<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, May 12, 2015 at 11:14 AM, Thierry Moreau <span dir="ltr"><<a href="mailto:thierry.moreau@connotech.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=thierry.moreau@connotech.com&cc=&bcc=&su=&body=','_blank');return false;">thierry.moreau@connotech.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I do not want to push any plot theory without a deep understanding of the ECC fundamentals. But recalling that NSA had prior knowledge of differential cryptanalysis (versus academia) and prior knowledge of RSA and D-H, is there any specific research directions in the ECC field in which the NSA could have advance knowledge that would induce them to push ECC deployment over factoring-based RSA?</blockquote><div><br></div><div>I think it's unlikely that the NSA had advance knowledge of some sort of class of weak curves / attack in the late '90s and baked that attack into the NIST curves in such a way that civilian cryptographers are yet to discover it in 2015.</div><div><br></div><div>However, the NIST curves definitely have (unintentional?) security problems in addition to large mystery constants which do not inspire confidence. Hence djb and friends / MS / CFRG's desire to have rigid curve generation guidelines.</div><div><br></div><div>Dual EC DRBG smelled much more of a backdoor.</div></div>
</div></div>