Обзорная экскурсия в криптографически стойкие генераторы псевдослучайных чисел

[satex]

• ГОСТ 28147-89 - российский стандарт шифрования, введенный в 1990 году, также является стандартом СНГ. Шифр основан на 32-раундовой сети Фейстеля c 256-битным ключом. .

"Магму" уже давно заменил "Кузнечик" (ГОСТ 34.12-2018, ГОСТ Р 34.12-2015) https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D0%B7%D0%BD%D0%B5%D1%87%D0%B8%D0%BA_(%D1%88%D0%B8%D1%84%D1%80)

Вопрос о безопасности ГОСТа остается открытым

Довольно странное утверждение
А вопрос о безопасности AES "закрытый"?

Да, сегодня AES вполне стойкий (как и наши ГОСТы), но есть всякие предположения о возможной XSL-атаке в будущем.

Что касается ГОСТов, то в основном старый критикуют за отсутствие криетериев выбора S-блоков (есть их слабое подможножество), а новый за как раз некую "алгоритмичность" выбора предложенных S-блоков)) типа "а вдруг в S-блоках бэкдор спецслужбы?"

Я бы не говорил об "открытости" вопроса с его безопасностью. В целом же сопоставимо с AES

[hungry_forester]

если генератор основывается на выводе двоичного представления числа π с какой-то неизвестной точки, он не является криптографически устойчивым – при определении текущего бита числа π аналитик может вычислить и все предшествующие биты

Каким же образом?

[bBars]

Полагаю, под «при определении текущего бита» подразумевается порядковый номер, а не значение бита

[Scratch]

Примеры безопасных блочных шифров

• Des 

Дальше можно не читать. Два за реферат

[mapnik]

По состоянию на 2011 год трехключевая система сохраняет свою безопасность

Ничоси актуальность.

[Eburg1962]

поддержу комментарий про "Магму".

если учесть, что таблица замен в ГОСТЕ м.б. секретной, то длина ключа вырастает за 600 бит, что не облегчает жизнь атакующего. кроме того сложность построения таблицы замен преувеличена - еще в 90-е Александр Мальчик и Вайтфельд Диффи предложили строить ее из таблицы DES. таких таблиц может быть значительно больше одной.
а вот собствено откуда ноги растут об открытости вопроса по стойкости ГОСТа. (на период написания цитируемой работы AES еще не был принят - это 2003 год)

Шнайдеровский вариант на стандарт AES, кстати, не прошел отбор...

"Брюс Шнайдер, анализируя в своей книге ГОСТ, в частности отмечает:
- процедура генерации подключей из основного ключа в ГОСТе значительно проще, чем в DES;
- сам алгоритм проще, поскольку P-блоки в DES являются нерегулярными перестановками, а в ГОСТ используется обычный циклический 11-битный левый сдвиг;
- узлы замен (S-блоки) в ГОСТ имеют размерность 4х4, против 6х4 в DES, что требует в DES дополнительных (программных) усилий при разворачивании входных значений с 4 до 6 бит;
- длина ключа увеличена до 256 бит, а, если все же, как того требует стандарт, принять узлы замены как секретные (что существенно увеличивает стойкость алгоритма к линейному и дифференциальному криптоанализу), то общий объем секретной информации достигает 610 бит (отсюда понятно, почему никто не собирается данный ГОСТ заменять);
- количество раундов шифра увеличено вдвое - 32 против 16 (только это увеличение делает и линейный и дифференциальный методы криптоанализа ГОСТа затрудненными до полной невозможности, поскольку они оба крайне чувствительны к количеству итераций);
- использование в ГОСТе сложений по mod (232) и mod (232 -1) против mod (2) в DES, по крайней мере не ослабляет алгоритм (но облегчает программную реализацию);
- ГОСТ изначально «заточен» для программной реализации, поскольку в нем отсутствуют перестановки (эффективные именно при аппаратной реализации) и разрядность приведена к разрядности 32-битного слова.

И тут же, фактически противореча сам себе, Шнайер делает, тем не менее, весьма странный вывод: "Whether their efforts have resulted in an algorithm more secure than DES remains to be seen." - Вопрос о том, привели ли их (разработчиков ГОСТа) усилия к созданию алгоритма более надежному, чем DES, остается открытым.

Тут надо отметить, что практически все, кто занимался криптоанализом ГОСТа, отмечают его высокую стойкость и удобство для программной реализации по сравнению с DES. Надо признать, что «запас прочности» ГОСТа исключительно высок. И даже AES, в объявленных NIST конкурсных требованиях, не достигает его стойкости."

[egl_ism]

Весьма странной получилась обзорная статья по ГПСЧ, в которой под заголовком "Примеры безопасных хеш функций" видим это:

MD4 и MD5 – в данный момент не рекомендуются для применения в реальных приложениях из-за найденных уязвимостей.