Наш ответ Чемберлену с его замечаниями:
> DES — сломан, но не 3DES. Если уровень безопасности в 112 бит достаточен, то
> его использование приемлемоТройной DES - гуано. Во первых, он тормозной как черти-что, во вторых, никакой особой стойкостью не обладает. Выбор некрофила который прикипел к DES.
> RC4/Arcfour имеет особенности из-за которых некоторые реализации
> действительно можно считать сломанными.
Arcfour в чистом виде имеет уйму дурных проблем. Самая жестокая - утечка ключевого материала в первых примерно 256 байтах вывода его PRNG. Поэтому уважающие себя реализации обычно отбрасывают первые 768...1024 байта. Если этого не делать - прецеденты взлома имеются. Далее arcfour имеет статистические отклонения от настоящей случайности, что намекает что его случайность не совсем случайная. Это с точки зрения криптографии плохо. Кроме того, сам по себе arcfour остро нуждается в дополнительных схемах костылирования, ибо если просто юзать вывод PRNG от одного и того же ключа на нескольких разных шифротекстах, атакующий знающий некий известный текст - узнает часть последовательности. И сможет расшифровывать куски неизвестных шифротекстов. Лечится схемами с шифрованием случайного временного ключа постоянынм и далее использованием этого ключа, разного для каждого потока. Но если влобовую применить arcfour - можно встать на эти грабли. В целом специфичный алгоритм, которым лучше бы не пользоваться. Есть некие доразвития идеи на его основе, избавленные от утечки ключевого материала и прочая - см. вику :).
> Конечно дело паранойи и недоверия, но даже скептики типа Брюса Шнайера не
> видят особый смысл использования 256 бит ключей против 128.
Может помочь в случае если в схеме шифрования окажется ощутимое упрощение. Запас прочности у 256 битов будет выше.
> сомнений (а это существенная экономия трафика,
Забота о экономии траффика это круто. Вот только чем экономнее траффик - тем лучше реконструкция активности пользователя в шелле по размерам пакетов, даже без расшифровки.
А автору оригинала - нехило бы обосновывать выбор алгоритмов.
//если не сильно обосновывать, я бы вообще выпилил все кроме 25519+poly1305+salsa/chacha. Хотя-бы потому что все шифрование могло бы быть в микроскопическом TweetNaCl который реалистично прочитать глазами за обозримое время.