следующая тема »

[SATtva]

Это следствие. Как Вы узнаете порядок ресурсозатрат на криптоанализ алгоритма без его предварительного исследования на предмет более существенных уязвимых мест (значительно снижающих этот уровень)? Мы исходим из того, что наилучшим способом взлома алгоритма должен быть полный перебор ключей/хэш-значений или факторизация/дискретное логарифмирование в конечном поле. Но без серьёзного продолжительного исследования мы не узнаем, есть более простые способы взлома или их нет.

[Stan]

По наличию/отсутствию уязвимостей, ИМХО, различаются не сильная/слабая, а хорошая/никакая криптография.

Я впрочем с легкостью могу ошибаться, ибо в этой области я любитель.

P.S. "Никакая" криптография в таком понимании, на сильную/слабую не делится. Это привилегия хорошей криптографии.

[SATtva]

Я не особо возражаю против Вашей классификации, просто в реальном мире всё зачастую бывает не столь очевидно и сильно зависит от контекста (обычно, исторического, но бывает и по-другому). Вот, скажем, хэш-функция MD5 долгое время считалась "хорошей" криптографией, потом наступил 96-ой год (и исследование Доббертина) и она стала "так себе" криптографией, а с августа 2004-го вообще всё более и более "никакой" криптографией.

И это нормальный процесс. Не сегодня - завтра то же самое может и с AES cлучиться (Куртуа и Ко почву для этого готовят). Разве AES сам по себе от этого становится "никакой" криптографией? Просто уровень знаний становится выше. А молодой алгоритм такого внезапного просветления исследователей может и не пережить.

[Stan]

А, до меня дошло.
Я говорю о сильной и слабой криптографии, а Вы — о сильных и слабых алгоритмах. Отсюда дискуссия.

[Urix]

Как Вы узнаете порядок ресурсозатрат на криптоанализ алгоритма без его предварительного исследования на предмет более существенных уязвимых мест (значительно снижающих этот уровень)? Мы исходим из того, что наилучшим способом взлома алгоритма должен быть полный перебор ключей/хэш-значений или факторизация/дискретное логарифмирование в конечном поле. Но без серьёзного продолжительного исследования мы не узнаем, есть более простые способы взлома или их нет.

Проблему вычислительной сложности обратной задачи, надеюсь, знаете? Доказано же, что для точного решения задачи факторизации нельзя построить автомат, который бы находил решение этой задачи. Проблема в том, что решение ищется точное. А если искать приближенное решение? А если вероятностное? Там картина может получиться совсем иной. Все дело в том, что понимать под решением обратной задачи.

[y8s]

СИЛЬНОЙ криптографии в программной реализации не бывает.

Это все ПИНДОССКИЕ штучки - идут от комиссии КОКОМ которая запрещала к экспорту коммерческие крипто-алгоритмы без их искусственного ослабления.
Отсюда же и песни о "ДЫРАХ" - это когда после Рейгана была попытка внедрения чипа с "Люком" для нужд госДепа.
Вся программная криптография (Не программно-аппаратная) относится по отечественной классификации ко временной стойкости (бывает еще и гарантированная стойкость -  но программно она как-то не реализуется).
Любой временной стойкости хватит чтобы фискалы плюнули и не тратили время.
Если им очень будет нужно то вы сами все им на блюдечке отдадите - достаточно пары ударов в область почек...(как это принято у ментов).
Поэтому не грузитесь насчет ДЫР - все то, что учтено в реестре СКЗИ , который теперь ведет ФСБ может быть использовано даже в ФОИВ, а уж в коммерции - тем более.
А доверять импортной криптухе - это дело вкуса, но не разума.
В Австралии например для гос нужд запрещено использовать всю натовскую и пиндосскую крипту - только для коммерческих нужд!
Это разьве не аргумент?
Поэтому прочтите ПКЗИ-2005 и открытые приказы ФАПСИ (до сих пор не отмененные и не измененные) 152 и 158 и все вам станет ясненько.