<div dir="ltr"><br><div class="gmail_extra"><br>What would be your pick for a non-brittle modern asymmetric cipher?<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<br>
(Context:  When I had to hack this in -- against my better wishes --<br>
about a year ago, I used the blinded-RSA construct.  I'm not thrilled at<br>
this because the details are way beyond my understanding, but it will do<br>
for now, low levels of value at protection.  I'd love a better way.  My<br>
alternate planned path is to switch to later generation<br>
<a href="http://safecurves.cr.yp.to" target="_blank">safecurves.cr.yp.to</a> at some point but that depends on having the<br>
design/intern/paper/reference code to do it, segway to other posts about<br>
TLS/TCP/curveCP/QUIC/....)<br>
<span class=""><font color="#888888"><br>
<br>
<br>
iang<br>
</font></span></blockquote></div><br><div>As far as I know, a careful, constant-time implementation of RSA-OAEP can withstand chosen ciphertext attacks in the random oracle model.<br></div>In
 the EC world ECIES is quite common but it's basically asynchronous DH +
 symmetric encryption so it might not fit your requirements.<br clear="all"><br>-- <br>Alexandre Anzala-Yamajako<br><br><br>
</div></div>