> деньги, скорее всего, нереален (а за неразумное бесполезен -

Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченькими на блюдечке. Тоже вариант.

> А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.

Однако код в целом достаточно жирный и наворачивают его достаточно активно. Поскольку ресурсов у них меньше, проблема остается.

> Вполне можно было аккуратно его просмотреть.

Чтобы такой объем кода аккуратно просматривать - надо все каверити припахать и периодически повторять. И даже так что-нибудь может проскочить.

> (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)

А может и ему. Откуда ты знаешь что все блэкхэты на черном рынке делают?

> ну а как иначе-то? Это как раз базовое требование - заманаешься ты
> вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили,

Ну тогда и баги в комплекте уж извольте. Тут уж или простое и безглючное, или нафиченое но извольте баги собирать.

> и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет
> только весь код целиком запустить как виндовый service.

В линухе даже что-то такое есть, немного кривоватое но работает. Как оно в винде работает хрен бы его знает.

> нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора -
> одно дело, быстренько пробежаться по используемым примитивам libcrypto,

Проблема в том что либы тоже надо бы аудитить. Как показал openssl - его писали те кто лишь чуть лучше упомянутых. SSL и TLS сами по себе очень сложные, там много фич, позволяющих все нагнуть креативом со стороны атакующего.

> ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама
> структура гораздо сложнее. А размер все еще довольно разумный.

Все познается в сравнении. У "просто vpn" бинарь кил 50. У цуки бинарь мега три.

> называют, и тут же забил на проект.

Иппонец забил а дело живет. На то оно и опенсорс.

> они-то и к нормальному ipsec-концентратору могут коннектиться.

Я не думаю что это интересует большинство пользователей цуки.

> Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых

, нафиг не упало. Ставят несколько впн серверов и используют более вменяемые протоколы. Не застревающие на половине роутеров, фаеров и натов по дороге и не требующих phd для конфигурирования.

> вот это - действительно, сцуко сложно.

Поэтому ipsec-ом мало кто пользуется. Тупиковая ветвь эволюции. Его даже из mandatory в ipv6 убрали - все очень уж плевались на такое требование в mandatory при таком уровне использования. Много работы и при том вникуда. На конкурентное преимущество не тянет.

> Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий,
> внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без
> дополнитеных танцев с граблями.

Есть такая штука - overengineering. До добра он еще никого не доводил. Это касается и многих других протоколов семейства "designed by committee". Что SIP, что XMPP какой. Тоже переусложненные и кривые вещицы не от мира сего. Потом приходит какой-нибудь выскочка и делает в 20 раз проще и в 5 раз лучше. Работает этот мир так.