> Как будто реализации 3des,

Он просто унылый: тормоз и уязвим к тайминг атакам. На этом фоне salsa/chacha дикий апгрейд. И судя по всему удачный. На, если не ошибаюсь, чачу, вроде кто-то смог математический пруф почтенной стойкости к дифф криптоанализу подогнать. Могу с salsa путать. Не уверен что для кого-то еще такое вообще смогли.

> RC4, MD5 плохие.

Мир будет лучше если про них все просто забудут. Один ключи течет и state уязвим к таймингам, второй коллайдится играючи. Утечку ключей можно заткнуть, но такой ценой что смысл...

> А математику там в основах вы врядли понимаете (я точно нет),

Я разве что на базовом уровне идей. Математика очень крутая, специфичная, в паре с matching этого с защитой от таймингов серьезно превышает мой уровень. Именно поэтому я предпочитаю делегировать это тем кого считаю компетентным в вопросе. Это не мешает оценивать их деятельность по косвенным индикаторам и мнению других экспертов.

Пример: для RC4 криптографы очень давно заметили что набрав примерно 16 мб шифрованых данных можно заметить bias относительно истинного рандома. Это плохой признак для крипто, поэтому некоторые подозревали RC4 сильно до того как формально анонсировали утечку данных ключа в первых 1024 байтах выхлопа.

> без этого решение задачи нахождения приватного ключа из публичного вдруг может оказатся
> крайне тривиальной.

КМК некий уровень подобного риска присущ большинству публичного крипто, особенно если квантовые компьютеры учитывать. Один из аргументов за двойные схемы с psk для симметричного крипто.

> А какие ваши доказательства что DJB не делает такой же фигни?

Ну, например, dual EC всплыл а на DJB ничего не накопали. Хотя смотрели. Он же это криптограферской тусовке сперва вывалил, как раз для этого. А dual EC вывалили с лопаты, как стандарт. Не помню чтобы его до этого публично анализировали все желающи. Но разумеется ненулевой риск факапов есть всегда, много где. Иногда в самых неожиданных местах. Кто 10 лет назад думал про spectre или rowhammer?

> Код то вы прочитали, а понимание как оно работает нет.

Я соглашусь что операции над кривыми довольно специфичная штука. Тем не менее, на планете есть и люди поумнее меня. Dual EC они спалили. А тут - ну, ок, где хоть сколь-нибудь правдоподобные претензии для алго вылупившегося не вчера?

> Мне без разницы какое где АПИ, я редко криптой пользуюсь,

Хорошее апи спасает от глупого прострела пяток на ровном месте, обеспечивая желаемые свойства без внимания от того кто рискует это прошляпить.

> а когда пользуюсь то часто это мои имплементации.

Еще одна не самая удачная идея на свете. Профи уровня DJB зарулит тайминг атаки и проч и спасет окорока остальных от хреновой кучи дурного булшита, который даже просто предвидеть довольно трудно. Таймеры - оно как бы да. Но кроме этого есть другие процессы, а всякие спектры и мельдонии это только усугубляют. И если не повезет - при удачном положении звезд вон тот жыэс нагло сопрет ключ из чужого процесса. Если я не полный баклан, штуки типа ARX как в salsa/chacha должны быть устойчивее к этому вроде. Сколько ни мерь фиксированые тайминги линейного reg-only кода, какую новую инфу замер даст?

> Я не пользуюсь ипсеком, это какой то фуфел оверинженерный.

Ну да. TLS так то не сильно лучше.

> ТЛС у меня лично защищает коммуникации между жабер сервером и клиентами.

Там все тоже довольно компромиссно.

> Файлы ходят по ссш.

Ну как бы работать будет, но ssh не предел мечтаний.

> А ваергард - фуфло, у которого на гвозди прибито 2-3 криптоалгоритма с
> сомнительной на мой взгляд стойкостью.

