<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2014-03-09 4:30 GMT+01:00 Bill Cox <span dir="ltr"><<a href="mailto:waywardgeek@gmail.com" target="_blank">waywardgeek@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div id=":37o" class="" style="overflow:hidden">The recent attacks on RC4 scare me a lot more than these efforts to<br>
detect what algorithm generated the data stream.  It' not a complete<br>
attack yet, and ARC4 remains secure currently for many applications,<br>
but now I am concerned that ARC4 may be actually broken in the not too<br>
distant future, and that it may already be broken in government crypto<br>
agencies.  Of course, academics will cringe at my use of the the<br>
phrase broken, since many feel an encryption algorithm is broken once<br>
it's output can be detected as non-random.  That's just nonsense.  An<br>
algorithm is only broken when an attacker can decrypt stuff.</div></blockquote></div><br>Being able to detect a specific pattern is just another way of saying "There's something obviously going on here, we can see it, but we don't really know what yet". Cryptographic output is supposed to be homogeneous, random, noise. If it's so wrong that you can see which crypto it is, stop using it. There's something wrong. There's patterns that shouldn't be there. This is "funny engine noises". Stop using it.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Else just take some sort of streaming xDES or something. Pretty sure enough rounds would still work just fine and dandy.</div><div class="gmail_extra"><br></div>

<div class="gmail_extra">Hell, why not just use some pre-DES standard. Hardly any people out there would know how to use Differential Cryptanalysis. Since nobody will ever manage to break in it's secure. Of course, engineers will cringe at my use of the the phrase secure, since many feel a system is insecure once it has a known attack against it.  That's just nonsense.  A system is only insecure when an attacker actually breaks in.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">p.s. double spaces are a bad substitute for clear writing. Comma count is a side channel for simplicity is a side channel for clarity.</div></div>