
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 30, 2013 at 2:21 PM, James A. Donald <span dir="ltr"><<a href="mailto:jamesd@echeque.com" target="_blank">jamesd@echeque.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 2013-10-01 00:44, Viktor Dukhovni wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Should one also accuse ESTREAM of maliciously weakening SALSA?  Or<br>

might one admit the possibility that winning designs in contests<br>

are at times quite conservative and that one can reasonably<br>

standardize less conservative parameters that are more competitive<br>

in software?<br>

</blockquote>

<br></div>

"less conservative" means weaker.<br>

<br>

Weaker in ways that the NSA has examined, and the people that chose the winning design have not.<br></blockquote><div>This isn't true: Keccak's designers proposed a wide range of capacity parameters for different environments. </div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Why then hold a contest and invite outside scrutiny in the first place.?<br>

<br>

This is simply a brand new unexplained secret design emerging from the bowels of the NSA, which already gave us a variety of backdoored crypto.<br></blockquote><div>No, it is the Keccak construction with a different rate and capacity. </div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

The design process, the contest, the public examination, was a lie.<br>

<br>

Therefore, the design is a lie.</blockquote><div>I'm sorry, but the tradeoffs in capacity and their implications were part of the Keccak submission from the beginning. During the entire process commentators were questioning the difference between collision security and preimage security, as it was clear that collisions kill a hash as dead as preimages. This was a topic of debate on the SHA-3 list between DJB and others, because DJB designed Cubehash to have the same tradeoff as the design NIST is proposing to standardize.</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>

<br>

<br>

______________________________<u></u>_________________<br>

The cryptography mailing list<br>

<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>

<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/<u></u>mailman/listinfo/cryptography</a><br>

</div></div></blockquote></div><br>Sincerely,<br>Watson<br>-- <br>"Those who would give up Essential Liberty to purchase a little Temporary Safety deserve neither  Liberty nor Safety."<br>-- Benjamin Franklin 

</div></div>