Алгоритм SAFER К-128

В 1995 г. автор алгоритма SAFER К-64 писал (устный доклад на эту тему был сделан автором на конференции в декабре 1994 г.), что данный алгоритм был весьма положительно принят в мире и реализован в множестве различных средств. Поэтому почти сразу после презентации алгоритма SAFER К-64 Джеймс Мэсси начал разработку алгоритма SAFER К-128, который шифрует с использованием уже 128-битного ключа шифрования.

SAFER К-128 отличается от SAFER К-64 только процедурой расширения ключа, которая была предложена автору алгоритма специалистами МВД Сингапура. Ее отличие от исходной легко видно в том, что фрагменты расширенного ключа формируются параллельно из двух 64-битных половин 128-битного исходного ключа шифрования.

Там же Джеймс Мэсси приводит ряд соображений касательно описанной выше атаки Ларса Кнудсена:
в части нахождения коллизий за 223 вместо 232 операций атака применима и к алгоритму SAFER К-128;
автор алгоритма считает, что применение алгоритма блочного шифрования в качестве основы хэш-функции происходит достаточно редко, но в этом случае достаточно увеличить количество раундов алгоритма SAFER К-64 с 6 до, как минимум, 10; каких-либо более серьезных модификаций алгоритма не требуется.

По материалам книги Сергея Панасенко «Алгоритмы шифрования»