Вопрос о целесообразности использования блочных шифров
Добрый день.
О криптографии знаю не много.
Последние пару дней читал всевозможные форумы/FAQ-и.
И вот что бросаеться сразу в глаза:
почему используют болчные шифры, в то в ремя когда трудно обеспечить стойкий режим работы таких шифров? И почему именно 128 бит, а не более? Не лучше использовать длину блока скажем 1024 бит?
Да возмоджно связано с тем что такие алгоритмы часто реализуються на микросхемах...
Но все же...
[какой-то глюк с форумом, второй раз пишу, а ничего нет]
комментариев: 9796 документов: 488 редакций: 5664
Что мешает сделать длину блока 4096 бит?
Современные комп. игры не шуточно грузят комп-р, и почему-то это никого не волнует...
"Зоопарк алгоритмов" появиться?
Ну смотрите:
я хочу отвести 1000 кирпичей на стройку и для этого беру мерс и пихаю в салон кирпичи?-Нет беру грузовик предназначенный для перевозки грузов.
Так почему я должен всюду использовать один АES?
Для каждой задачи должен быть свой инструмент.
А универсальный шифр всех времен и народов, это бред.
Будущее за специализированными шифрами.
комментариев: 11558 документов: 1036 редакций: 4118
Ладно...время покажет.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
А чего вы таким путём хотите добиться?
Если шифр стойкий, то увеличение размера блока более 128 бит бессмысленно.
Стойкий шифр должен быть неотличим от идеальной модели -PRP.
Размер блока b – это количество вариантов отктрытых текстов на одном ключе и количество вариантов соответствующих им шифртекстов, заданных некоторой таблицей перестановки размером 2b. Ну и подберите таблицу размером 2128.
Размер ключа k – это количество таких таблиц для всех ключей 2k.
Если мы можем находить различие шифра от идеальной модели что по размеру ключа, что по размеру блока быстрее, чем простым перебором – то он нестоек.
Его бессмысленно спасать увеличением этих параметров.
Существуют экспериментальные щифры с произвольным размером блока. Задавайте его хоть в мегабайтах. При этом их конструкция такова, что накладные расходы мало зависят от размера блока. Но и криптостойкость тоже от этого никак не увеличивается. Такие шифры проектируют для дискового шифрования, хэшей, специфических протоколов и проч. уже лет пятнадцать.
Но пока не очень успешно. Это т.н. шифры на квазигруппах. У них хронические проблемы с критериями стойкости квазигрупп, способами их генерации и компактного хранения, сложности с распараллеливанием операций, различие от модели идеального шифра по отличию диффузиии в прямом и обратном направлении и т.д.
Для автомобиля легко определить – хорошо он работает или ломается. Это любой
пользовательводитель сможет. Для шифра – тысячи специалистов могут годами смотреть как он работает и не заметить явного дефекта, пока кто-то не посмотрит с неожиданной стороны.Принцип такой – основные криптопримитивы (блочный шифр, хэш-функция, асимметричный алгоритм) – максимум универсальности и минимальное количество вариантов, чтобы они были под присмотром как можно большего количества людей, которые в идеале своим коллективным разумом превзойдут любую ограниченную группу, которая хотела бы провести успешный криптоанализ в тайне от остальных.
А на основе этих криптопримитивов, как из кирпичиков собирать режимы и протоколы на основе принципов доказуемой безопасности. Это тоже сложная работа для специалистов, условно чуть меньшей квалификации.