Vlákno názorů k článku
Silent Circle varuje před vládními kryptografickými standardy od _pepak - To je tedy podle mě pěkná hloupost, a...

To je tedy podle mě pěkná hloupost, a to ze dvou hlavních důvodů:

1) AES je velice dobře prozkoumaný, aniž by byla nalezena významnější slabina. Jeho matematická struktura je velice jednoduchá a je krajně nepravděpodobné, že by v ní mohl být nějaký backdoor. Nelze vyloučit (dokonce lze očekávat), že NSA zná kryptoanalytické techniky, které zbytek světa nezná, ale vzhledem ke struktuře šifer se dá mnohem spíš očekávat úspěšný útok na Twofish než na AES.

2) Twofish, Threefish a Skein mají všechny původ u Bruce Schneiera. Bez ohledu na to, jak je Schneier dobrý, je vrchol neopatrnosti dát "všechna vejce do jednoho košíku" - protože pokud bude slabina v jednom algoritmu, je slušná šance, že bude ve všech.

Většinou není problém v matematické struktuře, problém je skoro vždy v její implementaci... PGP bych nevěřil ani nos mezi očima.

Ad.1: Ano, algoritmus AES je dobre prozkouman. Jenze je stejne dobre prozkoumana jeho implementace, treba AES-NI instrukce v procesorech Intel/AMD? Ses si jistej, ze NSA nepritlacila na vyrobce HW stejne tak, jako treba na softwarove firmy?

Truecrypt, PGP, dm-crypt, openssl, bitlocker... to je jen par z programu, ktere vyuzivaji hw-akceleraci AES. Jenze nevim kolik z nich skoumalo procesory pod mikroskopem, jestli v implementaci tech instrukci neni nakej figl...

Ad.2: Ja pouzivam kaskadu AES+Twofish. Je to sice pomalejsi, jenze alespon jsou to dva algoritmy ze dvou stran...

Modifikace procesoru by byla nanic, šifru musí jít vytvořit i dešifrovat kdekoli, tedy i bez toho procesoru. Leda ze by cpu posílal to co sifruje přímo do NSA po síti;)

A to už by byla megaparanoia, stejně jako ten mikroskop:-D

ad 1: Jsem si jistý, že by bylo bezpečnější implementovat si AES sám z jeho specifikace než přecházet na Twofish, ve kterém musíš řešit přesně ten samý problém. (Například TC ti umožňuje nepoužívat AES-NI instrukce, pokud máš obavu, že byly napadeny. Proč to nemůže PGP udělat taky?)

ad 2: Kaskády nesou riziko (které zatím nikdo nepotvrdil, ale taky nevyloučil), že vzájemná interakce dvou šifer povede k oslabení celkové šifry (že jedna šifra bude fungovat jako částečná inverze šifry druhé).

K těm kaskádám, co takhle obyčejná Vigenérova šifra, kdy text postupně zašifruješ dvěma různě dlouhými hesly, takže ti vznikne jedno heslo delší než text? Samozřejmě se nehodí kombinace délek jako třeba 5 a 10, žejo ;-)