> Как я понимаю, в OTR фингерпринт ключа не виден лишь пассивному наблюдателю.
> Но те кто проводит активные атаки (mitm перехвативший первую сессию, или
> просто некто лишний, иициирующй OTR сессию с того же сервера) без
> особых проблем узнают fingerprint. А что им помешает то?В OTR -- да. В zero knowledge системах и активный атакующий не сможет.
Если не ясен zero knowledge, то советую например прочитать про это в Прикладной криптографии Шнайера. Я не умелец подобные вещи рассказывать.
> Факт возникновения пакетов - всяко будет виден даже пассивному наблюдателю в канале
Это если они посылаются. Без аутентификации они не будут посылаться.
> На мой взгляд оно довольно бесполезная хрень,
> которая только зря все усложняет. В смысле, на что у меня
> продвинутые знакомые, но эту фиговину применить не вышло, так что практиковалась
> обычная сверка fingerprint-ов.
Криптографы другого мнения и считают это полезным и нужным.
> Ну вот я и думаю что циферпанкам могло бы иметь смысл посмотреть
> на все это и сделать заново. В 20 раз компактнее и
> проще и не особо профукав свойства.
Ну так приведите пример что конкретно можно было бы упростить. У шифропанков и криптографов вот как-то не выходит. Это если про протоколы и алгоритмы. Про реализацию молчу: тут уже тема больше программистов касается и вообще тенденции в мире неимоверно безумно всё усложнять в коде, вешать кучу абстракций и прочего.