> Я смотрел код и алго. Сравнивал. Имхо djb понимает что делает.

И что с того!?
Как будто реализации 3des, RC4, MD5 плохие.
А математику там в основах вы врядли понимаете (я точно нет), без этого решение задачи нахождения приватного ключа из публичного вдруг может оказатся крайне тривиальной.

> Dual EC drbg не хотите?

А какие ваши доказательства что DJB не делает такой же фигни?
Код то вы прочитали, а понимание как оно работает нет.

> В (tweet)nacl/libsodium еще апи нормальное. А openssl пример как крипто делать нельзя.

Мне без разницы какое где АПИ, я редко криптой пользуюсь, а когда пользуюсь то часто это мои имплементации.

> Удачи с ipsec, tls и прочим "designed by committee". Я видел автора вайргада "in the wild", он неплохо понимает что делает и может обосновать. Криптосхемы придумал не он, но он понимает что делает, хорошо подкован в крипто, и опять же стремится делать не жирный и не объемистый код, годный для аудита.

Я не пользуюсь ипсеком, это какой то фуфел оверинженерный.
ТЛС у меня лично защищает коммуникации между жабер сервером и клиентами.
Файлы ходят по ссш.

А ваергард - фуфло, у которого на гвозди прибито 2-3 криптоалгоритма с сомнительной на мой взгляд стойкостью.
И лично меня поражает с какой скоростью его везде протащили, в то время как многие простые патчи висят годами без одобрения.

> И эти люди - про узкие кейсы? Есть уверенность что огромные либы не облажаются?

Внутрисемейный джаббер у нас под ТЛС с самоподписными сертами.
Ценность содержимого там около нулевая.

> 1) Сколько программ это реально делает?

Без понятия.

> 2) Вы только своими программами пользуетесь?

К сожалению нет.

> 3) Есть более локальные атаки, например, на виртуалках с хостом с эн кастомеров.

Это другая область, там можно унести крипту в TPM или просто предупреждать о рисках заранее: хочешь избежать рисков - покупай полноценный хостенг.

> 4) Это убивает перфоманс и создает оверхед.
> К сожалению это не халявно по ресурсам и перфомансу.

Чиво!?
Завести таймер, обсчитать элиптику, потом на срабатывании таймера отправить ответ.
Это 2 сискола на линухе, на фре может быть меньше одного если по полной заюзать kqueue().

> Я предпочитаю более разумный подход к крипто. Понимание модели угроз, возможные проблемы, сбалансированный ответ.

Больше похоже на завышенное самомнение чем на слова подкреплённые чем либо :)
Всё что вы описываете сводится к евангелизму крипты от DJB и попыток решения с её помощью всех проблем мира.

> 16К с лопаты - какие проблемы решает?

Мы это уже обсудили, не понимаю почему у вас бомбит до сих пор.
Но чтобы поддержать накал, напомню, что я отключил всё кроме RSA :)

> Как выглядит "изоляция сегмента" ворот открываемых с радиобрелка?

Ээээ...
Вы там писали про модели угроз: а зачем защищать ворота когда там вокруг "дыр" полно?