<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Sep 3, 2013 at 12:49 AM, Jon Callas <span dir="ltr"><<a href="mailto:jon@callas.org" target="_blank">jon@callas.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<div class="im"><br>
<br>
On Sep 2, 2013, at 3:06 PM, "Jack Lloyd" <<a href="mailto:lloyd@randombit.net">lloyd@randombit.net</a>> wrote:<br>
<br>
> On Mon, Sep 02, 2013 at 03:09:31PM -0400, Jerry Leichter wrote:<br>
><br>
>> a) The very reference you give says that to be equivalent to 128<br>
>> bits symmetric, you'd need a 3072 bit RSA key - but they require a<br>
>> 2048 bit key.  And the same reference says that to be equivalent to<br>
>> 256 bits symmetric, you need a 521 bit ECC key - and yet they<br>
>> recommend 384 bits.  So, no, even by that page, they are not<br>
>> recommending "equivalent" key sizes - and in fact the page says just<br>
>> that.<br>
><br>
> Suite B is specified for 128 and 192 bit security levels, with the 192<br>
> bit level using ECC-384, SHA-384, and AES-256. So it seems like if<br>
> there is a hint to be drawn from the Suite B params, it's about<br>
> AES-192.<br>
><br>
<br>
</div>The real issue is that the P-521 curve has IP against it, so if you want to use freely usable curves, you're stuck with P-256 and P-384 until some more patents expire. That's more of it than 192 bit security. We can hold our noses and use P-384 and AES-256 for a while.<br>

<br>
        Jon<br></blockquote><div><br></div><div>What is the state of prior art for the P-384? When was it first published?</div><div><br></div><div>Given that RIM is trying to sell itself right now and the patents are the only asset worth having, I don't have good feelings on this. Well apart from the business opportunities for expert witnesses specializing in crypto.</div>
<div><br></div><div>The problem is that to make the market move we need everyone to decide to go in the same direction. So even though my employer can afford a license, there is no commercial value to that license unless everyone else has access.</div>
<div><br></div><div><br></div><div>Do we have an ECC curve that is (1) secure and (2) has a written description prior to 1 Sept 1993?</div><div><br></div><div>Due to submarine patent potential, even that is not necessarily enough but it would be a start.</div>
<div> </div></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>