> 1. Забанен в гугле?А оно мне надо - искать непойми что от непойми кого?
> 2. Квалификация конкретного автора вполне ок для обзорной статьи.
И откуда следует этот вывод?
> Тайминг атаки при желании можно нейтрализовать при аппаратной реализации.
Однако в случае AES - NIST почему-то завирал что лукап таблицы якобы постоянная по времени операция. Хотя на современных процессорах с кэшом - это отнюдь не так. По поводу чего похоже на некую подтасовку фактов. Или в лучшем случае на некомпетентность. С учетом поимки на стандартизации пробэкдореного ГПСЧ, я на всякий случай буду считать что NIST втирает очки и не буду особо доверять их стандартам.
> Однако тогда и соображения по поводу скорости как критерия выбора
> не выдерживают никакой критики.
Ну как бы в идеале всем хотелось бы чтобы работало быстро. К сожалению, это клещится с другим требованием - качественной диффузией. Чем больше раундов - тем лучше диффузия и выше запас прочности. Но тем ниже скорость. Если уж на то пошло, у DJB есть довольно резвые Salsa/ChaCha которые и шустрые и диффузия хорошая и на полные варианты вроде особо крутых атак никто не нашел..