AES vs Blowfish для шифрування файлів

Я хочу зашифрувати двійковий файл. Моя мета полягає в тому, щоб не допустити будь-кого читати файл, у якого немає пароля.

Яке краще рішення - AES або Blowfish з однаковою довжиною ключа? Можна припустити, що зловмисник має великі ресурси (програмне забезпечення, знання, гроші) для злому файлу.

Ймовірно, AES. Blowfish був прямим попередником Twofish. Дві рибки - це вступ Брюса Шнайєра в змагання, що виробляли AES. Він був оцінений як неповноцінний для запису під назвою Рінддейл, який став AES.

Цікавий бік: в один момент змагань усіх учасників попросили висловити свою думку про те, як класифікуються шифри. Напевно, не дивно, що кожна команда обрала власний запис як найкращий - але кожна інша команда обрала Рінддейла другою найкращою.

Однак, у основних цілях Blowfish vs. AES є деякі основні відмінності, які можуть (певно) сприяти Blowfish з точки зору абсолютної безпеки. Зокрема, Blowfish намагається ускладнити атаку грубої сили (виснаження ключів), зробивши початкове налаштування ключа досить повільним. Для звичайного користувача це мало наслідків (це все-таки менше мілісекунди), але якщо ви намагаєтеся виправити мільйони клавіш за секунду, щоб зламати його, різниця досить значна.

Зрештою, я не вважаю це головною перевагою. Я зазвичай рекомендую AES. Наступним моїм вибором, ймовірно, будуть Змій, МАРС та Дві рибки в такому порядку. Blowfish прийде десь після цих (хоча є кілька інших, які я, мабуть, порекомендував би перед Blowfish).

Нечасто визнаний факт, що розмір блоку шифру блоку також є важливим фактором безпеки (хоча ніде це не так важливо, як розмір ключа).

Blowfish (і більшість інших блокових шифрів тієї ж епохи, як 3DES та IDEA) мають 64-ти бітний розмір блоку, що вважається недостатнім для великих розмірів файлів, які є загальними в ці дні (чим більший файл, тим менший розмір блоку , тим вище ймовірність повторного блоку в шифротексті - і такі повторні блоки надзвичайно корисні при криптоаналізі).

AES, з іншого боку, має розмір блоку 128 біт. Такий розгляд є виправданням використання AES замість Blowfish.

З точки зору самих алгоритмів, я б погодився з AES, з тієї простої причини, що це було прийнято NIST, і він буде перевірятися та криптоаналізуватися роками. Однак я б запропонував, щоб у практичних програмах, якщо ви не зберігаєте якийсь файл, який уряд хоче зберегти в таємниці (у такому випадку АНБ, ймовірно, надасть вам кращий алгоритм, ніж AES та Blowfish), використовуючи будь-який з цих алгоритмів, виграних Я не буду занадто сильно змінюватись. Вся безпека повинна бути в ключі, і обидва ці алгоритми стійкі до грубої атаки. Blowfish виявився слабким лише в реалізації, яка не використовує повних 16 раундів. І хоча AES новіший, цей факт повинен змусити вас більше схилятися до BlowFish (якщо ви брали до уваги лише вік). Думай про це так,

Ось, що я б поставив вам ... замість того, щоб дивитись на ці два алгоритми і намагатися вибирати між алгоритмом, чому б ви не подивилися на свою схему генерації ключів. Потенційний зловмисник, який хоче розшифрувати ваш файл, не збирається сидіти там і придумати теоретичний набір ключів, який можна використовувати, а потім здійснити грубу атаку, яка може зайняти місяці. Натомість він збирається експлуатувати щось інше, наприклад, атакувати апаратне забезпечення вашого сервера, реверсувати інженерію вашої збірки, щоб побачити ключ, намагається знайти якийсь конфігураційний файл, у якому є ключ, або, можливо, шантажує вашого друга, щоб скопіювати файл з вашого комп’ютера . Вони збираються там, де ви найбільш уразливі, а не алгоритм.

AES.

(Я також припускаю, що ви маєте на увазі двійку, а не набагато старшу і слабку метелику)

Обидва (AES & twofish) - хороші алгоритми. Однак навіть якби вони були рівними або дві рибки були злегка попереду технічних достоїнств, я б все-таки обрав AES.

Чому? Розголос. AES є стандартом для шифрування уряду, тому мільйони інших організацій також використовують його. Талановитий криптоаналітик просто отримує більше "удару за долар", виявляючи недоліки в AES, тоді це робить для набагато менше знаючих і використовуваних двох рибок.

Непрозорість не забезпечує захисту при шифруванні. Більше органів, які шукають, вивчають, досліджують, атакують алгоритм, завжди краще. Ви хочете максимально "перевірений" алгоритм, який зараз є AES. Якщо алгоритм не підлягає інтенсивному та постійному пильному контролю, ви повинні впевнитись у його міцності. Впевнені, що дві рибки не були порушені. Це через силу шифру чи просто тому, що недостатньо людей уважно придивились ..... І все-таки

Вибір алгоритму, мабуть, не так важливий. Я б використовував AES, оскільки це було краще досліджено. Що набагато важливіше - це вибрати правильний режим роботи та функцію виведення ключів .

Для натхнення ви можете поглянути на специфікацію формату TrueCrypt, якщо ви хочете швидкого випадкового доступу. Якщо вам не потрібен випадковий доступ, ніж XTS не є оптимальним режимом, оскільки у нього є слабкі місця, інші режими не мають. І ви також можете додати певну перевірку цілісності (або код автентифікації повідомлення).

Я знаю, що ця відповідь порушує умови вашого запитання, але я думаю, що правильна відповідь на ваш намір полягає лише в цьому: використовуйте той алгоритм, який дає вам найбільшу довжину ключа, а потім переконайтесь, що ви вибрали дійсно хороший ключ. Незначні відмінності у виконанні більшості розглянутих алгоритмів (криптографічно та хронологічно) переповнені кількома зайвими бітами ключа.

Обидва алгоритми (AES і twofish) вважаються дуже безпечними. Це широко висвітлювалося в інших відповідях.

Однак, оскільки AES широко використовується зараз у 2016 році, він був спеціально прискорений апаратним забезпеченням у кількох платформах, таких як ARM та x86. Не дивлячись значно швидше, ніж дві рибки до апаратного прискорення, AES зараз набагато швидше завдяки спеціалізованим інструкціям щодо процесора.