> Так научились делать, иди удвояй. )

В смысле научились? Они как я понимаю нестабильные, в чем утык и состоит.

>> Для 25519 и ко - я вообще пока не видел теории как это делать.
> Ходят слухи то эллиптика фсё.

Мы будем на техническом ресурсе слухами оперировать?! Крутой подход и экспертиза. А тут вот конкретное исследование с конкретными результатами. Такой подход мне больше доверия внушает.

> На публику АНБ отменило рекомендацию по переходу с RSA на ECDSA, и сказало
> типа сидите дальше и не рыпайтесь пока постквантовое по лучше не придумаем.

ИМХО, связано с DualEC DRBG факапом, после которого кривым от NIST принятым абы как - мало кто вообще доверяет. "Рекомендовать" это провальное занятие - "treason uncloaked".

> Может конечно дело в деньгах, но как минимум это означает что эллиптика
> не имеет особых конкурентных приемуществ.

Корпы "деньги зарабатывают", чем меньше затрат при равном результате, тем это выгоднее. Они быстро внедряют все что ведет к этому результату. И с 25519/salsa/chacha/etc они как раз довольно долго тупили как по мне. Первые эн лет это только криптографы и колупали.

Я набрел на это дело довольно рано, примерно когда DJB выкатил tweetnacl как демо возможностей своих алго. Мне такой подход очень понравился. И я считаю что хорошее крипто должно быть сделано как-то так. Мелкое, подлежащее аудиту, БЕЗ "супер" либ подставляющих под сабжевые атаки на ровном месте. Я вообще не понимаю пойнт солюшна если он подставляет меня под удар, написать что-то как-то как ламо я и сам могу! Так что спасибо великим благодетелям, аж два раза. От солюшна типа либы ожидается что они это могут выше среднего. А тут - нифига.

>> Мне больше нравится подход вайргада - там на этот случай проездной^W PSK можно сделать.
> А толку то если там снизу чача гвоздями прибита?

Меня она устраивает. Я не знаю на нее никакого крупного криминала. В отличие от творчества корпы RSA где что ни алго то кусок проблем. Когда вам в хлам сломали примерно 4 криптоалгритма и 5 хешей (даже если забыть про RSA), возникают определенные вопросы к господам. И слепо доверять им я пешком постою, особенно после бэкдора в PGP.

> Думаешь она такая супернадёжная?

На нее были криптоанализы - и они настолько обнадеживаюшие что гугл даже охамел и число раундов снизил в adiantum'е для скорости. Воздастся ли гуглу я не знаю

> Думаешь был практический смысл юзать чачу во времена когда AES-NI есть почти везде?

Для меня AES-NI это повод им НЕ пользоваться. Крипто в железе это первое место куда я бы бэкдоры встраивал. При том эта идея и до исследователей дошла и ряд атак тырящих ключи AES явно уповают на использование AES-NI. Наобум взятую реализацию атаковать канительнее. Но AES вообще неудобно делать с постоянными таймингами. Особенно на чем-то типа x86, дизайн у него такой. Структуры типа ARX это чистая математика, там как раз поводов для разных таймингов зависящих от ключа или входных данных минимум. Мне это видится более удачной идеей в целом.

А доверять хардвару без сорцов, от "благодетелей" с ME и PSP у лично меня НОЛЬ причин. Наверное в этом месте надо мне повторить ВАШ же булшит что NSA "для моего блага" работает и что спертый ими ключ или перехват контроля над платформой в принципе не проблема, блаблабла.

> Сходите почитайте как квантовые компы устроены, а то у вас представление на
> уровне: "куплю на рынке ведёрко кубитов, насыплю их дома в ванну
> по больше и будет у меня квантовый комп на 1м кубитов".

Я читал. И если кубиты удастся удерживать в сцепленном состоянии достаточно времени - не думаю что RSA долго продержится если Шор вообще работает. А идея тем временем на всякий случай погреть воздух счетом RSA-16K во имя луны у меня почему-то не вызывает энтузиазма.

> Не кладут. У меня открытый миру SSH и там только RSA hostkey, наоборот боты
> дохнут от подсчёта 16к :)

Спасибо но пытаться переддосить пачку на 100К ботов я лично не собираюсь, это вы как-нибудь сами такое.