<div dir="ltr">On Fri, Sep 6, 2013 at 3:03 AM, Kristian Gjøsteen <span dir="ltr"><<a href="mailto:kristian.gjosteen@math.ntnu.no" target="_blank">kristian.gjosteen@math.ntnu.no</a>></span> wrote:<br><div class="gmail_extra">

<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">        Has anyone, anywhere ever seen someone use Dual-EC-DRBG?<br>


<br>
I mean, who on earth would be daft enough to use the slowest possible DRBG? If this is the best NSA can do, they are over-hyped.<br></blockquote><div> </div><div>It's implemented in Windows and in a number of other libraries*; I can't find any documentation on which points these implementations use. But I agree that there's little technical reason to use it—however, who is to know that a vendor couldn't be influenced to choose it?</div>

<div><br></div><div>In pursuing the list NIST validations, there's aa number of cases where Dual_EC_DRBG is the only listed mode, but all of them (with one exception) are issued to companies where they have other validations, generally on similar products, so it just looks like they got multiple validations for different modes. The one exception is Lancope, validation #288, which validated their use of Dual_EC_DRBG, but no other modes. So it looks like there's at least one implementation at use in the wild.</div>

<div><br></div><div> - Tim</div><div><br></div><div>* - The implementors that <a href="http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html">NIST lists</a> are: RSA, Certicom, Cisco, Juniper, BlackBerry, OpenPeak, OpenSSL, Microsoft, Mocana, ARX, Cummings Engineering Consultants, Catbird, Thales e-Security, SafeLogic, Panzura, SafeNet, Kony, Riverbed, and Symantec. (I excluded validations where the implementation clearly appears to be licensed, but people can name it anything they want, and some of the above are probably just OpenSSL forks, etc.)</div>

</div></div></div>