<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, May 14, 2015 at 4:28 PM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ryacko@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><span class=""><pre style="white-space:pre-wrap;color:rgb(0,0,0)"><span style="font-family:arial,sans-serif;color:rgb(34,34,34)">In order for there to be some kind of preimage attack using the constants, which were generated using SHA-1, then there has to be some sort of preimage attack on SHA-1.</span></pre></span></div></blockquote><div>I think you misunderstand how NSA could hypothetically select weak curves despite using SHA-1 to create "verifiably random" curves.</div><div><br></div><div>No weaknesses in the SHA-1 function are necessary. Instead, NSA could simply do a brute force search for, say, a curve that belongs to a one-in-a-million (or rarer) class of weak curves with a vulnerability known only to NSA, and after finding an input value that generates such a weak curve, publish that as the standard.</div><div><br></div><div>On Fri, May 15, 2015 at 6:54 AM, <span dir="ltr"><<a href="mailto:dj@deadhat.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=dj@deadhat.com&cc=&bcc=&su=&body=','_blank');return false;">dj@deadhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">So if the NSA were good with Montgomery or<br>Edwards or <some other good> curve crypto and left the Weierstrass curves<br>for the great unwashed, it would make complete sense.<br><div class=""></div></blockquote></div><div><br></div><div>Perhaps you could make that argument for Montgomery curves and the Montgomery ladder, but Edwards curves weren't discovered until 2007...</div><div><br></div><div>That said, I strongly agree the field arithmetic for Weierstrass is whack and easy to get wrong.</div><div><br></div><div>I am glad to see the CFRG focusing on Edwards/Montgomery. Hopefully Weierstrass is on its way out for anything other than legacy interoperability.</div></div>
</div></div>