> RSA старое и хорошо изученное.Оно есть несколько дольше эллиптики, и не более того.
> Никаких принципиальных косяков там нет.
Криптографы обычно сдержаны в своих обещаниях и оценках такого рода. Это и отличает их от дилетантов.
> Ну вот есть мнение что квантовые не обязательны, но на уровне слухов.
Для NISTовских кривых - может быть, слухи попадались, мутно сделаны. А 25519... с точки зрения threat model, DJB в отличие от - не может спустить "стандарты" на бошку. И поэтому сделать что-то мутное ему проблематичнее, приходится обосновывать почему он думает что этот дизайн - заслуживает внимания. Делая все прозрачно. Без непонятных левых параметров выбраных хз как неизвестно кем, все такое. У него хватает статей с описанием дизайна и почему он полагает что это ок.
> Если же они всё таки обязательны, то 16к кубитов квантовый комп появится
> намного позже чем на 500-600 кубит, который и сможет ломать элиптику с 256 битами.
Рост технологий бывает экспоненциальный, я бы на это сильно уповать не стал.
> Мне такое ни в SSH ни в TLS не требуется.
Это удобно в VPN типа вайргада, штуках типа Tox и проч. Изначальная идея крипто - в том чтобы заменить большой секрет маленьким. Очевидно 256 ближе к этому чем 16К. Поэтому сильно лучше если удастся отделаться ими.
Ну и используя вон ту парочку за безопасность рассуждать прикольно. Простите, в ssh большую часть сессии реконструируют по таймингам и утечкам, пафос с 16К не поможет. А в TLS весь PKI один большой бэкдор. Как огромный ключ поможет от левого серта? Или вы запинили все ключи во всем софте и уверены что софт корректно проверяет это? Особенно с долбанутыми апи типа опенссл и кодом либы который криптодилетанты делают, ага. Да, атак на валидацию сертов и прочее тоже было более чем.
> На практике атакующий = брутфорс бот с какогонить сломаного роутера, который 16к
> хостовый ключ не может у себя обсчитать и отваливается по таймауту.
Новомодный log4j наверное не на роутерах крутился. А прийти может и эн ботов. Да, вы правильно поняли, я узнал об этом о....в от load average, не понравилось :)
> 1. Для защиты от такого уже давно придумали лимиты по подключениям.
Агаблин, если припирается распределенный ботнет, они либо бесполезны, либо защищают и от админа заодно. Сношаться с вайтлистами и прочим - ну нафиг, неудобно должно быть атакующим а не админу, иначе пойнт утерян.
> 2. Если вы считаете что ECDSA или 25519 ничего не стоит в
> вычислительном плане - вы глубоко заблуждаетесь.
Я неплохо в курсе вычислительной сложности 25519. По сравнению с RSA это мелкая, легкая и очень быстрая штука, разница на порядки. Именно поэтому с ним возятся.
> Если сейчас напихать туда инстриктов с AVX2, AVX512 может получится выжать дополнительно
> 5-15%, у меня то на чистом Си реализация, переносимая куда угодно.
А я затолкал DJBшный 25519 на скромный мк. Съело 1.5к рам, 3 кил кода, на десятке мгц scalarmul (им паблик из привата считается, и шаред секрет) пару секунд. Если юзать djb'шное апи то там есть оптимизация beforenm/afternm, если мсг более 1 то "dh" вообще 1 раз на всю толпу можно. А рса туда бы не впихнулся при всем желании. И я не настолько донкихот чтобы "вообще совсем свой" dh делать. Вот так залететь - легко! У DJB половина алгоримта - срубание тайминг атак. Без этого потом можно будет побитово ключи угадывать по разнице времянок. DJB в курсе и умеет это рубать. А обычные люди - не очень. Для этого надо очень круто знать и железо и крипто.
> Вывод не основанный ни на чём.
Я все же останусь при этом мнении. Особенно когда это для ssh и tls. Несбалансированая схема: жестко тормозит, но может пролететь десятком глупых способов и общий пойнт баланса мне не понятен. Можно я назову это бессмысленным и беспощадным?
> Я вот что то не видел тех кто поумнее ни разу, и то что вы описали оно тоже не
> сильно умно, я не отрицаю ценность shared key, но применимость этого крайне ограничена.
Идея в том что оно переживает фэйл 1 из 2 компонентов. И я это в нескольких крипто протоколах видел. Но для этого надо смотреть на что-то менее дурное чем ssh и tls.
> То что вы утверждаете что Шорр может "обвалить" сложность симметричной крипты говорит
> только о том, что вы в теме разбираетесь плохо.
Эти оценки выдавал кто-то из криптографов, как пессимистичный вариант развития событий относительно квантовых компьютеров, если там удастся применть сравнимые идеи. Я решил что на всякий случай буду на это ориентироваться. Благо симметричных 256-битных алгоритмов есть, они не особо тормозные, даже на мк нормально, с ключом 256 битов я могу жить, даже вбив с бумажки и проч если надо.
> В ассиметричной крипте стойкость держится на том, что некоторые математические опперации
> вроде как необратимы, и вот квантовые компы вроде как могут это решить.
Они не "необратимы" а "сложно обратимы", насколько я понимаю идею вещей типа RSA и DH. И держится на этом "сложно". Шорр пересматривает эти допущения, он изначально про разложение на множители, сильно эффективнее не-квантовых алгоритмов, "сложно" пролетает, RSA наступает крышка. А адаптации сравнимых идей вроде бы можно и для DH и EC сделать. Но да, вы правы, я не про в крипто. Прикладные применения крипто всего лишь мое небольшое хобби, на весьма базовом уровне. В современном мире быть совсем профаном в крипто - икается. А жулья и лапши много.
> В симметричной крипте такие математические операции вообще не используются либо не являются
> основополагающими.
Однозначно. Это была оценка чего-то типа наихучшего случая и явно не Шорр в оригинальном виде. Но там со временем много вариаций на тему появилось.
> А те кто реально поумнее, они не доверяют одному алгоритму и последовательно
> шифруют данные разными алгоритмами на разных ключах, и получают при этом
> офигенную взломостойкость на десятилетия даже для откровенно слабых алгоритмов.
1) Использование psk в паре с паблик примерно такие цели и преследует, только еще PFS в лучшем случае будет. Это вроде бы не получится только симметричными одними. Что-то типа three pass реально сделать внушающими доверие симметричными алго? Или так не катит?
2) Для откровенно слабых алгоритмов - ну, э, по идее сложность увеличивается линейно, если они слабые. Так что всерьез надеяться на это я бы не стал.
3) Есть отличный от ноля шанс нарваться на непредвиденные взаимодействия и зависимости, так что эффективная сложность может оказаться иной чем ожидалось, не в лучшую сторону. Криптографы на это любят пример RC4(RC4) приводить, он сам себя с одинаковым ключом аннулирует полностью. Это утрирование, но идею показывает.
> Именно так было сделано шифрование в DVB: два алгоритма: блочный + потоковый,
> оба хреновенькие, но ломать их и щас проблематично, а их уже
> поменяли на AES или ещё меняют.
В случае DVB все что их интересует это чтобы стоимость вскрытия превышала профит от этого. Не больно какое огромное требование, поэтому за образец стойкости я бы это брать не стал, не это у них design goal. А жирный поток делает таких склонным к компромиссам. И если разговор идет про 16К вы целились явно выше этого компромисса. Или делали неизвестно что и зачем.