<div dir="ltr"><div><span style="font-size:12.8000001907349px">On 3/5/15 at 5:10 AM, </span><a href="mailto:rsalz@akamai.com" style="font-size:12.8000001907349px">rsalz@akamai.com</a><span style="font-size:12.8000001907349px"> (Salz, Rich) wrote:</span> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8000001907349px">Make a timeline for the past 15 years.  Which ONE cipher suite should SSL/TLS have used?</span><br style="font-size:12.8000001907349px"><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">And then, once that timeline is defined, can you describe, loosely, the protocol changes needed to deploy.  But more importantly, if "pick a cipher" isn't part of the initial connection, does it become "pick a version"?  Or does the client connect 'n' times, with the associated TCP overhead?</span></blockquote><div><br></div><div>Very simple.</div><div>DHE-RSA-1024, RC4-128. I would double RC4's key scheduling rounds though.</div><div><br></div><div>Double-DES would also work, a man-in-the-middle attack isn't feasible in any sense.</div><div><br></div><div><span style="font-size:12.8000001907349px">Date: Thu,  5 Mar 2015 10:08:35 -0800</span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">From: Bill Frantz <</span><a href="mailto:frantz@pwpconsult.com" style="font-size:12.8000001907349px">frantz@pwpconsult.com</a><span style="font-size:12.8000001907349px">></span><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8000001907349px">However, your point is well taken. If we stretch our time<br></span><span style="font-size:12.8000001907349px">horizon to 25 years, we need to have concerns about really<br></span><span style="font-size:12.8000001907349px">massively parallel attacks, and the quantum systems are making<br></span><span style="font-size:12.8000001907349px">continued, if slow, progress.</span></blockquote><div><br></div><div> 128-bit ciphers are secure against quantum cryptography, as long as a single quantum evaluation is equal or greater than 2^16 classical evaluations. That would make the cost of a quantum attack equal to a 2^80 attack, which is pretty cost prohibitive. </div></div>