> Поэтому никаких электроусилителей руля. Их к счастью намного меньше, чем гидроусилителей.

Электрика может даже надежнее гидравлики быть. Извините, это самолетам уже ок. А на встречку вылетают обычно по другим причинам. И судя по очередной новости - опять жигуль иномарку нашел. И одни в больничку, а другие - в морг. Как-то так и видно полезна ли технология.

> Но было бы желание - насадят. Как нассаждают FIDO2.

Ну как бы мне без моего желания фиг чего насадишь. Тем не менее я не против прогресса если это дает что-то измеримое и полезное. А ритуалы ради ритуалов - нафиг надо. Даже если вы так и привыкли.

> Для тех, кто этим занимается - очень даже есть. К сожалению их
> не всех можно достать и привлечь по соответствующим статьям.

Насколько я вижу оно на практике и не работает соответственно. NSA и NIST'а за DualEC DRBG зачмырил легион криптографов - и что хотят то пусть с этим и делают.

> Одно другому не мешает. У тех, кто занимается подобной деятельностью, денег на
> всё хватает.

А как тогда ваша теория объяснит факап с DualEC и паливом бэкдора? Да и вообще, даже самые злые зверушки типа Equation-ских тулсов разобрали. И дальше продолжают. Что-то ящерки лажают?!

> Собственно деньги у них есть именно потому, что они
> такой деятельностью занимаются. А если перестанут - то и денег не
> станет, и за деятельность придётся по закону ответить.

Интересно, вы сами то в это все верите? А призвать могут только в вопиющих случаях и даже так - ну вон equation номинально не NSA как бы а какая-то прикормленная группировка.

> Да, TLS сложный. Но тут как раз умысла нет, он так органично развивался.

Слово "органично" применительно к "TLS" звучит как крамола. Или извините, органические отходы. Потому что там и RC4 с 40-битным ключом так то бывал. А на память об этом и атаки на даунгрейд оптом. Получился супер-монстр которым вообще секурно почти никто пользоваться не умеет, с кучей проблем. Отличный пример snake oil encryption. А чтобы совсем не мешался под ногами, вот вам Cloudflare, он вам бесплатно, сайт, акселерирует, блабла, защита от доса! Ну и как вы поняли - если АНБ, ЦРУ или ФБР станет ОЧЕНЬ надо - наверное, они какое-то инфо у клаудспайвари могут и получить. А поскольку технически CF это MITM делающий SSL-бампинг... то в принципе вон те могут получить доступ к дофига трафа. Даже далеко за пределами своей юрисдикции.

> Не раскачивай лодку, новый протокол, сдизайненный сызнова, либо будет бесполезным,
> либо будет забагованным похуже TLS.

Да вот DJB показал как либы делать правильно и на его основе есть немало симпатичных мне протоколов, которые так то сильно лучше по свойствам. А вы можете плыть в своей лодке, только она что-то плавает хреново на мой вкус. И я не буду уповать всерьез на эту посудину.

Даже вон Tox какой - у него end to end крипто в чате 1 на 1 просто не отключается. И центральных серверов нет. Одно это уже здорово порадует желающих вторгаться в приваси нахрапом.

> Виноваты разрабы библиотек. Нужно простое API `InvalidationReasonsList isValid(cert)`

Еще одно булшит-бинго какое-то. Если посмотреть как крипто DJB делал, нужно на самом деле было не это - а вот именно секурный обмен 1 на 1. С минимальным знанием о ремоте. Ну там вот их пубкей. А в этом месиве наворотили черти что - и теперь два легиона хз кого могут "кому-то", "что-то" "удостоверить" и куча софта по дефолту этой кучи мути - "доверяет". Это пример голимо сделаных апи и протоколов. Когда обещают одно, реально совсем другое и вот именно безопасно, с именно TLS бывает довольно редко вообще. А большая часть софта ведется на тривиальные фокусы. Браузеры что-то как-то где-то - но там клаудсвайварь уже аннулировал почти все это добро.

> с стандартизированной минимальной реализацией (все сертификаты,
> невалидные в стандартизированной, должны быть невалидны во всех реализациях,
> соответствующей стандарту). Про CRL - это просто infeasible. CRLite - уже более
> feasible, но всё равно весит много. Бесплатного ланча не бывает.

Посмотрев как API делал DJB и протоколы на его основе я вон тому месиву могу пожелать разве что смерти. Может и мучительной - но желательно быстрой. Чтобы не засоряло планету псевдо-криптой которая не решает по сути никаких проблем. Оставляя море места на залет, несекурное использование апи и проч.

