевидна: читаем по два байта шифрованного файла, используем их как адрес в ключе — получаем нешифрованный байт

III замечания и предложения

пока ехал домой с работы, возникла пара идей: криптоаналитик, предполагая содержимое криптограммы, может предполагать первые (и не только) несколько байт, которые часто одинаковые. И даже несмотря на то, что один и тот же байт раз от разу кодируется разной двухбайтовой последовательностью, он все равно получит нехилую подсказку для эвристического анализа, ибо лобовой полный перебор в случае с такой длиной ключа — бесполезен. От сией напасти спасет повторное кодирование (можно неоднократоное, если мьсе — параноик)

второе - можно генерировать несколько ключей, каждый по 64КБ и подировать каждую часть файла своим ключем (очень положительно скажется на скорости шифрования)

Естественно, приведенные мною цифры — не закон: ими можно лавировать. Я хочу обсудить лишь саму идею: каждый, кто осилил программирование за 10 кл, способен запилить свою криптосистему и, через это, на 100% обезопасить себя от кулхацкеров, при условии что неуловимый Джо будет присматривать.

ЗЫ в криптонауке я не просто нубас — я, сука, эталон нубаса

★★★★★

Ответ на: комментарий от pihter

Где я говорил про применимость в массовой практике?

Ну если применимость не важна, то уже сто с лишним лет есть одноразовые блокноты: расшифровать стороннему участнику их невозможно. Но это, вообще-то, основа основ, зачем из этого делать открытие?

Igron ★★★★★
()
Ответ на: комментарий от pihter

А теперь внимательно смотрим в ОП-пост и ищем там слова «сообщение», «ключ», «криптограмма» еще раз.

Есть только слово «ключ». Но применяют его сейчас все кому лень, и очень часто не по делу.

Igron ★★★★★
()
Ответ на: комментарий от pihter

да он с любой схемой безграничен

Ага, только с этой схемой он однозначно не навредит стойкости.

Там случайности всего 64 бита и то с оговорками.

Издеваешься или и правда не понимаешь, как заюзать rdtsc для этой цели?

в делфях

Точно издеваешься. Выкинь эту хреноту. Дедал 2.0.

border-radius
()
Ответ на: комментарий от Gregon

Совет номер 1 велосипедостроителям: никогда, никогда не придумывайте свой алгоритм шифрования.

Совет номер 1 вахтёрам: стена там →, йад тоже. Да, ТС - действительно эталон нубаса (хотя до того же дедала ему далеко) и придумал бредовую версию полиподстановки, но за этим он сюда и пришел, чтоб ему ткнули, в каком направлении копать. В мире, в котором правят корпорасты и копирасты, использовать забэкдоренные алгоритмы общего назначения - себя не уважать. Должна быть хоть какая-то импровизация. К тому же, армии мира до сих пор кое-где используют бумажные шифровальные блокноты, и никаких этих ваших AESов. Так что посмотрим, любому велосипеду найдётся применение, авось у этого нубаса что-то толковое получится.

border-radius
()
Ответ на: комментарий от pihter

Не путаю а ставлю в один ряд. Тем не менее это возможно, а стало быть — неизбежно.

Так делать не совсем правильно. Вот возьми алгоритм хеширования MD5. Ему уже сто лет в обед, но его так и не взломали. Нашли только возможность при определенных условиях несколько быстрее находить некоторые коллизии (при правильной фазе Луны). А еще он устарел, потому что компьютеры стали быстрее. Это постоянный процесс.

Так жить скучно :)

Увы, без хотя бы базовых знаний криптографии и сопутствующего матана сделать приличный шифр не выйдет. Оно всегда так, кто-то придумывает новый супер крутой шифр, думает что его невозможно взломать, а потом приходит дядя математик и за 5 минут на бумажке доказывает, что там три дырки и одна щель. Жизнь жестока, ага.

Gregon
()
Ответ на: комментарий от border-radius

Как показывает исторический опыт (после примерно 1900 года), еще никому не удалось придумать толковый шифр без знания соответствующего матана. Энтузиазм хорошо, но мало. Поэтому я и послал ТСа учить матчасть. Если не выучит, будет и дальше делать дырявые лисапеды с треугольными колесами, искренне не понимая, что с ними не так.

Gregon
()
Ответ на: комментарий от hibou

есть косяк. Он состоит в том, что сложность шифрования мало зависит от длины ключа.

Зависит: чем больше длина ключа, тем менее вероятно повтороне кодирование одного и того же байта одной и той же парой байт

Ну и еще к недостаткам метода можно отнести, что ключ придется как-то передавать

Это не метода недостаток, а симметричного шифрования в целом. Бывают случаи, когда это даже преимущество.

