> 1, 2) Так ему уже лет 50. Это отличное и хорошо изученное
> решение, которое до сих пор актуально.

Это дряхлый дедушкин запорожец, который еще каким-то чудом ездит. После многочисленных латаний гнилых порогов эпоксидкой и матюками, вечной переборки движка и запуска с толкача.

Единственное достоинство - "он был первым". Все остальное - недостатки. Начиная от авторов отметившихся бэкдорами (в PGP) и заканчивая дырявыми алго изрыгаемыми теми же авторами, что намекает что господа очень примерно понимали что и зачем делают.

...да и вон то творчество DJB вылупилось не вчера. Только юзать куда проще, приятнее, а вулны в нем - ну и где? Этому тоже уже более 15 лет. И криптографы это смотрели довольно активно. И ничего не узрели особо. Так что многие корпы решили что им оно катит и стали на это массово переходить. Серверов на счет RSA не напасешься. Особенно с жирным ключом. Особенно если HTTPS везде внедрить и проч.

> За это время все другие криптоалгоритмы ушли на пенсию, даже сильно более молодые.

Какие-то ушли. А какие-то остались. И если посмотреть кто ушел на пенсию, творчество RSA как раз в самом топе и будет. Что RC4, что MD4/5, да в общем то почти все что массово использовалось на поверку оказалось хламом. R в RC4 так то - то же что R в RSA :)

> 3) Вы не понимаете сути.
> До констант тайм его никогда и никто не думал доводить потому что это тупо.

Я как раз таки вижу что нормальные криптолибы этим заморачиваются. И в коде DJB я это вижу. И оно со всеми этими константными таймингами - RSA мастеркласс дает с диким отрывом.

Так что по моему это вы понимаете как сделать хреново, стремно, сложно, ресурсоемко и - с кучей дурных проблем на ровном месте.

> Там снизу гора математики, выкинуть от туда все оптимизации это как с
> машины снять колёса и нанять носильщиков вместо них. (ниже я расписал
> в отдельном сообщении подробнее)

Видел я эту "гору" математики в tweetnacl - и сравнив с вон тем - осознал что криптолибам не обязательно быть уродливым стремным монстром, писанным некомпетентными ламо, с кодом который аудитить полжизни надо.

А можно вместо всего этого КОШМАРА - вот - код который реально прочитать за вечер. Без мутноты. Работающий на порядок быстрее даже без особых оптимизаций. И при этом с константными таймингами. Для меня это был отличный пример как делать крипто правильно.

> Насчёт ботов по ssh вы совсем не правы. У меня ключ хоста
> 16к бит RSA и как раз таки боты на этом и обламываются часто: пока они там
> на своём дохлом проце считают у них или память кончается или по таймауту отваливаются.

Проблема в том что участь сервака при этом ни разу не лучше. Я просто запретил RSA у себя - и пусть они там с ed25519 подбирают пароль, если хотят. Все равно не угадают, он немеряный.

> PSK вы упомянули, а чего тогда не упомянуть фльдегерей и почтовых голубей?)

От фаната ржавого дедушкиного запора с деревянной "скамейкой" на багажнике и слышу :)