Введение в криптографию и шифрование, часть вторая. Лекция в Яндексе

По сути, одно называется MAC before encrypt, а второе — encrypt before MAC.

Я первый раз вижу такое название, их обычно вот так называют:
Encrypt-and-MAC (E&M, раньше так делал SSH, сейчас вроде-бы тоже), MAC-then-encrypt (MtE, как в TLS) и Encrypt-then-MAC (EtM, не помню где использовался).

Введение в криптографию и шифрование, часть первая. Лекция в Яндексе

На самом деле, если чуть точнее, key whitening — это схема (смешать с ключом)(алгоритм шифрования)(смешать с ключом). Как раз по такой схеме у блочных шифров всё обычно работает: AES начинается с AddRoundKey, потом магия-волшебство, а в самом конце AddRoundKey (тот же самый Present тоже так работает). А например DES не так, там InitialPermutation можно без всякого ключа выполнить (ну и в конце тоже такая штука), DES вообще в этом смысле динозавр, там ключ 64 бита, но из них 8 в алгоритме не участвуют (вот и выходит 56), так сегодня не делают.
Просто если в самом начале алгоритма идут операции без секретной части, то их можно выполнить не зная ключа, то же самое и в конце (можно от шифровки «пройтись» по алгоритму «назад» если последние операции не используют секрет).

Кстати, есть более красивые пингвины.

Введение в криптографию и шифрование, часть первая. Лекция в Яндексе

Разрешите уточнить пару моментов:

• Сегодня существует «легкая» криптография, там длинна ключа 80 бит (пример: блочный шифр PRESENT),
• В «тайминг» атаках смотрят время, потребление энергии это другой тип атак, но обе атаки относятся к атакам по сторонним каналам,
• Если мне память не изменяет, в последнем раунде AES нет MixColumns не ради скорости, а чтобы «сломать симметрию», это от meet in the middle помогает. Обратить последний раунд без последнего ключа не получится, самая последняя операция это XOR с ключом «key whitening»

А вообще, по мне так неплохое введение. Аутентификации сообщений и асимметричное (в статье поправьте) шифрование, я полагаю, во второй части?