Сам алгоритм ломается статистикой

Так никто и не объяснил как. Особенно еслия двукратно буду шифровать. В таком случае статистикой ты не сможешь накопить ничерта

pihter ★★★★★
() автор топика
Ответ на: комментарий от Igron

Ну если применимость не важна, то уже сто с лишним лет есть одноразовые блокноты: расшифровать стороннему участнику их невозможно.

Я этого не знал. Можно еще раз отправить читать книги. Мысль ясна.

Но это, вообще-то, основа основ, зачем из этого делать открытие?

А я на открытие и не претендую. Просто решил обсудить идею велосипедного криптосроения.

pihter ★★★★★
() автор топика
Ответ на: комментарий от Igron

пока ехал домой с работы, возникла пара идей: криптоаналитик, предполагая содержимое криптограммы

криптограммы

Сообщение тоже есть но не в том значении, ладно, незачет мне :)

pihter ★★★★★
() автор топика
Ответ на: комментарий от border-radius

Ага, только с этой схемой он однозначно не навредит стойкости.

Это еще почему?

Там случайности всего 64 бита и то с оговорками.

Издеваешься или и правда не понимаешь, как заюзать rdtsc для этой цели?

Зачем мне над тобой издеваться, если я за советом пришел? Я — нормальный. Правда не понимаю.

в делфях

Точно издеваешься. Выкинь эту хреноту

Ничего дурного в делфях не вижу. Кроме прибитости гвоздями к виндам. Но сегодня это уже не актуально. Кроме того паскаль сильно лучше сей, IMHO. Хотя тут дело вкуса очевидно.

pihter ★★★★★
() автор топика
Ответ на: комментарий от border-radius

Да, ТС - действительно эталон нубаса

Пф...

но за этим он сюда и пришел, чтоб ему ткнули

Такое ощущение, что ты один в курсе

В мире, в котором правят корпорасты и копирасты, использовать забэкдоренные алгоритмы общего назначения - себя не уважать

не так критично, но!

К тому же, армии мира до сих пор кое-где используют бумажные шифровальные блокноты

Подтверждаю! Я их видел :)

авось у этого нубаса что-то толковое получится.

В этом направлении я ничего делать не собираюсь. Просто из любопытства потратил вечерок на тему, не более. Будет нужда — осилю книженку. Но уже сейчас понятно что что одноразовые ключи + XOR для симметричного шифрования — больше и не надо. Да и ассиметричное не проблема. Да и ключ сгенерировать тоже, нужно только настоящую случайность использовать, а не псевдослучайный генератор, только и всего. (настоящую случайность — тоже не проблема: наставил веб камеру высокого разрешения на муравейник — вот те и ТРУ случайность)

pihter ★★★★★
() автор топика
Ответ на: комментарий от Gregon

Вот возьми алгоритм хеширования MD5. Ему уже сто лет в обед, но его так и не взломали

Его невзламываемость не доказана, стало быть — возможно. Глупо это отрицать. История знает стопицот примеров решения задач, считавшихся невозможными к решению.

Увы, без хотя бы базовых знаний криптографии и сопутствующего матана сделать приличный шифр не выйдет

Че вы мне все этот тезис тыкаете? Где я утверждал обратное? Увы, без хотя бы базового прочтения ОП-поста и хотя бы попытки осознать главный тезис, пытаться опровергать его бесполезно.

Оно всегда так, кто-то придумывает новый супер крутой шифр, думает что его невозможно взломать, а потом приходит дядя математик и за 5 минут на бумажке доказывает, что там три дырки и одна щель

О мой Бог... А кто-то отвечает не на тот вопрос

pihter ★★★★★
() автор топика
Ответ на: комментарий от Gregon

Энтузиазм хорошо, но мало. Поэтому я и послал ТСа учить матчасть

а с чего ты взял, что ТС собрался велосипедить свой криптоалгоритм и его реализацию? Вот попробуй выделить мне основную идею моего поста, если не трудно

Если не выучит, будет и дальше делать дырявые лисапеды с треугольными колесами, искренне не понимая, что с ними не так.

Блджад :(

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

А я на открытие и не претендую. Просто решил обсудить идею велосипедного криптосроения.

Как говорил Суворов, практика без теории слепа, теория без практики мертва.

То, что ты навелосипедил криптовалку — это хорошо для общего развития, но все этим занимались в старших классах. Хотя если хранишь д#тское ##рево*, лучше использовать проверенный truecrypt.

