>> И ее писал тот кто понимает как это делать правильно.
> Осталось найти таких же проверяющих которым можно доверять :)

Хотите сказать что ящерки скупили ВСЮ ПЛАНЕТУ?! А если даже, они и RSA скупили, ну и зачем тогда тормозить больше? По вашей же логике ;)

А так на алго DJB есть атаки в paper'ах, но успех маргинальный, только ослабленных версий, с параметрами показывающими что margins нормальные. Так что в adiantum encryption или как его, гугл даже рискнули убавить число раундов salsa/chacha, видимо прочухав это. Я люблю когда то что я вижу превосходит обещания. DJB зарекомендовал себя пессимистом. Корпа RSA наоборот: их добро радовало факапами и недоговорками. RCx и MDx до RC4/MD5 - хлам, всем скопом. Сам RSA, с кучей проблем и особенностей. С чего вдруг фанатизм по их творчеству я не понимаю.

И если про доверие: RSA попалось на бэкдоре в PGP. С чего доверять? А DJB всегда прозрачно обосновывает пойнт своих алго и объясняет почему они такие. На его сайте paper'ов с обоснованием дизайнов - есть. Так я хотя-бы частично понимаю какие предпосылки для доверия. Дизайн и почему он такой - разложено по полочкам, от и до. И да, там и про сабжевые атаки написано. Откуда я и узнал что САБЖИ будут. Спасибо DJB что позволил мне предвидеть будущее. Это было круто.

> Думаю если постараться то и я бы смог упихать туда элиптику без
> оптимизаций и для маленьких кривых :)

А я взял tweetnacl и немного обрубил лишнее, постаравшись не испортить хороший код своими лапками. Но таки отломав для МК без кеша выравнивание константных времянок нейтралищующее кеш коего там нет. Но я понимал лимиты применимости и на PC это не будет использовано. Оно и с выравниванием таймингов шустрое, а если мало, есть варианты оптимизации даже не алго а его flow, и, наконец, более оптимизированные либы, но даже они не такие стращные как RSA, и даже tweetnacl сделает RSA как с куста. А "дешевая" генерация пар ключей, без ломовых проверок, позволяет PFS делать легко и удобно. Там любой рандомный битстринг 256 битов как привкей катит, лишь бы его не угадал атакуюший. RSA до такого как пехом до пекина, надо проверок гонять, иначе залет. А без PFS - я пассаж про голубей влет верну уже на вашу голову.

>> И код там - аж 1 файл на все.
> Так и мой код можно в один файл скопипастить, компелятор/препроцессор это и
> делает по сути :)

ИМХО, после пассажей про суперлибы делающие ЗБС вы ни 1 нормального криптографа не найдете на аудит вашего нечто. С вами понятно сразу на старте. Секурно у автора с такими суждениями не будет. У вас нет паранои, для wannabe криптографа фатальный недостаток. А без хоть каких-то более-менее известных криптографов посмотревших ваш код про доверие вообще разговоров нет.

В моем случае я не "конструктор крипто" а "имплементер" и это разные аспекты. Я понимаю что моих скиллов маловато для первого но имхо у меня есть шанс осмысленно практиковать второе.

> Сходите книжку почитайте. )

Я своим глазам больше верю. Если алго даже для МК пашет и я могу прочитать ВЕСЬ код за вечер - мне тут кто-то явно втирает очки, стало быть. Почему я должен доверять такому и его супер-либам где даже тайминги выровнять не могут - хз!

> Я понятия не имею про ваш любимый tweetnacl и 25519, у поделки
> DJB заметно другие и вычисления и кривые.

Да, и чего? Оно появилось не вчера. Вычисления не ресурсоемкие. А криминала за годы его существования не нашлось особо. И свойства в целом куда как. Например любой рандомный bitstring на 256 битов валидный ключ, лишь бы атакующий его не угадал. RSA на этом фоне... ну в общем PFS на вон том куда проще и шустрее. А без PFS я пассаж про голубей и припомню, уже применительно к ВАМ.

> Вы щас сказали что "да все машины одинаковые, чего ваш камаз тякой тяжёлый!?

Тогда вы в ваших терминх недовольны тем что многие стали пересаживаться на легковушки, когда они появились. С аргументами про скорость, габариты, расход топлива и удобство парковки. А тут вы такой - "можно за хлебушком и на камазе подрулить". Можно! Но парковаться неудобно и топливо на мероприятие дороже чем хлеб выходит, да и недешевая штука.

> Вон у соседа запорожец, мы вчера его ему на 5 этаж по лестнице подняли!".

Внезапно и спустить смогут. И за хлебушком съездят. И проблем с парковкой у булочной сильно меньше. Да и по узким улицам по сравнению с камазом - апгрейд.

> Вы радуетесь не тому.
> Сомневаюсь что вы понимаете математические основы крипты на эллиптических кривых (я не
> понимаю), а то что там рассчёты простые или сложные - это не важно.

Я понимаю азы на базовом и упрощенном уровне. Но я и не лезу конструировать новые алгоритмы такого класса потому что не знаю все нюансы. А того хватает чтобы понимать имлементационные проблемы и детали на уровне выше среднего и не делать явно провальных вещей.

> Зачем боротся с ветряными мельницами, когда на них можно молоть зерно?

