<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, May 15, 2015 at 7:43 AM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ryacko@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>But my awareness of ECC issues is that the constants are suspicious according to this web page: <a href="http://safecurves.cr.yp.to/rigid.html" target="_blank">http://safecurves.cr.yp.to/rigid.html</a></div></div></blockquote><div><br></div><div>See also:</div><div><br></div><div><a href="http://safecurves.cr.yp.to/bada55.html">http://safecurves.cr.yp.to/bada55.html</a></div><div><br></div><div>This is a demonstration of how even though a "verifiably random" process (used by the NIST, Brainpool, and the GOST curves) is used, it's possible to tamper with curve parameters.</div><div><br></div><div>BADA55's tampering was not malicious (and in fact they are "safe curves" per <a href="http://safecurves.cr.yp.to">safecurves.cr.yp.to</a>), but the possibility to tamper with curve parameters exists in any curves generated this way.</div><div><br></div><div>This is why "nothing up my sleeve" curve constants generated through a rigid process are important (per your link).</div><div> </div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>