<div dir="ltr"><br><div><br><div class="gmail_quote">On Thu, May 14, 2015 at 7:31 AM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> In odd news, the US government has to pay private companies for certificates. You'd think they'd be able to get browser makers to allow a root certificate that can only verify ".gov" addresses and do some certificate pinning.<br><br></span>They pay private companies for airplanes, too.  So?<br><br></blockquote><div><br></div><div>1. They already own their own servers in many cases.</div><div>2. The whole point of certificates is to prevent a man-in-the-middle attack.</div></div></div><div class="gmail_extra">3. Certificate authorities have proven to be vulnerable to hacking. See Iran.</div><div class="gmail_extra">4. A certificate costs at least several hundred dollars. Multiply that against a hundred .gov websites that use certificates. </div><div class="gmail_extra">5. The US government pays hundreds of millions of dollars per year for it's own cybersecurity.</div><div class="gmail_extra">6. The US government usually operates those airplanes.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 14, 2015 at 9:00 AM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">>So there's two possibilities...<br>
> 1. all the cryptography is trivially broken<br>
> 2. NIST is incompetent<br>
<br>
</span>3.  Your assumptions are faulty<br>
4. The extrapolation from those assumptions are faulty<br>
5. Breaking a digest is really different from cracking a cipher.<br>
<br>
</blockquote></div>Good. My assumptions are faulty. So the NIST curves are adequately secure. Or the NIST curves are not secure, nor is SHA-1, and if SHA-1 isn't secure five years from it's release from the NSA, why would SHA-256 be secure fifteen years after it's release from the NSA, and why would the NSA stop at just SHA 1 and 2, why not AES and SHA-3?</div><div class="gmail_extra"><br></div><div class="gmail_extra">So the question of whether the NIST curves are backdoored becomes a question of... is the entire internet backdoored?</div><div class="gmail_extra"><br></div><div class="gmail_extra">It's possible that the SHA-1 outputs weren't generated using a differential attack but using random numbers, but wouldn't timestamps to nanosecond precision equally work as well? And it's a lot more difficult to check if some constants have backdoored properties that no one else would discover than to find your own constant with unique properties, and attempt to preimage that </div><div class="gmail_extra"><br></div><div class="gmail_extra">But what do I know? Cryptographers don't trust the NIST curves, but they trust SHA-1 for everything outside of collision resistance, I mean... it's not like there's logic involved in decision making.</div></div>