Попробуй, как я уже говорил, сделать следующий шаг, сделай свою систему рабочей: постарайся передать мне сообщение по открытому каналу, чтоб его никто другой не смог прочесть, а я смог. И чтоб подделать нельзя было, и ответ тоже. Ты моментально наткнешься на такие вещи, о которых ты даже не задумывался: про передачу твоего ключа и его возможную компрометацию тебе уже говорили — и это только вершина айсберга, на самом деле все должно быть организовано много сложнее. Тут вспоминаем Суворова и теорию, которая с твоей голой практикой мгновенно ставит тебя на место. А дальше, если «читать книги», ты поймешь, что ничего нового на данном этапе ты придумать в этой области не сможешь (имеются в виду принципы, а не алгоритмы, порой очень сомнительные).

* датское варево, конечно же

Igron ★★★★★
()
Ответ на: комментарий от pihter

Это который по книге?

Это который «простой подстановочный»

Это специально. Простоты для. Тя надо с военными познакомить :)

Спасибо, знаком. Военные это те люди, которые даже OTP умудрились закосячить, потому что у них ключи, видите ли, слишком долго генерировались.

Ломается тупым статистическим анализом

Ожиданно. А если я зашифрую 2 раза? А если N раз?

Мало что изменится. Смотри. Подстановочный шифр это тот который делает обратимую подстановку K->X. При этом сохраняются статистические характеристики текста. То есть если ты видишь, что символ M это каждый пятый символ текста, то M — это пробел. При предложенной тобой рендомизации если группа символов {M1,...,M256} имеет примерно одинаковую вероятность, и группа встречается в качестве каждого пятого символа, то... Ну понятно. При повторном применении алгоритма у тебя разделение пойдёт на группы не по 256 элементов, а по 256*256 элементов, но при этом и размер сообщения увеличится в два раза, а скорость кодирования уменьшится в два раза. То есть попытки применить повторно и так чрезвычайно медленный и тяжелый алгоритм будут фатально увеличивать и объём данных и скорость работы (не вспоминая о том, что двукратное увеличение объёма так и так редко бывает приемлемым: сам посмотри, у тебя хард меньше чем на 50% занят?).

Читал я про RSA — не вижу чем он лучше. Укажешь — буду благодарен.

Почитай про ключевому слову key exchange protocol. А вообще, как я понимаю, RSA чаще всего используют для того чтобы в первом блоке сообщения передать секретный ключ для расшифровки криптостойким симметричным алгоритмом (типа DES) оставшейся части сообщения.

При этом на чисто симметричных задачах (без использования фишек вроде RSA) был предложен только один алгоритм обмена ключами: Merkle's Puzzles. И этот алгоритм не жизнеспособен.

kim-roader ★★
()
Ответ на: комментарий от pihter

Это еще почему?

Потому что упирается исключительно в стойкость хэш-функции, и это в наихудшем варианте (когда известен не только кусок шифротекста и соответствующий кусок открытого текста → известен кусок гаммы, но и известно, сколько именно итераций прошло до генерации этого куска гаммы). Вот тогда, уйму раз брутя хэш (который, например, можно взять какой-нибудь SHA512), можно как-то докопаться до ключа. В иных случаях - вообще амба.

Правда не понимаю.

Делаем много запросов rdtsc. Желательно в разных потоках. Берём с каждого запроса по два-три младших бита содержимого eax (если не ошибаюсь, он младший). Можно ещё какую-то фоновую нагрузку включить. После формирования достаточно длинной простыни считаем её хэш и получаем первый блок случайной последовательности. Естественно, это можно юзать в связке с показаниями датчиков, вводом юзера и т.п.

Ничего дурного в делфях не вижу. Кроме прибитости гвоздями к виндам. Но сегодня это уже не актуально.

Как это не актуально? Прибитость гвоздями к проприетарной недооси - верный признак УГ, и это всегда будет актуально.

Кроме того паскаль сильно лучше сей

ZOMFG, а вот теперь и я за бан.

border-radius
()
Ответ на: комментарий от pihter

про лазарус в курсе, но насколько мне известно он полудохлый. и слава богу. алсо, советую переходить на С++/Qt. Почему Qt — потому, что кроссплатформенный гуй + куча других плюшек. Конкуренты предлагают голый гуй. Кстати, Qt, по очевидным причинам, гораздо мощнее и удобнее дельфей. Почему С++ — да потому, что родная для Qt библиотка. Есть неплохие биндинги и к другим языкам, но именно неплохие — только именно к скриптанутым, что, сами понимаете, не есть хорошо.