Например вот опенвпн - сертификаты клиента и сервера отличались 1 полем по сути, и это поле как раз все валидировать и забыли поначалу. Крутой дизайн, чо. Секурно - любой клиент подписан валидным CA и MITMает трафик имперсрнируя сервак. Но вы дескать можете вручную прописать.

А теперь берем вайргад и понимаем как делать впн правильно. Ну вот удачи в имперсонации там сервера клиентом. Это просто не предусмотрено. Зато вот роуминг и клиента и сервера сразу есть. Круто, мило, удобно. И в 50 раз меньше кода на аудит.

> RSA - это теория чисел, примерно понятная по курсам уровня 101. Эллиптика
> - это какая-то математическая жуть, в которой разобраться более-менее могут только
> математики.

Теория чисел по мере увеличения размера чисел и появления костыль-требований и требований к скорости так то тоже становится довольно жутковатой. Оказывается что бывают неудачные ключи, что можно неудачные параметры подогнать, а тут еще вот тайминги, и еще более 9000 вариантов что может пойти не так. И даже просто разложение на множитили больших чисел - по сути отдельная категория знаний. С дохрена собственной специфики. Особенно если это все попытаться к практическим применениям прикрутить.

> Атаки по времени - они везде. Атаки по энергии - они тоже везде.

Да вот - если есть алго A где это тривиально и B где это зарулили, это конкурентное преимущество алго B даже если забыть про скорость. Но забыть про нее не получится потому что вычислительные ресурсы - стоят денег. А задача крипто - заменить большой секрет маленьким. У RSA это довольно плохо получается потому что не такое уж оно и маленькое. И не такое уж и быстрое. И возникает куча ограничений на применимость которых у конкурентов нет. А квантовые компьютеры - как угодно но Шор был сформулирован для именно операций характерных для RSA.

> Атаки по эмиссиям - везде. Атаки по микропробингу
> - тоже везде. По времени ещё сложно но можно кое-как защититься,
> а вот по энергии вообще не возможно защититься без учёта особенностей
> конкретной микроархитектуры.

Ну как бы атаки по энергии требуют физический доступ. А по времени - можно и ремотно донимать вон тот беспроводной датчик, сервер, точку доступа, или куда там кто хотел. Одно дело если надо с проводами в сервер лезть и другое если можно пакетов ремотно покидать.

> Эти все атаки на реализацию либо предполагают либо физический
> доступ, который можно законтрить, что и делают в защищённых криптопроцессорах, либо
> можно законтрить программно, что тоже делают.

Ну и вот хорощие реализации крипто кроме всего прочего уж как минимум тайминг атаки в XXI веки должны учитывать. А не перепихивать проблему с больной головы на здоровую, при этом смея еще и козырять что это "решение" каких-то проблем.

> столько-то символов уместить такую сложную вещь", всё остальное приносится в жертву
> ради попадания в лимит. На практике же все используют nacl/sodium.

Я вполне себе tweetnacl пользуюсь, и знаю ряд проектов которые его или его деривативы используют. Особенно на микроконтроллерах, там упомянутые как-то великоваты. Но прелесть сей в портабельности, оно работает и так и сяк.

И идея вот именно маленького кода крипто который можно от и до прочитать - прекрасна. Это образец как надо делать крипто. И то на что либам стоило бы ориентироваться. Но поскольку краткость сестра таланта - да, талант не у всех есть. Заодно и узнаем где голимые посредственности snake oil раздают...

> На "медленно", "горячо" и "неэнергоэффективно" - учите физику и теорию игр. Безопасность
> - это небесплатно. Безопасность - это аукцион первой цены,

Если вон то алго делает это в N раз дешевле - это преимущество этого алго. А вы как, предпочтете вон там между сенсорами и пультиками нешифрованый линк, ломаемый ламо с снифером путем реплея пакета? Без крипты то? А не, на RSA там ресурсов точно нет - это проц цать раз дороже сразу надо ставить. Который от батареечки CR2032 не забутявится. И вот вам вместо брелка кирпичик такой - "зато с RSA".

> Сравнили WEP с RSA. Пойдите, выберите какой-либо челлендж на факторизацию RSA3072 и
> факторизуйте за две минуты, заодно приз их получите. Когда сделаете -
> тогда ваши доводы и будут иметь смысл. А пока это всего-лишь болтовня пустая.

Да спасибо - я видел практический вынос high-secure систем через low exponent attack. Мне хватило. А поскольку оно местами еще и в boot ROM процыков такое - ну вы поняли, некоторые штуки теперь так и умрут несекурными. А обещали, между прочим, совсем другое. И RSA таки помог им облажаться с своей "кучей особенностей".