On Sunday, August 10, 2014, William Allen Simpson <<a href="javascript:_e(%7B%7D,'cvml','william.allen.simpson@gmail.com');" target="_blank">william.allen.simpson@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">E.g., ECDSA is not subject to key-share attacks if all users use the same curve; it is, if arbitrary curves are permitted.<br>


(Koblitz and Menezes discuss this in their 'Another look' papers.)<br>
<br>
</blockquote>
Which one?</blockquote><div> </div><div>They may mention this in 'Serpentine course', but 'Security definitions' has the most succinct description, at 2.2.4: <a href="http://cacr.uwaterloo.ca/~ajmeneze/anotherlook/papers/definitions.pdf" target="_blank">http://cacr.uwaterloo.ca/~ajmeneze/anotherlook/papers/definitions.pdf</a>  (This is unrelated to nonce issues, by the way.)</div>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
That is the argument we've been making for over 20 years.</blockquote><div> </div><div>I claim no priority!</div><div><br></div><div>-dlg<span></span></div>