Какая то каша.> Сказать что все косяки известны применительно к сложной математической проблеме может только дилетант.
RSA старое и хорошо изученное.
Никаких принципиальных косяков там нет.
> Для обычных компьютеров 25519 хватит. А квантовые, если Шорр сработает, поимеют и эллиптику и RSA совершенно одинаково.
Ну вот есть мнение что квантовые не обязательны, но на уровне слухов.
Если же они всё таки обязательны, то 16к кубитов квантовый комп появится намного позже чем на 500-600 кубит, который и сможет ломать элиптику с 256 битами.
> публичный ключ 25519 можно передать в смс. Или Наколотить с клавиатуры при нужде.
Мне такое ни в SSH ни в TLS не требуется.
> Например в ssh можно RSA целенаправленно хост грузить, атакующий тратит намного меньше ресурсов чем цель.
На практике атакующий = брутфорс бот с какогонить сломаного роутера, который 16к хостовый ключ не может у себя обсчитать и отваливается по таймауту.
> То что еще и считается быстро - делает бессмысленными ремотные атаки ствящие целью выжрать CPU.
1. Для защиты от такого уже давно придумали лимиты по подключениям.
2. Если вы считаете что ECDSA или 25519 ничего не стоит в вычислительном плане - вы глубоко заблуждаетесь.
Я делал собственную реализацию ECDSA, те совсем-совсем собственную, у меня и математика своя вся, так вот во времена интелов 2016 года там было что то около 1к подписей с ядра, что у моей реализации что у других, которые оптимизированы. У неоптимизированных было всё хуже.
Если сейчас напихать туда инстриктов с AVX2, AVX512 может получится выжать дополнительно 5-15%, у меня то на чистом Си реализация, переносимая куда угодно.
> Итого: ты дико тормознул себе крипто, получил возможность атак на ресурсы и ничерта не приобрел. Сомнительный tradeoff.
Вывод не основанный ни на чём.
> Те кто поумнее - делают иначе. Они в протокол возможность симметричного PSK встраивают. Симметричное крипто это другой класс проблем и даже квантовые компьютеры ничего не смогут сделать с 256-битным симметричным ключом. Шорр если сработает то обвалит сложность проблемы до 128 битов, но и этого хватит, брут этого будет неперспективен.
Я вот что то не видел тех кто поумнее ни разу, и то что вы описали оно тоже не сильно умно, я не отрицаю ценность shared key, но применимость этого крайне ограничена.
То что вы утверждаете что Шорр может "обвалить" сложность симметричной крипты говорит только о том, что вы в теме разбираетесь плохо.
В ассиметричной крипте стойкость держится на том, что некоторые математические опперации вроде как необратимы, и вот квантовые компы вроде как могут это решить.
В симметричной крипте такие математические операции вообще не используются либо не являются основополагающими.
А те кто реально поумнее, они не доверяют одному алгоритму и последовательно шифруют данные разными алгоритмами на разных ключах, и получают при этом офигенную взломостойкость на десятилетия даже для откровенно слабых алгоритмов.
Именно так было сделано шифрование в DVB: два алгоритма: блочный + потоковый, оба хреновенькие, но ломать их и щас проблематично, а их уже поменяли на AES или ещё меняют.
