Вопрос о практической стойкости RC2, RC4, md5 и sha1

Поправка: rc2 можно только в режиме CBC

Для RC4 найдено большое число различителей. Он проваливает даже статистические тесты при объеме шифртекста 2 Gb. Есть отклонения в распределении биграмм и т.д. Это не означает практического взлома, но означает дефектность алгоритма

/comment35038

SHA-1, например, тоже взломан, хотя практической атаки продемонстрировано не было. Но не выкинули же его мгновенно из всех стандартов. RC4 разрешается временно (на свой страх и риск) использовать для старых приложений в целях совместимости с применением примерно тех костылей, что вы сказали.

/comment35069

Ещё в тему:
Неожиданные события последних дней в криптоанализе хэш-функций.
Криптоанализ MD5 и SHA: время для нового стандарта.
Публичный сервис по взлому MD5.

[имхо]
Про RC2 не знаю, про RC4 уже всё сказано по ссылкам, sha1 взломан только теоретически. Md5, насколько я помню, легко позволяет находить коллизии, но до нахождения прообраза под произвольный хэш дело не дошло.
[/имхо]

Спасибо, теперь еще бы найти инфу по RC2, чтобы выбрать лучшее из этого скудного набора.

Выглядит, как: Когда-то давно (индусы, голодные студенты, нужное дополнить) запрограммили дешёвые контроллеры за (мизерную оплату, за еду, нужное вставить). Теперь (новых программеров не нанять, старые контроллеры перепрограммировать, выкинуть жалко, нужное дофантазировать). Как нам из этого убогого набора с точки зрения криптографии и бизнеса заработать денег, не вкладывая новых средств?.
Как-то так, да? Всё ведь упирается чисто в коммерческий подход, а не криптографию? Тогда и стойкость нужна чисто для охмурения клиентов (заказчиков), которым это будут впаривать. Если так, то можете придумать сами любое обоснование для рекламного буклета, оно всё-равно будет неинтересным с точки зрения того "как правильно".

Насколько безопасно применять md5 и sha1 в составе HMAC?

Ещё куда ни шло. Но только в HMAC. Пока (гром не грянет), временно.

И есть большой соблазн применить очень быстрый rc4 и сэкономить кучу ресурсов

Не давайте бизнесменам криптографические средства :) Или пусть они подпишутся все сэкономленные на ресурсах расходы перечислять на теоретические исследования в IACR.

Как-то так, да?

В точку! Но мое дело малое, что дали – с тем и работаю. Надо сделать из этого что-то, что на практике не сломают, хотя непременно попытаются. Пока что сделал rc4 + md5.

Распространённая ситуация просто. Ещё и код, небось, содрали со старых версий OpenSSL ;-)
Да, многие этим грешат, чего стесняться-то :) Но поэтому и вопрос как-то особого энтузиазма не вызывает — каждому со своей фигнёй маяться приходиться.
RC-2 — вообще мрак. Даже не помню чем там закончился его криптоанализ, по нему уже давно нет никаких публикаций за неактуальностью.

Для совместимости с совсем древней железкой придется использовать RC2 в потоковом режиме. Доступны режимы CFB и OFB, какой лучше выбрать?

Оба сейчас непопулярны и вытеснены CBC или CTR. Ну, например в OFB можно цепочку из нескольких блоков просчитывать заранее, где-то безопасно (с возможностью надёжного удаления) сохранять, а затем ксорить с текстом. Если есть лишняя память, опять же. Но в отличие от CTR нет гарантии возникновения коротких циклов (что впрочем маловероятно) и нет возможности параллельного просчёта блоков.