у Twofish майже в повному складі входить консалтингова кріптофірма Шнайера Counterpane Systems (сам Шнайер, Джон Келсі, Кріс Холл і Нільс Фергюсон), а також шеф за технологіями фірми Hi/fn Дуг Уайтінг і Девід Вагнер, дослідник з каліфорнійського університету Берклі , відомий по ряду помітних криптоаналітичних робіт. p align="justify"> За оцінками фахівців, новий алгоритм Twofish ефективно реалізується на 32-бітних мікропроцесорах, 8-бітних смарт-картах і очікуваних у майбутньому 64-бітних архітектурах, запропонованих фірмами Intel і Motorola. Щоб підкреслити крипостійкість свого творіння, творці Twofish оголосили про заснування призу в 10 тисяч доларів за кращу криптоаналітичної атаку проти Twofish. p align="justify">
3. Основні етапи конкурсу на AES
Безперечно, на конкурс AES представлено найкраще з того, чого досягли відкрита академічна та промислова криптографія за чверть століття свого розвитку. Тепер належить період ретельного вивчення виставлених на конкурс кандидатів. Як похмуро пожартував один з учасників конкурсу Брюс Шнайер, вся ця історія нагадує йому якесь гігантське "дербі на виживання": на трасу виходить півтора десятка претендентів, які трощать один одного до тих пір, поки не залишиться найсильніший. p align="justify"> Практично відразу ж слідом за публікацією в Інтернеті опису шифру LOKI97, з'явилися і результати його криптоаналізу, виконаного Ларсом Кнудсеном і Вінсентом Ременом (з команд "Serpent" і "Rijndael", відповідно). З цих результатів слід було, що циклова функція шифру не володіє достатньою криптографічного стійкістю, і з досить високою ймовірністю можна підбирати криптоаналітичних методи розтину шифру. p align="justify"> Команда "Twofish" (Вагнер, Фергюсон і Шнайер) завдала потужного удару по команді "Frog". Було показано, що ключ шифру Frog можна розкривати при трудовитратах близько 257. Для DES, наприклад, з його 56-бітним ключем це було б прекрасним показником стійкості (оскільки на лобове розтин ключа тотальним перебором потрібно 256 випробуванні), однак, для шифру з довжиною ключа щонайменше 128 біт цього вже занадто мало. Про те, як у ході конференції AES1 спільними зусиллями учасників команд "Twofish" і "Serpent" був завалений німецький проект "Magenta", вже згадувалося. p align="justify"> Період первинної оцінки шифрів тривав аж до кінця квітня 1999 року, віхою завершення цього етапу стала конференція AES2 в Римі. Вибравши для проведення форуму італійську столицю, організатори конкурсу явно хотіли підкреслити міжнародний характер заходу (дійсно, у конференції взяли участь понад 180 осіб з 23 країн). Як сподівалися в Нистен, період часу між AES1 і AES2 достатній для того, щоб дослідники криптографічного сообщества перевірили стійкість і швидкодія всіх алгоритмів, в результаті чого кількість претендентів природним чином скоротилася б до п'яти або менше того. Проте, не можна сказати, щоб все пройшло гладко і у відповідності з початковим планом. br/> ...
