> 1. Спасибо, я предпочту не испытывать резкое торможение благодаря посланным через CAN
> несанкционированным вредоносным командам.

Вон тот, с CAN, вылетевший на встречку, может быть не в курсе этого желания. Да и тебя самого может при неудачном раскладе вынести на встречку или убить о стену/фонарь/дерево/чего там. Мало ли какой факап на дороге случается, у кого колесо отваливается (у хрычей на хламе кст не редкость). Или из фуры перед тобой выпадет все что угодно. Мало ли какое д@рьмо!

И когда твой рыдван встречается с стеной/деревом/фонарем/обладателем CAN, вообще, маленький гаденыш с фирмварой и датчиком ускорения может быть довольно полезен. Это ты ничего сделать не успеешь. А для него навалом времени на аксель посмотреть, понять что дело дрянь, пульнуть подушки, задолго до того как водятел вообще соберется пируэт через лобовое делать. А впечатываться в надутую подушку прикольнее чем в фонарь/асфальт/стену/обладателя CAN.

> 2. Ещё раз. Крипта - это пострашнее чем rocket science. Всех, кто
> достаточно квалифицирован в ней, либо купили, либо запугали, либо непрерывно ведут
> и при необходимости ликвидируют.

Это все какие-то мантры о ZoG. Криптографы живут в самых разных юрисдикциях, публикации хреначат, а после того как публикация выложена уже и ликвидировать смысла нет.

Насколько я вижу - все проще: пропихивают абы что в стандарты, делая сами стандарты переусложненными.

Так что вот вам Dual EC DRBG на кривой козе, с кривыми которые никто особо не изучал на публике, без обоснования почему такие, и общий аргумент за дизайн "потому что гладиолуc^W NIST". И что-то вон тех, показывающих пальцами на ЭТО - никто не ликвидировал. Все дружно обгадили NSA и NIST и до сих пор живые.

Или вот TLS, с кучей версий, опций, плохими спеками, и еще более плохими реализациями. А что будет если переусложненный протокол будут реализовывать какие-то ламы которые даже не криптографы толком? А, вот вы тут по дефолту "доверяете" легиону какой-то шушеры со всего глобуса. Вас правда не спрашивали - доверяете ли. А вот супер-апи, где даже просто понять валиден ли серт - рокетсайнс, так что половина программ тупо не чекают серты и толку от их TLS примерно ноль. Даже OpenVPN на эти грабли вставал, чертову кучу лет клиенты могли MITM себе подобным делать от лица сервера, просто потому что тип сертификата по дефолту не чекался, а CA и серт валидные в том контексте по любому. Но конечно вы сбоку можете прописать чек. Вот только кто ожидает такой кидок от VPN в дефолтах? Или вон там более 9000 старых вариантов алго и версий протокола "для совместимости". Так что MITM задаунгрейдит секурное до несекурного, а прога даже и не обратит внимание. С такими апи как в openssl это норма жизни.

> Поэтому чем проще крипта - тем лучше. Эллиптика слишком сложна для нематематика,

RSA на порядки сложнее. И костылей море. Отсев заведомо хреновых ключей, кучи костылей, проверок, можно неудачные параметры типа low exponent attack, а тута, вот, тайминги, оказывается, профачили в таком монстре то. Ну кто бы сомневался. Реально код реализации RSA который без заведомых дыр и факапов - на порядки сложнее кода эллиптики в том же tweetnacl, при том никакого особого криминала на него за столько лет так и не нашлось. В отличие от RSA где с той же low exponent было немало ололо с выносом high-secure систем "на ровном месте".

Конечно истинное понимание математики за этим - отдельный топик. Так что не стоит пытаться менять основы математики не будучи плотно вхожим в область. А еще детали реализации. Типа, вот, учета утечек наружу по косвенным каналам. А вот это уже может и просто нормальный програмер, достаточно аккуратный и параноидальный, понимающий как работает железо. Далеко не любой математик вообще вхож и в этот аспект одновременно. И как видим оно вот тут было полностью профачено, а тормоза алгоритма только усугубили этот аспект.

> решётки ещё страшнее. А вулны в либах гипотетические и их закрыть я
> уже сказал как надо.

Да нет, вот знаете, в сабже довольно практическая атака. И такого счастья - они так то не первые нифига. В крипто не бывает мелочей. То что для пофигиста мелочь и теоретическая атака, для исследователя топик исследования а для атакующего - шансы на успех. Заметно более высокие чем лобовой брут ключа так то.

> Константное время - это нужно, но навесная защита тоже даст константное время.
> Без всякого навязывания сомнительных криптосистем и без слома совместимости.

Ну вы можете WEP использовать "для совместимости", в своем праве. Только не взыщите если его разнесут за 2 минуты. А потом при таком отношении к инфррмационной безопасности разнесут и все остальное не сильно дольше.

И таки нет - я не дам вам грузить мои системы счетом RSA-16384 инициируемым ремотно. Это само по себе вулн - "тяжелый RPC доступный ремоте". Хоть там как, но это возможность DoS атаки, при том судя по тому как мне таймаут на VDSке при нашествии ботов был, довольно работоспособный "в диком виде".