Автор этого неплох в крипто. Он забавный тип, как я понял у него хороший бэкграунд в крипто, или типа того, но при этом он имплементер. Это редкое сочетание. Большинство других вещей, типа опенссл, писано куда менее компетентными людьми. Там и огребают по вулну в месяц. Вайргад будет сильно лучше в этом аспекте имхо. Ну и понятного мне обоснования этих сомнений я так и не увидел.

> И лично меня поражает с какой скоростью его везде протащили, в то
> время как многие простые патчи висят годами без одобрения.

Когда Торвальдс называет что-то "work of art" это что-то значит. Да, кроме всего прочего код вокруг крипто должен быть простым и подлежащим аудиту. Это кроме всего прочего означает что универсальные швейцарские ножи с 150 лезвиями должны умереть. Из-за размера. А куча алгоритмов приводит к выбору явно провальных комбо или слабоизученным взамодействиям.

> Внутрисемейный джаббер у нас под ТЛС с самоподписными сертами.
> Ценность содержимого там около нулевая.

В подобных качествах токс, пожалуй, прагматичнее :P. Он самозапустится, сервер содержать не надо, а бота на сишечке с ништяками (например, показаниями датчика температуры за бортом) я ему сильно быстрее сделаю чем вы это жабиру на чем вам угодно.

> Без понятия.

В этом и проблема. Почти все программы которые я видел работали с TLS криво.

> К сожалению нет.

Ну вот я о чем. Надеюсь это объясняет мою любовь к openssl'ному апи. Если я видел эн программ с тупой лажей примерно одного свойства - упс, паршивое апи.

> Это другая область,

Даже JS в браузере может попытаться что-то такое извлечь. Особенно с спектрами и мельдониями. Это повод его зарубить но это не всегда возможно.

> там можно унести крипту в TPM

Поверим проприетарному мутноблобу в его фирмваре что он белый и пушистый?

> или просто предупреждать о рисках заранее: хочешь избежать рисков
> - покупай полноценный хостенг.

Отлично, а спонсор банкета кто? :)

> Завести таймер, обсчитать элиптику, потом на срабатывании таймера отправить ответ.

При этом
1) Есть сетап таймера и обработка срабатывания. Это некий код и время его выполнения.
2) Это кодинг данного барахла на ровном месте.
3) Это придется брать с запасом относительно worst case. За что заплатим потерей PPS. Для тормозного алго вдвойне весело.

> Это 2 сискола на линухе, на фре может быть меньше одного если по полной заюзать kqueue().

См. выше.

> Больше похоже на завышенное самомнение чем на слова подкреплённые чем либо :)

Мм... ну я это попытался хоть немного. Если не получилось, ну чтож. А, и еще, openssh с неких пор по дефолту DJBшные алго использует. Они там как, тоже все болваны получаются?

> Всё что вы описываете сводится к евангелизму крипты от DJB

Дань уважения хорошей работе теперь вот так называется? Ну наверное можно и так назвать.

> и попыток решения с её помощью всех проблем мира.

Всех? Что вы. Например я не буду настаивать что 25519 точно переживет квантовые компьютеры. Вот это вообще не факт.

> Мы это уже обсудили, не понимаю почему у вас бомбит до сих пор.

Потому что я не понимаю пойнт такого tradeoff? Ну, если вас устроит "бессмысленно и беспощадно", тогда понимаю, хоть оно и странно :)

> Но чтобы поддержать накал, напомню, что я отключил всё кроме RSA :)

Вы в вашем праве наслаждаться счетом 16К RSA во имя луны. Мой пойнт лишь в том что я сомневаюсь что это ощутимо улучшает что-то.

> Вы там писали про модели угроз: а зачем защищать ворота когда там вокруг "дыр" полно?

Допустим что забор нормальный, ворота содержатся хорошо, может быть и гараж вообще. Да и пойнт чаще ограничение авто а не двуногих. Грите, изоляция сегмента? :)