很早之前在百度贴吧据别人的想法统计过一次。

http://i.imgur.com/Kz3lH2s.jpg

http://neoatlantis.github.io/%E6%95%B0%E7%90%86/2011/06/09/benford-law-experiment.html

@9hills 我觉得如果能埋线就不用埋光纤了。电力猫都可以试试吧？

@ota 理性是好的，但是只有（或者说只剩）理性是不好的。

以前某论坛上有人搞激光传输，弄得很麻烦。后来有人自称说把网线上的各个线头用激光中继就行。
我猜测用网线的4根线用到的线，分别用激光传输就行。
自己diy的话难度不小= =

过去是：看看！邻居家的小孩比你穿衣服还快！考试比你分高！还能拿什么奖！

现在是：
XXXX大院小孩子穿衣速度评测
XXXX学校同学考试排名（嗯早就有了）
XXXX区YYYY能力评测

@Eleutherios 手机确实泄漏啊。大学时军事理论课来的解放军叔叔举过毛子打车臣的栗子。据说苹果手机能通过某个飞机上的设备激活什么的。此外去某些厂子实习时参观车间也要求手机都存在外面，不是关机就行的。

@Halry 见面了也不能聊，只能用肢体语言（比如眨眼睛或者用手指点对方，摩尔斯电码）。

@schezuk soga，这不是加密，是用汉字来编码。不过这样效率没有Base64高（但这未必是缺点）。
要注意避免敏感词出现。不过Base64有时候也更容易，比如 \xf3\xde\xb8 出现某个年份组合就难免了。

一个字符可以代表64比特（在B64编码时），但是两个字符构成一个汉字（至少得这样），就得找4096个汉字（幸好汉语博大精深）。

@zts1993 从另一个角度考虑，也可以认为能知道网上找男友又长得漂亮的确实值得交往（不过考虑网站的b格，似乎不太成立？）

咦我为什么要回复这种话题。。。

已经本科毕业了，却还是觉得自己在计算机方面要更感兴趣。
但是如果因此换专业，也有点轻率。机械的坑很深，但是计算机的似乎也很深。
难的地方不一样而已。
这个时代恐怕没什么学科那么浅了。

@threezhiwang 那就得看要求足够到什么程度的安全了，或者说防的是什么人了。我只是要求比一般的好一点。有些东西也是和设计有关的，比如Salsa20就比AES在抵抗测量时间的那种攻击要好一点（Bernstein好像是这么说过）。

顺便补充个在别的哪个网站上的估计思路。

我假设用256比特的对称加密。要暴力破解的话，

假设地球上有100亿人口（=10^10）
每人有100台计算机
每台计算机每个操作的完成时间我按照光速除以一个飞米（10^-15次方米，是一个纳米的的一百万分之一，原子直径相比之下有几百皮米，亦即是原子直径的十万分之一）
每台计算机的这样的操作有100个单元。
每个操作就能进行一次破解的尝试。

于是2^256 / (10^10 * 100 * (3*10^8 / 10^-15) * 100) = 2^131.5
这样的话才能刚刚在1/16秒之内破解一个128比特的加密。
但是破解256比特的加密的话（实际上破解256比特的加密平均下来尝试128比特就应该有一半的概率能碰到了），需要的量可不是线性增长的：

2^256 / 2^131.5 / (86400 * 365) 年，即9.5×10^29年。

我们即使到了这一天，顶多把256比特的加密升级到512比特。

@dndx 我再重复一遍：OTP不实用！！还要我强调几遍？缺少很多有用的特性。

我相信50年之后不能破解，这就够了，50年不够加大长度到100年，我反正不见得能活到那个时候。

签名问题不是你这么搞定的。加密和签名是两回事。
签名完全可以针对明文签名。
我要求的是，我签名了，别人不能伪造。
比如我发一个公告，我需要全世界都能看到，但是我需要没人能伪造我的公告。
我不需要加密，我只需要签名。

比如你运行一个服务器，你要求别人不能假装是你的服务器。
现在的SSL是很简单的，可是如果你偏要用OTP，就只能要求线下每个用户收到你一光盘，每张还得是好几个G的流量。
而且，更糟糕的是，你还得在服务器上储存所有用户的流量！
反正我是不会这样设计。

顺便吐槽下v2ex的发快封半小时的做法。

----

@threezhiwang 说的对。我正在搞这个（http://neoatlantis.github.io/topics/commsys.html）：

http://i.imgur.com/G8pXg8M.png

我打算用一个独立的计算机来负责完成类似GPG的工作。
然后外面的聊天软件，用一个插件向我的独立设备发送offer（“我可以给你递交数据，你要说啥？”）
然后独立设备上可以编辑offer。用户如果觉得在设备上打字麻烦，可以在外面编辑。但是只有设备是被信任的。
对方的聊天软件收到密文之后，送进设备解密或者验证签名。
之后根据设备上可以完成的手动或者自动配置，可以将解密后的东西送出设备（这样的设想是为了让设备可以自动化，比如作为门禁系统的一部分）。
另外我考虑把签名和证书分开。就是证书只是自签名的密钥。
别人的对证书的签名“文档”（类似授权书），和证书附加在一起就算是了。但是不设计单独的一种格式。

@dndx

“如果以后计算机的计算能力大幅提升，那么 salsa20 完全有可能被破解。”
——破解对称加密比破解不对称加密难得多。请参考密码学理论。良好设计的比如256比特的算法，在量子计算机下被降低到128比特的强度，但是之后还是暴力破解。目前看来，就算把整个地球上的水都拿来冷却地球上所有的计算机，恐怕也是不够的。

DHE是能破解。这是在量子计算机下不安全的东西。但是post-quantum时代的算法也在研究（就是抗量子计算机的），比如Merkle Signature Scheme（TUDarmstadt研究得很多）这个签名机制，现在稍微改进下基本都能实用了，签名结果长度和RSA差不多（不短，比如要3-4kB），但是很安全。加密方面有NTRU，但是这个我了解的不多了。

我说的这些的安全，是实用的，保证在正确使用的情况下，让你这辈子看不到有人能破出来的。下辈子，也不太可能。

@dndx 不要转移话题。这和人与人的信任是两回事，通信的双方也可以只是两台公司内部的分开的计算机。或者比如，我现在在国外，我要和国内的之前信任的小伙伴联系。我知道对方的语气、长相，但是我和他只能通过互联网联系，而且是马上。

>>> 于是你要我走之前和他交换光盘？

256比特的密钥量子计算机也无法破解。前提是对称加密算法。量子计算机只能把难度降低到128比特上。

还有你没考虑数字签名的情况。这个必须是非对称算法。比如我要签署我发布的软件。

@dndx 我的回复好像没到你的点子上。伪随机序列，比如我们假设用salsa20获得一个这样的序列，如果能在2^70的长度内无法（在一定的代价——比如计算能力——上）和真随机序列区分，那么我的算法就是安全的。这是论证的一个步骤。这种情况下我就只需要保存128～256个比特的密钥。这样的密钥分发就简单多了，销毁也简单多了（假设我把加密数据存在磁带这样的读起来快写起来慢的设备上了，我为了粉碎文件，也只是需要抹消几遍密钥，而不是把整个介质从头到尾抹消几遍）。

自从用了Linux，感觉病毒也是越来越少了oh yeah