> Напишу несколько вещей в защиту данного анонима, а в остальном поддерживаю.
>> какие вероятности подбора ключа (уменьшение стойкости ключа) AES имеются при использовании
>> контролируемого/неконтролируемого канала (входного)?
>> Публикации криптологов имеются?
> Есть статья, рассказывающая, что AES by design сделан так, что позволяет timing
> attack-и.
> http://cr.yp.to/antiforgery/cachetiming-20050414.pdf вкурсе, поэтому вопрос был задан именно с привязкой к конкретной области использования, где задежки проследить крайне сложно, т.е. сеть сама даёт такие джиттеры что об угадывании ключа говорить сложно.
>> Чем конкретно морально устарел RSA/DSA, при какой длине ключа вы делаете
>> столь смелые утверждения?
> IIRC, уже давно проскакивали публикации о возможности создания и поддержания кубитов при
> комнатной температуре на основе дефектов в кристаллах. Если действительно важно, могу
> поискать публикации. А далее встаёт проблема из-за алгоритма Шора, как подсказывает
> кэп :)
к сожалению это не имеет отношения к непосредственной теме беседы -- т.е. IPSec.
> Кроме того, RSA жрёт немало CPU при ключах более 2048-бит, что уже
> много раз использовалось для различных DoS-атак. Но это отдельная тема. Лично
> я использую RSA с большими ключами и пока ни разу никто
> мне DoS за счёт этого не устраивал.
dos делать тем более затруднительно если используешь ipsec в режиме точка-точка, в режиме точка-многоточка методы предотващиния подобных атак элементарны и просты в реализации.
да, IPSec как протокол вовсе не мешает использовать постквантовые методы (алгоритмы) обмена ключами как и использовать любые другие блочные шифры.