<div dir="ltr">On Thu, Oct 31, 2013 at 2:02 AM, Hanno Böck <span dir="ltr"><<a href="mailto:hanno@hboeck.de" target="_blank">hanno@hboeck.de</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Wed, 30 Oct 2013 18:07:18 +0100<br>
Ralph Holz <<a href="mailto:ralph-cryptometzger@ralphholz.de">ralph-cryptometzger@ralphholz.de</a>> wrote:<br>
<br>
> the two most common exponents that one finds in X.509 RSA certs are<br>
> 65537 and 17 -- in my data, they account for near 100%. Have these<br>
> been chosen as the result of some standardisation and was there some<br>
> cryptographic reasoning behind it, or is it simply that any exponent<br>
> will do? Any performance issues?<br>
<br>
</div>NIST SP 800-56B says so:<br>
<a href="http://csrc.nist.gov/publications/nistpubs/800-56B/sp800-56B.pdf" target="_blank">http://csrc.nist.gov/publications/nistpubs/800-56B/sp800-56B.pdf</a><br>
<br>
(or to be precise, it says minimum size 65537 - so most people seem to<br>
choose the minimum, which is also fast in computation)<br>
<br>
There have been some attacks in the past that only work with very small<br>
exponents (like 3 or 4). An example is the Bleichenbacher attack on RSA<br>
signatures, it only works with e=3, see here:<br>
<a href="http://www.imc.org/ietf-openpgp/mail-archive/msg06063.html" target="_blank">http://www.imc.org/ietf-openpgp/mail-archive/msg06063.html</a><br>
<br>
65537 seems a reasonable choice, because it allows still fast<br>
computation. See Wikipedia:<br>
<a href="https://en.wikipedia.org/wiki/65537_(number)" target="_blank">https://en.wikipedia.org/wiki/65537_(number)</a><br>
"due to its low Hamming weight (number of 1 bits) can be computed<br>
extremely quickly on binary computers, which often support shift and<br>
increment instructions"<br></blockquote><div><br></div><div>I wonder if any performance obsessed fool has been spotted in the wild using an exponent of zero, which would be the RSA version of ROT-13, no?</div><div> </div>
</div></div></div>