MD6がSHA-3コンペティションを辞退したことについて

本当のソースはNISTのMLなのですが，アーカイブは公開されていない（要パスワード）ようですのでSchneierのBlogでもはっときます．
http://www.schneier.com/blog/archives/2009/07/md6.html

簡単にまとめると：
NISTがSHA-2と比べてのパフォーマンスが出ないのでラウンドを下げろ，と言ってきたけどMD6チームは（差分攻撃への）安全性証明ができないのでそれを許容できない，と判断し辞退した．

ということだと理解してます（間違ってたらご指摘下さい）

私はこれをとても残念だと考えてます．
・SHA-3は少々遅くてもいんじゃないかと思う．（＝今後CPUパワーが早くなることでカバーできる）
・MD6は（他の候補アルゴリズムと比べて）異端児なので頑張って欲しかった．
・NISTはあまりに異端児で，安全性を評価できなくて，パフォーマンス面だけを突いてきただけかもと懐疑的に思う．
ゴシップ的には，RivestのNISTへの強烈な批判，と捉えられなくもないけど，実際にはどうなんでしょう？CRYPTO2009で話題になるかな？

-----
MD6はSHA-3の中では既に広く利用されているアルゴリズムであることをどのくらいの方がご存知なのでしょうか？割と騒がれていなかったようなのでこれを紹介．

CONFICKER MOVES TO THE NEXT LEVEL
http://solution-blog-solution.blogspot.com/2009/03/conficker-moves-to-next-level.html

世界的に猛威をふるっているConficker.* にはMD6が搭載されています．しかもMD6リファレンスコードにバッファオーバーフローがあり修正されたことがありましたが，この修正もConfickerは追随している，という面白いお話です．

これを聞いたとき，次のCRYPTRECの募集を思い出しますよね．
http://www.cryptrec.go.jp/topics/cryptrec_20090527_application_guide.html

困難な要件のひとつに「広く利用されている」ことが含まれていますが，今回のように流布するとみんなに利用されることになるんだな，と（違）．