Кстати, найти работу на С++ и Qt на удивление не так уж трудно, в отличие от.

next_time ★★★★★
()
Ответ на: комментарий от pihter

а в том, что в некоторых случаях корявый велосипед безопаснее промышленных алгоритмов.

существует мейнстримовый алгоритм куда проще и быстрее чем ваш. очевидно, закладок он не содержит. хорошо исследован на уязвимости. слабые места известны и легко закрываются: https://ru.wikipedia.org/wiki/Blowfish

next_time ★★★★★
()
Последнее исправление: next_time (всего исправлений: 1)
Ответ на: комментарий от Gregon

Знание соответствующего матана необходимо, но его часто недостаточно. Возьмём, к примеру, широко известный в узких кругах LFSR (у нас он ЛРР называется, у вас - РСЛОС). Математически безупречный блок для постройки очень быстрых ПСШ. А вот возьми и заюзай его сам по себе - ломается элементарно. В то же время всякие цезари/вижинеры/полиподстановки с самопальными усложнениями алгоритма/таблиц или дополнительной обфускацией велосипедятся с завидной регулярностью и без матана, и до сих пор находят применение в иных сферах, где компы вообще не попользовать.

P.S. Я вот сейчас думаю над алгоритмом эффективного шифрования SMSок. То есть хотя бы латиницу (можно даже без пробелов), но чтобы даже с Nokia 1100 можно было отправлять и для самого шифрования/расшифрования можно было обойтись простейшим калькулятором с той же 1100.

border-radius
()
Последнее исправление: border-radius (всего исправлений: 1)
Ответ на: комментарий от next_time

Давай я подумаю за тебя

жалко нет сайта «давай я поЛОРю за тебя»

Которая из этих уязвимостей связана с шифрованием?

Camel ★★★★★
()
Ответ на: Давай я подумаю за тебя от Camel

все. ровно в той же степени, что и хеартблид. если что, в последнем уязвимость была найдена в реализации, а не алгоритме

next_time ★★★★★
()
Ответ на: Давай я подумаю за тебя от Camel

точнее уязвимость была даже не в коде алгоритма, а в соседнем коде. так и с линуксом, уязвимость в ядре делает снижает толк от шифрования паролей, хотя напрямую с ними никак не связана.

next_time ★★★★★
()
Ответ на: комментарий от next_time

Не адвокат нубаса, но for great justice...

существует мейнстримовый алгоритм

Да, один из многих.

куда проще

4.2 - полиподстановка проще. Хоть и уязвимее.

и быстрее

Если его тоже на быдлодульфи напейсать, то не факт, что будет быстрее.

очевидно, закладок он не содержит

Ни капельки не очевидно. Дьявол, вероятно, кроется в S-боксах.

хорошо исследован на уязвимости

Сам алгоритм или реализации?

слабые места известны

Опять же, S-боксы.

border-radius
()
Ответ на: Не адвокат нубаса, но for great justice... от border-radius

Сам алгоритм или реализации?

алгоритм, конечно. у автора тоже неизвестно как с реализацией

полиподстановка проще

в описании. а реализация её — сложнее

Дьявол, вероятно, кроется в S-боксах.

которые — тупо число «пи». при том, всегда можно сгенерировать свой, альтернативный вариант

next_time ★★★★★
()
Ответ на: комментарий от next_time

хотя не, нифига не сложнее. сильно проще, но это не сильно существенно, посколько блофиш тоже не слишком сложно написать.

next_time ★★★★★
()
Ответ на: комментарий от next_time

блофиш тоже не слишком сложно написать.

На говнопаскале, удобном для битовых операций чуть менее, чем никак? С тем же успехом и на луа можно.

border-radius
()
Ответ на: комментарий от next_time

этот труп мамонта надо выкинуть и взять подходящий инструмент, т.е. С++

++ здесь лишние, их тоже надо выкинуть, подходящий инструмент - С. Только это топикстартеру надо говорить.

border-radius
()
Последнее исправление: border-radius (всего исправлений: 2)
Ответ на: комментарий от next_time

Страус - труп!

Если честно, то, что запилили над этим "подмножеством" - полное убожество. Для криптографии - только чистый C.

border-radius
()

Лучше возьми сгенерированные тобой 256-элементные перестановки, и применяй их к битам обычного блочного шифра. После i-го раунда шифрования к блоку применить i%256-ую по счёту перестановку. Это позволит усилить любой шифр за счёт введения дополнительного секретного ключа, затруднит анализ даже в том случае, если базовый блочный шифр кем-то тайно взломан.

