> Те 25519 везде тащат и прибивают на гвозди никого особо не спрашивая,Чем больше опциональщины тем больше возможностей для атак. Как с SSL где MITM просто согласовывал DES с 40 бит ключом, вклинившись в хендшейк. Чем больше опций в протоколе тем лучше атакующему: можно спровоцировать несекурное комбо или вызвать фалаут на стыке когда стороны неверно поймут друг друга, захотят разного а MITM с этого что-то полезное извлечет.
И нет, никто в здравом уме уже не будет использовать RSA в новых дизайнах. Он просто хреновый по свойствам. Это примерно как 3DES использовать вместо AES или там ChaCha какой. В разы медленнее, ничем не лучше по стойкости, огромные ключи которыми неудобно обмениваться между людьми, дофига особенностей в реализации которые могут при некорректной реализации дать под дых, аннулировав всю схему.
Простой пример: в качестве приватного ключа 25519 можно взять любое 256-битное число. Единственное требование - атакующий не должен это число так по простому угадать. Нет никакой фазы отсева и проч, все ключи валидны.
Теперь попробуйте этот номер с RSA. Почувствуйте разницу.
> но раз Сноуден чего то там то можно расходится, нет повода > для волнения, так?
Дело тут не в сноудене а в том что с точки зрения практической имплементации RSA хуже по вем мыслимым параметрам. И если что, вот тут для его фанатов не так давно новость была.
И кстати если рассматривать авторов в целом, и их алго, творчество господ из RSA по жизни испытывало проблемы с безопасностью. Что их Message Digest (MDx), разломанные от и до, что их симметричное крипто - вплоть до RC4 разломано все, а потом всем просто надоело латать с такой скоростью и они другие алгоритмы от других людей предпочитать стали, тем более что RSA еще и коммерцию пытался на этом активно делать, народ не совсем понял такие соотношения и предпочел креатив других авторов.
И если сравнивать... ну и как, на Salsa/Chacha что-то сравнимое с вулнами RC4 найдется, допустим? :)