Со временем оказалось что мельницы лучше делать по другим технологиям, если хочется ветряк, лучше генератор поставить. Передать энергию. А зерно молоть без привязки к наличию ветра в локации. Это называется прогрессом.

> Я же указал просто решение: слип с рандомным числом.

1) Это не адресует ресурсоемкость RSA. И корпы от него отделываются в основном потому что сервера и электричество им денег стоят, чистая прагматика, имхо. А мне это позволило открыть новые горизонты, типа более-менее секурных мелких линков между датчиками и пультиками. RSA там не влезет, PSK не всегда практично, а несекурные линки которые ломает любой олух с снифером - достали.
2) Это перепихивает кучу проблем на имплементера и повод НЕ юзать такое алго с их стороны. Что только ускорит драп с алго.
3) Это привносит ряд не самых простых в оценке факторов - насколько сложно это аннулировать со стороны атакующего и насколько это эффективно. Потом окажется что ведет к измеримому jitter воооон там, рядом. Потому что иному потоку больше CPU досталось. И чего? А, писать свой delay() не отпускающий проц? И наломать в нем дров с константностью времянок vs CPU vs optimizers? Это то да, совсем не война с ветряками...

> Ну или просто всегда ответ по таймеру через заранее зафиксированные промежутки времени,
> как делает тот же OpenSSH когда невалидный пароль вводишь.

С SSH трабла в том что пачка ботов с ломовым RSA может сожрать все ресурсы и на какомнить дешевом KVM VDS так можно вообще не дождаться захода на сервак до таймаута. А рояль в кустах типа порт кнока или автобана это прекрасно - если оно было. А если еще нет - упсь... да и ботам так то пофиг, их там сотни тыщ с динамики, им автобан ваш довольно пофиг, они не закончатся никогда, и IP у них много. А какой перфоманс у вашего фаера если туда 100К айпишников загнать? Ну ладно, на лине с ipset - еще можно потрепыхаться и с таким.

> Нет, не понимаю.
> Salsa/Chacha - сомнительный крипто алгоритм.

И причиной для сомнений является... что? На них была толпа криптоанализов - и результаты очень неплохие как по мне. А вот что AES предъявляют я понимаю. Примерно что и сабжу. И периодически, вот, исследователи тоже публикуют разные стебные способы как стырить ключи. И кстати такое забавное наблюдение: атаковать salsa/chacha иссследователи в исследованиях на кражу ключей через тайминги "почему-то" не любят. Видимо догадываются что ударно попахать с нулевым результатом менее интересно чем выкатить стебную атаку :)

> Можете и дальше поклонятся своему пророку, я отношусь к его работам скептически,
> прежде всего потому что они и поделки на их основе чрезвычайно быстро были везде внедрены.

Булшит. Первые лет 5-7 вообще мало где применялось как раз. А потом корпы заметили что оказывается можно в разы меньше ресурсов убивать с тем же результатом. А сервера - не бесплатные. Если бы RSA был, про повсеместный https речь вообще бы не шла имхо.

> Чтобы вы знали, ECDSA появилось в 1998 году на замену RSA, в
> те годы RSA реально очень медленно работало и это было проблемой.

Оно и сейчас очень медленно работает и жрет прорву ресурсов. Особенно если 16К какой взять. Если это локалхост под кроватью с 1 юзером пофиг. Но во всех остальных случаях это по сути ремотный DoS в виде общедоступного тяжелого "RPC" вывешенного всем. Что в мелких системах которые не хотят более гонять управление и сенсоры не шифроваными, что в нагруженных серваках. А ненагруженный сервак - инвестиции на ветер так то.

> И когда я занялся иплементацией, кажется в 2014-2015 годах это ECDSA всё
> ещё мало где встречалось на практике.

Вы сами себе противоречите - то внедрили быстро то мало где применялось. История такова что имхо DJB был здорово недооценен прилично времени. Я лишь "возвращаю техдолг" по сути. Насколько я вижу по его коду, по сравнению с "супер либами" не способными к константным таймингам даже вот - и тем более коду который можно прочитать за вечер - вон то это просто work of art (C) Torvalds (он это про вайргада, там чуть больше чем только DJB, но все же).

> А тут за какие то 10 или менее лет крипта которая не
> сильно отличается от ECDSA и поделки на её основе (wireguard) пролезли
> во все щели без мыла, даже толком не ревьювили, сразу мержили в ядро.

Потому что как раз алгоритмы более-менее выдержались лет 7-10, криптоанализы случились. Проблем особо не нашли. А на RSA, вот, таки - есть ряд известных грабель.

> Так обычно не происходило. Чудес бесплатно не бывает.
> Если можете - думайте :)

Я и подумал: почему-то корпы решили что тратить в N раз меньше ресурсов на крипто выгодно по деньгам на сервера и электричество. А вон там это позволяет применения которые ранее вообще невозможны были, из-за прожорливости RSA. Что-то типа Tox на RSA было бы страшным уродливым монстром, в разы тяжелее и с абсолютно ужасным кодом. И вместо вайргада был бы кошмарик типа openvpn. Который, на минуточку, штатно атаковался в режиме MITM любым кто серт клиента получил, эта тупая гадость даже по дефолту тип серта не чекала дочерта лет, так что MITM развлекались от души. И за голову они взялись более-менее серьезно лишь когда WG врезал им пинка. Но там уже поздняк, господа.