> А как с кетайской чумкой то было? Где были разоблачители падунов? Где
> разоблачители которые хотя бы прочитали в книжке определение "пандемия" и выглянувшие
> в окно чтобы не увидеть там никаких куч тушек?Знаете, эксперт по всему, а мне вот доки которых я лично знаю показывали как они хрипящих складывали. В коридорах! Потому что палаты забиты. И как ИВЛов на всех не хватало. И надо косплеить бога, решая кому жить, а кому умирать. И скорые в очередь, которые катали хрипунов часов 5 чтобы куда-то вообще положить. И я видел далекое шоссе. На нем синие огоньки. По всей длине. Десятки. Я никогда такого раньше не видел - и, надеюсь, больше не увижу.
Да, я прикинув масштаб джеппы слился в малонаселенную местность, где локдаун некому энфорсить. И наслаждался весенним лесом. Но - без людей. И с хардкорной упаковкой в местах типа магазов. А если вы хотели тушки, надо было добровольцем в красную зону ковидной больнички, было бы их вам, до дельты включительно. Потом измельчало и стало по сути самоходной вакциной этакой. Я к счастью познакомился уже с вот таким, мозг вынесло и месяц я почти прогать не мог, багов много. Но дыхалку уже не трогало. А вот кто поймал дельту и ранее - им не повезло, дыхалку оно убивало знатно. А кто похилее - вот, совсем убивало. Но эволюция неблагосклонна к сильно летальным вирусам, легкие но заразные версии получают преимущество и отбирают поляну.
> RSA было первым что вышло, тогда с этим не знали что делать
> и пытались тупо запрещать, накладывая экспортные ограничения. Вы же опять историю
> предмета не знаете а потом удивляетесь мыслям не совпадающим с вашими.
Я не спорю - тогда оно было шагом вперед. Но прогресс не обязан встать на паузу на дофига лет. А старичка пришлось основательно конопатить. Почти как rc4 какой.
>> А так на алго DJB есть атаки в paper'ах
> Мне не интересно это потому что не понятно.
Я стараюсь мониторить "state of art", что есть, какие проблемы, свойства, какие тренды и почему - такие. Не люблю следовать ритуалам, предпочитая осмысленный подход.
> Я не эксперт в крипте, я всего лишь имплементатор готовых алгоритмов и
> их пользователь.
Я тоже. Но я предпочитаю информированный подход, понимая что и почему я делаю, и почему именно так а не как-то иначе. И какие рациональные инженерные аргументы за и против есть.
> Я не могу судить о надёжности крипты ни по "красоте" алгоритма ни
> по таким публикациям.
Эти публикации показывают что кто-то копался и если он смог пробить ослабленную версию немного - значит копался не так уж плохо. Но если полной версии не досталось, логично предположить что margins были приличные. Это про salsa/chacha в основном. А если сразу на старте bias распределения как в RC4 - наиболее параноидальные криптографы предупреждали уже тогда что это не есть хорошо. ЧСХ оказались правы в их параное. Так я и узнаю кто в теме а кто бакланит. Эксперт редко лажает. А вот 4 уязвимых крипто или 5 хешей уже вызывают вопросы, да.
> Но я могу судить об общественных тенденциях и я вам уже поисывал
> что все поделки DJB внезаптно взлетели и пролезли везде за очень
> короткое время.
Это булшит. Оно лет 5-7 интересовало только узкую касту криптографов. И DJB особо не высоывался, дав им нормальное время на то чтобы изучить это все. Видимо ему не хотелось войти в историю как RC4 очередное. Он кажется умеет учиться на ошибках, в т.ч. и чужих.
> Так никогда не было. Даже Поттерринг со своими поделками не на все линукса пролез,
> а тут это даже в ядра BSD попало.
И что? В ядра много чего попадает. А так - корпы поняв что можно в разы меньше серверов под крипто покупать стали активно впрягаться. Но это было ой как не сразу. С таким же успехом примерно та же история и с линухом была. Первые несколько лет был малоизвестной штукой. А потом как вышиб бсды и проприетарные юниксы! И доволно быстро... в этом мире бывает нечто типа эффекта лавины, чтоли. Не думаю что DJB или Торвальдс целенаправленно создавали это. Способствовали грамотными действиями - по общему управлению проектом как максимум.
Ну а RSA пиарился внаглую - и коммерцию делали. И первыми были. И на бэкдоре в PGP засыпались, тренд на то что крипто должно быть открытым появился именно тогда, благодаря этому бэкдору. В сравнении с ними DJB сама скромность так то. Вот я и не понимаю что за двойные стандарты.
> И это на высоко конкуретном рынке крипты, где оно не сильно то
> и надо было. Допустим чача20 решала на момент появления проблему с нагрузкой на проц мобилок
> у которых не было аппаратного AES и гугл за это ухватился.
1) У меня хватает платформ где нет аппаратного AES.
2) Доверять хардварному блоку который ессно без сорцов - по моему самое тупое что можно придумать в крипто. И это самое удобное место для всех атак и бэкдоров. ЧСХ некоторые атаки на кражу ключей AES на как раз AES-NI и уповают. Нуачо, удобно же когда точно знаешь что и где атаковать. Со стороны атакующего, конечно.
3) Как я понимаю даже AES-NI полностью траблы с таймингами не решил и ему таки тоже прилетает по этой линии. Удачное дополнение к мельдонию и спектрам всяким. И конечно можно рассуждать как оно - но в мире полно хостов с пачками виртуалок и совсем не айс если кастомер сможет разломать хост или соседние VM. А с вон тем сочетанием - таки чего доброго сможет уже. Может у вас в BSD это и не популярно а у нас с линухом KVM часть ядра и мы этим пользуемся. И покупаем копеечные kvm-вдски вот под всякие сетевые нужды.
> Но 25519 с тайминг атаками - не было и нет такой проблемы in the wild.
С учетом его конструкции - и того что референс сразу показал как это делать правильно -
> Если бы вы сами что то делали для опенсорца, то знали бы
> что очень часто мало сделать работающее решение, нужно ещё задолбать овнеров
> проекта чтобы ваш патч взяли в него.
Я прекрасно знаю что и как в опенсорсе. И кроме всего прочего я знаю что часть либ писана откровенными ламо. OpenSSL например обладает отвратительным апи и авторы ламы, а виноваты они только тем что первые. Если бы этот кусок крапа сдох, мир стал бы заметно безопаснее. И форканули его несколько раз, от libressl до boringssl - не от хорошей жизни, а устав по вулну в месяц затыкать ПОСТОЯННО.
> И часто бывает что ваш патч никому не нужен.
Я вообще несколько проектов форканул не спрашивая особо. Конечно это катит не всегда и не со всем, с чем-то типа openssl можно и надорваться. А вот tweetnacl опиленый под МК я таки не надорвусь. И слать патч DJB с отломом выравнивания кеша не буду, я и сам знаю что device specific optimization это весьма компромиссная штука. Использовать такой код можно только с BIG RED WARNING и четко понимая ограничения.
> Тоже самое с распространением инфы: мало "создать новость" нужно ещё как то
> сделать чтобы её везде "напечатали".
Вы это рассказываете тому кто на опеннет новости писал пачками. И один из мотивов это делать было как раз немного исправить такое состояние дел. С неких пор я это правда для русскоязычной аудитории более делать не буду.
> Я просто резюмирую ещё раз.
> Нет проблем с тайминг атаками в дикой природе.
Мне не нравится когда проблемы "решают" вот таким способом и попытками рассказа про суперлибы. Особенно при наличии решений не имеющих этой проблемы.
