<div dir="ltr">On Tue, Oct 1, 2013 at 3:08 AM, Adam Back <span dir="ltr"><<a href="mailto:adam@cypherspace.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=adam@cypherspace.org&cc=&bcc=&su=&body=','_blank');return false;">adam@cypherspace.org</a>></span> wrote:<br>

<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">But I do think it is a very interesting and pressing research question as to<br>


whether there are ways to plausibly deniably symmetrically weaken or even<br>
trapdoor weaken DL curve parameters, when the seeds are allowed to look<br>
random as the DSA FIPS 186-3 ones do.</blockquote><div><br></div><div>See slide #28 in this djb deck:</div><div><br></div><div><a href="http://cr.yp.to/talks/2013.05.31/slides-dan+tanja-20130531-4x3.pdf">http://cr.yp.to/talks/2013.05.31/slides-dan+tanja-20130531-4x3.pdf</a> </div>

</div><div><br></div><div>Specifically:</div><div><br></div><div><a href="http://i.imgur.com/C7mg3T4.png">http://i.imgur.com/C7mg3T4.png</a><br></div><div><br></div><div>If e.g. the NSA knew of an entire class of weak curves, they could perform a brute force search with random looking seeds, continuing until the curve parameters, after the seed is run through SHA1, fall into the class that's known to be weak to them.</div>

<div><br></div>-- <br>Tony Arcieri<br>
</div></div>