> Нет, в ECDSA / RSA снизу обычная математическая библиотека, из которой тогда
> потребуется выкинуть очень много всего и часть переписать.

Вот не надо тут гнать, покрывая всякий ХЛАМ и в результате задвигая качественную работу специалистов. Это просто свинство и дезинформация, и в крипто это ни к чему хорошему не ведет, там честная оценка свойств алго наше все. У DJB например математика достаточно простая для того чтобы она была без всяких супер пупер "математических библиотек". И ее писал тот кто понимает как это делать правильно. И даже альтернативные реализации как правило все же в состоянии взять этот аспект под контроль в силу относительной простоты операций.

> В моей реализации это было примерно 1/3 от объёма всей реализации ECDSA.

Я не знаю что там у вас за объемы и реализации, а tweetnacl с 25519 эллиптикой влез в самый лажовый микроконтроллер, заняв 2 кило флехи и не более 2 кило рамы. И код там - аж 1 файл на все. И прочитать его можно от и до. Вот это - правильный подход к крипто. А если напихать всяких жирнолиб деланых какими-то ламо, с более 9000 фич - потом всякие heartbleed'ы заманаешься вычищать и патчи на CVE будут раз в месяц, как с openssl. А уж вон то будет каждый первый раз когда кто-то в этот хлам палочкой потыкает.

Такие же господа RC4 так же покрывали. И закончилось это весьма печально - мы получили WEP, который под громкие слоганы о "wired equivalent privacy" был разнесен просто в хлам. Так что я могу его вынести за примерно пару минут сейчас.

> И возможно в EC функциях тоже придёися выкинуть оптимизации или перейти на
> заранее неоптимизированные алгоритмы рассчёта.

И что? Эллиптика настолько шустрая что даже вот не особо оптимизированный tweetnacl на мк заканчивает счет за вполне обозримое время. А RSA на такой платформе - тупо без шансов. Разница по ресурсоемкости - на ПОРЯДКИ. И это не шутка. А бонусом еще ключи сильно мельче.

На память об этом Tox ID можно даже смской послать. И юзать ключи 25519 напрямую как адресацию DHT. Удачи что-то такое с RSA вообще. Даже если забыть что это проц в полку пригрузит, вместо изящного дизайна получится ацкий франкенштейн.

> Там огромный пласт математики.
> Guide to Elliptic Curve Cryptography от Darrel Hankerson, Alfred Menezes, Scott Vanstone

Я видите ли другой гайд скачал - tweetnacl называется. И вполне себе заценил как этот "пласт" математики могет быть, если его делать правильно. Я вполне могу прочитать ВЕСЬ пласт от и до. В этом весь пойнт данного дизайна и состоит. И в одном месте я таки там грохнул выравнивание таймингов - потому что у МК кеша нет и там оно бесполезная операция, только оверхед создает ничего не улучшая. Но этот код в результате нельзя на PC гонять, по САБЖЕВЫМ причинам. И я это отлично понимаю.

> Я это проходил по шагам у себя в коде, уж не помню
> точно, но минимум х10 ускорение я точно получил.

А я вон тот гайд на самый мелкий из микроконтроллеров который у меня был загнал. И если оно работает на вот этом - на чем-то более компообразном ЭТО будет работать со скоростью ракеты. Потому что Cortex-M3 на 24 МГц это такой процик весьма на минималках. Ах, кстати, из зала подсказывают что 25519 даже на AVR'ки есть. Так что даже эти 8-битные мамонты в публичное крипто могут, вот. А слабо там RSA?! :D

> В целом скажу так: RSA/ECDSA это очень много кода и очень сложные
> и запутанные вычисления, не нужно думать про это как про хэш
> или симметричную крипту где порой всё умещается в 1к строк кода

А таки tweetnacl намекает что, вот, если задаться целью сделать простой, компактный и читаемый код без страшных суперлиб - это можно.

> на С и легко считается на кеше проца

Кеш проца создает чертову кучу проблем с такмингами как раз. Cache hit vs miss это весьма драматическое отличие - и это все портит создавая вполне измеримые разницы в времянках, утекающие инфо о ключах и данных.

> а то и вообще в регистрах.

...теперь вы понимаете почему СОВРЕМЕННОЕ крипто типа Salsa/Chacha и ко это структуры типа ARX вместо S-box'ов, и что криптографам не нравится в том же AES. Вот что что а регистровые операции намного лучше в плане постоянных таймингов. S-box толи попадет в кеш, толи нет, и без специального внимания начинается ... примерно вон то же самое, тайминги нестабильные, инфо о ключах или данных начинает утекать.

Как угодно но профессиональные криптографы - параноики. И хотят странного. Потому что они как раз вещи типа сабжа - прекрасно понимают. В отличие от местных "экспертов". DJB знал все вон то на уровне интуиции уже ...цать лет назад. А то что практические атаки приперло имплементить только сейчас - хороший профи может предвидеть многое в своей области. Потому и профи. Как-то так я и узнаю кто эксперт в области а кто лаптем хлебает щи.