> я? O_O с тех пор, как я таки зарегистрировался, я анонимусом уже не пишу.

Просто ты иногда похоже на меня мыслишь, наверное поэтому и путают. Я бы даже сказал, довольно часто. Ты зачастую умудряешься эпично и сурово откапитанить, избавив меня от такой необходимости. За это я тебе временами весьма благодарен, человек. И даже капитаню вместо тебя, когда тебе лениво :)

> и в дискуссии про соль я так, мимокрокодил. в том числе и потому, что я таки
> немного в криптографии нахватался, но совершенно не готов разворачивать
> полномасштабный бой: это не моя область, слишком много надо будет времени затратить
> на обновление и добавление знаний, чтобы аргументировано оппонировать.

Собственно я тоже не криптограф-гуру, просто мне до некоторой степени интересна эта область + приходилось пару раз делать самопалы, а халявить я не привык и поэтому до того как за что-то хвататься, маны и факи я все-таки курю и думаю головой, а не иными частями тела. Поэтому очевидные профанации и дезу я не допущу. Предложенная схема - предельно упрощена для очевидности Капитаном, в реальных протоколах обычно все несколько сложнее.

> и, кстати, вопрос был совсем другой: про «синхронность примеси», а не про
> уверенную идентификацию другой стороны. да, оно связано, но не одно и
> то же (если я верно понял вопрос).

Я вообще не вижу проблем организовать синхронизированную примесь. А рандом - так тот вообще сервантом клиенту посылается. Если злодей его заменит, ответ не сойдется и сервер пошлет клиента нафиг.

> в принципе, если нет *ни одного* канала, который можно считать довереным, то
> проблема вряд ли разрешима, и в таком случае SSL со всеми
> своими сертификатами никак не поможет: с чего бы сертификаты считать более
> довереными, чем всё остальное?

Ну вообще, если есть доверяемые инсталляции софта там и тут, можно сгенерить свои CA а остальные - выпнуть. Далее - динамический обмен ключами. Хотя и тут есть риск что одна из сторон хапнет поддельный CA-серт, но это детектабельно по левому фингерпринту. Хоть и потенциально не 100% безопасно.

> особенно учитывая факапы root authorities.

Вообще, идиотская затея - столько дятлов в рут ауторитях по дефолту и каждый может кому угодно что угодно подписать. ИМХО можно было как минимум запоминать параметры серта при первом визите сайта и если он изменился без внятной причинф, особенно изменилась ауторитя или фигнерпринт - однозначно ALARM. Почему столь простую и действенную затычку не сделали сразу - ?? (вроде бы очевидное решение).

> в любом случае нужно сначала хоть по какому-то довереному каналу обменяться чем-то. а
> дальше уже тот же socialist millionaire protocol поможет, например.

А дальще поможет уже хоть простое шифрование с pre-shared key'ем. Отсюда кстати вытекает еще одна возможность по проверке пароля без его отсылки, только вместо хешей будет шифрование. Шифруем рандомный сеансовый кей паролем, шлем его. Пытаемся юзать оный для поднятия шифрованной сессии. Если не выходит - лох не знал пароля и не смог верно расшифровть сессионный кей, пусть идет нафиг :)