>>Короче, ГОСТ'а следует избегать всеми возможными средствами.
TEvg>Что за бред??
U235> Ведь у Вас же нет всей полноты информации о ГОСТе и тех возможностей, какими располагает ФАПСИ, так что проверить самопальную таблицу замен на слабость Вы не сможете.
Так же как и проверить предлагаему "сверху" таблицу.
TEvg>Одно дело красивая коробочка или програмка с окошками в которой абсолютно_не_ломаемый_алгоритм. А другое дело описание алгоритма, который можете попытаться взломать. Если сможете. А реализация... Пишете сами - и как минимум будете уверены что дырок нет и прога на вас не стучит
Да дырки в проге - это из другой оперы. И, кстати, я - писал. Здесь обсуждается стойкость алгоритмов.
>>В частности он плох ещё и потому, что не допускает эффективной реализации без соответствующего железа. (Так?)
TEvg>Абсолютно не так - ГОСТ довольно эффективный алгоритм для реализации на любом компе, DES по сравнению с ним отдыхает.
Ха! Ну в точности наоборот - ГОСТ 28147-89 - страшне-ёйшая муть по сравнению с DES. Ну просто и рядом не лежал! Эффективная реализация - только на заказных микросхемах (по крайней мере лет 6 назад).
>>А вообще - против одноразового ключа(лома) - нет приема... TEvg>А ключи вы как передавать будете? Это ГЛАВНАЯ проблема - передать ключ, так чтобы противник его не стырил. Потому и возникли алгоритмы с открытыми ключами и своими проблемами. (к примеру подмена ключей).
Ну так - естественно! Проблема симметричных криптосистем - передача ключа, проблема несимметричных - производительность на длинных сообщениях. Поэтому в настоящее время и используются гибридные криптосистемы, где обмен сеансовыми ключами симметричных алгоритмов обеспечивается путем использования несимметричных алгоритмов. И, конечно же, для использования в такой гибридной криптосистеме одноразовый ключ совершенно не подходит.
>>Ведь сертифицируется (и оплачивается!) не весь криптоалгоритм или программа в целом - а каждая установка!
TEvg>А нафига вам это надо - менять красивые бумажки(деньги) на красивые бумажки(сертификаты)?
Ну, Вы очевидно не в курсе. Дело в том, что в ряде случаев законодательно вменено использовать сертифицированные криптосистемы. (В банках например). И во многих других случаях тоже...
TEvg>Криптостойкость алгоритмов от этого не меняется.
Ессно. Другое дело, что
сложный криптоалгоритм может быть
специально сконструирован для того, чтобы иметь способ эффективного его вскрытия (для авторов). А оценивать стойкость
сложного алгоритма, в частности для того чтобы проверить и это предположение - занятие в пользу бедных. Гораздо проще не ломать себе на этом голову и не закладывать мину на будущее - а обеспечить надёжный канал обмена одноразовыми ключами.
>>Их убивает широкое распространение дешёвых высокоемкх и компактных носителей информации.
TEvg>А это тут причем?
Это СИЛЬНО упрощает обмен ОДНОРАЗОВЫМИ ключами. Имеется в виду физический канал передачи ключей. (Курьер в танке! С чемоданом СD! Один раз в 10 лет!)
Главное и решающее преимущество симметричной криптоситемы на одноразовых ключах - её назависимость от прогресса в математической теории. Т.е. - абсолютая надежность и гарантированная стойкость. Стойкость же любого другого криптоалгоритма может
катастрофически меняться - и только в меньшую сторону. Оценить стойкость критоалгоритма можно только зная самый эффективный на сегодня способ его взлома. А такие способы имеют свойство всё время появляться, так же как и производительность компьютеров - расти.
Так что, если хотите иметь удобство гибридных и несимметричных криптосистем - добро пожаловать. Но
всегда за счёт надёжности. (И простоты/производительности
)