КАСТ-128 имеет 64-битный размер блока. Такой размер блока устарел. Не используйте такой размер блока (таким образом, не используйте CAST-128), если в этом нет необходимости.
ЛОКИ97 сломан, см. Ларса Р. Кнудсена и Винсента Раймена. Слабые стороны LOKI97. Не используйте его.
RC5 с изначально предложенными параметрами (64-битный размер блока, 128-битный ключ, 12 раундов) не работает, см. Alex Biryukov & Eyal Kushilevitz's Улучшенный криптоанализ RC5. Хотя в этой статье предлагаются параметры для 128-битной блочной версии, я сделаю вид, что RC5 устарел RC6.
Это оставляет МАРС и RC6 как конкуренты. Ни один из алгоритмов не близок к сломанному AFAIK. Они обсуждались и сравнивались NIST. Отчет о разработке расширенного стандарта шифрования (AES). RC6 оказался быстрее, особенно аппаратно. RC6 проще, на мой взгляд, но у него есть один недостаток: он использует переменное вращение, которое трудно сделать быстрым и постоянным на некоторых младших процессорах, не имеющих переключатель ствола (включая современные процессоры, например, некоторые варианты ARM Cortex M0).
Если бы я отчаянно нуждался в блочном шифре (исключая более простой потоковый шифр, такой как ЧаЧа) и почему-то стоял перед выбором в вопросе (таким образом не мог использовать AES/Рейндал), я бы, вероятно, использовал МАРС, если только скорость не имеет первостепенного значения, и я точно знал, что ни один ЦП, лишенный переключателя ствола, никогда не будет использоваться (в этом случае я бы подумал RC6)
Дополнение: если я застрял на 64-битном блочном шифре среди тех, о которых идет речь, я могу использовать КАСТ-128: это непрерывный AFAIK, и даже одобрено ИСО/МЭК 18033-3:2010, отзыв 2020.
