Возможен ли такой генератор псевдослучайной последовательности для поточного шифра (типа шифра Вернама), криптографическая стойкость которого была бы сравнима с блочным AES?
4eloBek: Гамма, генерируемая стойким блочным шифром в режиме CTR вполне криптостойка. Например, российский ГОСТ 28147-89 имеет прямо в тексте стандарта формулу подготовки счетчиков, и ни у кого не было никогда претензий к этому. В режиме гаммирования остается риск инвертирования бит исходного текста без взлома сообщения, но это минус всех бит-ориентированных поточных шифров, если такая угроза есть в модели угроз - "навешивайте" сверху какой-либо MAC.
Если я неправильно понял, какие коллизии Вы имели в виду - напишите или пришлите ссылку ...
Средний