Deleted
()
Ответ на: комментарий от pihter

Вот, например, завтра какой-нибудь очередной Перельман решит задачу разложения на множители и RSA перестанет быть стойким в одночасье.

Отлично, будешь юзать другой алгоритм. Повторюсь, ни один алгоритм/схема шифрования который считается надёжным взломать [ради тебя] нереально. А как только он перестаёт считаться надёжным просто надо перейти на другой алгоритм/схему шифрования. Вот и усё.

Ни один кулцкакер мира не взломает надёжную схему прежде чем она перестала считаться надёжной.

AndreyKl ★★★★★
()
Ответ на: комментарий от hibou

что сложность шифрования мало зависит от длины ключа

зависит достаточно сильно до определённой длины. Т.е. я хочу сказать зависимость падает с увеличением длинны ключа. Т.е. пофиг там 32Кб ключ или 64Кб, а вот 64бита или 128бин это уже разница и ещё какая.

AndreyKl ★★★★★
()
Ответ на: комментарий от pihter

Ну если применимость не важна, то уже сто с лишним лет есть одноразовые блокноты: расшифровать стороннему участнику их невозможно.

Я этого не знал. Можно еще раз отправить читать книги. Мысль ясна.

Там (в одноразовом блокноте) длина ключа будет равна длине сообщения. Поэтому нужно юзать ГПЧ (генератор псевдослучайных чисел) инициализируя его случайным ключём. Но опять же качество ГПЧ не оценить без знания соотвествующего матана. Единственное о чём можно предупредить нуба - линейные конгруэнтные генераторы (это когда разделить на что нибудь да потом что нибудь прибавить или умножить..) - крайне уязвимы, хотя и дают довольно неплохие последовательности по статистическим показателям.

AndreyKl ★★★★★
()
Ответ на: комментарий от pihter

Да и ассиметричное не проблема.

просто предполагаю что ты не в курсе - ассимитричным шифруют редко. обычно ассимитричная схема - это шифровка и передача ассимитричным методом симметричного ключа и потом шпаринье обычным симметричным шифром. Если будешь смотреть в сторону ассиметрии учти что тупо шифровать текст как симметрией нельзя, начинаются проблемы в матане (падает криптостойкость).

AndreyKl ★★★★★
()
Ответ на: комментарий от AndreyKl

Там (в одноразовом блокноте) длина ключа будет равна длине сообщения. Поэтому нужно юзать ГПЧ (генератор псевдослучайных чисел) инициализируя его случайным ключём.

И тогда лёгким движением руки OTP (одноразовый блокнот) превращается в ПСШ (поточный симметричный шифр) со всеми вытекающими. Есть, конечно, одно неавторитетное мнение, что грамотно построенный ПСШ заткнёт за пояс любой БСШ, но ведь надо же куда-то бэкдоры всовывать, а в БСШ это сделать гораздо проще, вот и пиарят тот же AES как эталон.

Но опять же качество ГПЧ не оценить без знания соотвествующего матана

Есть целые тестовые утилиты (от NIST какая-то, DieHard, тесты FIPS 140-1, если не изменяет память) как раз для не знающих соответствующий матан.

Единственное о чём можно предупредить нуба - линейные конгруэнтные генераторы (это когда разделить на что нибудь да потом что нибудь прибавить или умножить..) - крайне уязвимы, хотя и дают довольно неплохие последовательности по статистическим показателям.

LCG идут лесом вообще. Даже LFSR по отдельности лучше не использовать. Нубу проще объяснить так: должна быть нелинейность, и чем нелинейнее, тем лучше.

border-radius
()
Последнее исправление: border-radius (всего исправлений: 1)
Ответ на: комментарий от border-radius

Есть, конечно, одно неавторитетное мнение, что грамотно построенный ПСШ заткнёт за пояс любой БСШ

Потоковый шифр не защищает от активных атак. Хотя наверное его можно подписывать блоками скажем по 64Кб. Вообще говоря конечно я до конца не понимаю использование блочных шифров, учитывая что производительность потоковых шифров в разы выше. Да, не существует _доказанных_ безопасных ГПЧ. Но и блочные шифры тоже не доказаны (в смысле конструкции подобные s-блокам и перестановкам).

AndreyKl ★★★★★
()
Ответ на: комментарий от border-radius

правда есть конструкция Луби-Ракова (Luby-Rakoff) в которой доказывается что 3х раундовая сеть Фестеля это безопасная псевдослучайная перестановка (при условии что используемая в сети фестеля функция - безопасная псевдослучайная функция). Но в AES не используется сеть фестеля, так что я не знаю в чём смысл.

AndreyKl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.