Насколько надёжен алгоритм AES?

[Dikoy]

Читаю обзоры - общие растекания мысли по дереву за уязвимости, но, вроде, никто ещё не взломал?
И уж тем более нет программ "ломани одной кнопкой!!11!!!"?

Храню в облаке рабочие файлы в контейнере AES-256. Цель не от спецслужб спрятаться, а от вполне себе приземистых парней, кто может заполучить мой комп и, теоретически, выковырять из хрома пароли.
Вот думаю - оставить AES, или сделать тройное кодирование AES-Twofish-Serpent?
Это ощутимо снизит скорость работы, чего не желательно...

[Havrosh]

Скачайте свежую бесплатную TrueCrypt и посмотрите какой алгоритм они используют в настройках по умолчанию. В хелпе они пишут сильные и слабые стороны каждого алгоритма. Насколько я интересовался ситуацией полтора года назад AES-256 был вполне надежным. Сам предпочитаю GOST или BlowFish

[Dikoy]

Так им и пользуюсь. Только не последним, а 6,9, ибо насчёт последнего ходят слухи...
Кампашка то прикрылась, причём резко, в пару дней.

Добавлено через 2 часа 44 минуты

Цитата:

Сообщение от Havrosh

Сам предпочитаю GOST или BlowFish

Есть причины?

[Havrosh]

BlowFish - ассиметричный, шифруется быстро, расшифровывается долго. Перебором его труднее взять. А ГОСТ сертифицирован Министерством обороны, значит по-любому западным спецслужбам не по зубам.
Я крипто использую, если в загранпрездки с буком езжу. Мало ли, украдут из гостиницы или на таможне заберут. Незачем им мои наработки знать, я сам на них деньги зарабатывать хочу

[Dikoy]

Разве TrueCrypt поддерживает ГОСТ?..

[Paul Kellerman]

Алгоритмы могут быть суперкриптостойкими, а ключи - миллионбитными, но даже один единс-
твенный баг (случайный или умышленный) в программной реализации может в разы снизить
стойкость или вообще до нуля. Если программа написана не тобой, то ни в чем не можешь быть
уверен - может быть из 256 бит ключа 192 бит - константа, заранее известная всем, кому надо.

[Havrosh]

Цитата:

Сообщение от Dikoy

Разве TrueCrypt поддерживает ГОСТ?..

ГОСТ есть в GhostCrypt. Это клон TrueCrypt, один из самых поддерживаемых сообществом и обсуждаемый на форумах

Добавлено через 9 минут

Цитата:

Сообщение от Paul Kellerman

Алгоритмы могут быть суперкриптостойкими, а ключи - миллионбитными, но даже один единс-
твенный баг (случайный или умышленный) в программной реализации может в разы снизить
стойкость или вообще до нуля. Если программа написана не тобой, то ни в чем не можешь быть
уверен - может быть из 256 бит ключа 192 бит - константа, заранее известная всем, кому надо.

При шифровании кроме ключа задается еще и "соль". А при генерации ключа используются продвинутые генераторы случайных чисел. Эти все проблемы с доверенностью ключей давно известны и решаемы. А программу всегда можно пересобрать из исходников, предварительно почитав в форумах, что пишут люди, плковырявшиеся в исходниках. Для надежности можно и самому модифицировать исходники

Добавлено через 40 секунд
Правда, от терморектального криптоанализа это не спасет

[Paul Kellerman]

Havrosh, можно тысячу раз соль подмешивать, но в программе может быть скрытый жучок,
где суперслучайный суперзасоленный итоговый преобразованный ключ сдвигается вправо на
192 бит, потом влево на 192 бит, и младшие 192 бит будут всегда нулевыми, останутся только
старшие 64 бит де-факто. И это еще самый примитивный способ непрямого упрощения ключа,
тот кто хорошо знает asm, может гораздо более хитрые и запутанные баги вставлять, вплоть
до применения особых свойств полей Галуа GF(2^m) и колец многочленов, заданных над ними,
и даже имея исходных код (не говоря уж про дизассемблированный), не догадаешься о жучке.

Как вариант, берем 256-битный ключ, выделяем старшие 64-бита, и рассматриваем их как
коэффициенты многочлена a(x) = a[63] * x^63 + ... + a[1] * x + a[0], заданного над простым
полем GF(2). Умножаем алгебраически многочлен a(x) на одночлен b(x) = x^192, и затем
вычисляем остаток многочлена-произведения по модулю некоторого известного мне и
тем, кому надо, многочлена 192-й степени g(x) = x^192 + g[191] * x^191 + ... + g[1] * x + g[0].
Получается остаток r(x) = r[191] * x^191 + ... + r[1] * x + r[0]. Эти коэффициенты заносим
в младшие 192 бита ключа. Таким образом, младшие 192 бита будут алгебраически зави-
симы от старших 64 битов и однозначно определяться ими, и тот кто знает мой g(x), ему
достаточно подбирать только 64 бита, остальные 192 бита он быстро и легко вычисляет.

[Dikoy]

Havrosh, а в TrueCrypt можно как-то перекодировать имеющуюся область новым видом шифрования?