<div dir="ltr">On Mon, Sep 9, 2013 at 10:37 AM, Nemo <span dir="ltr"><<a href="mailto:nemo@self-evident.org" target="_blank">nemo@self-evident.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>The approach appears to be an attempt at a "nothing up my sleeve" construction. Appendix A says how to start with a seed value and use SHA-1 as a psuedo-random generator to produce candidate curves until a suitable one is found.</div>

</div></blockquote><div><br></div><div>The question is... suitable for what? djb argues it could be used to find a particularly weak curve, depending on what your goals are:</div><div><br></div><div><a href="http://i.imgur.com/o6Y19uL.png">http://i.imgur.com/o6Y19uL.png</a><br>

</div><div><br></div><div>(originally from <a href="http://www.hyperelliptic.org/tanja/vortraege/20130531.pdf">http://www.hyperelliptic.org/tanja/vortraege/20130531.pdf</a>)</div></div><div><br></div>-- <br>Tony Arcieri<br>


</div></div>