<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, May 16, 2015 at 11:09 AM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ryacko@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">And AFAIK, the NSA curves (besides Dual_EC_DRBG) have not been proven to be backdoored, they've only been proven to be suspicious. How would you know that the NSA didn't choose the constants for additional security, like the DES s-boxes?</div></div></div></blockquote><div><br></div><div>We don't know, although 20/20 hindsight tells us that the NIST curves have security problems, i.e. they fail all four dimensions of the SafeCurves ECC rubric.</div><div><br></div><div>Personally I don't think they were backdoored, but they are suspicious.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>The performance difference between RSA and ECC is about 20x. So it ultimately depends on how much you're willing to pay for additional /provable/ security.</div></div></div></div></blockquote><div><br></div><div>RSA's security isn't provable. It relies on factoring large numbers presently being a hard problem. That's something that could potentially change tomorrow if a sufficiently smart mathematician were to come up with an algorithm for doing so.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>perhaps one should not use a NSA ECC. Afterall. At least your key exchange algorithm /might/ be more than the NSA's versus the NSA.</div></div></div></div></blockquote><div><br></div><div>The NIST curves should also be considered legacy at this point, IMO. The CFRG has almost finished standardizing Curve25519 (and Ed448-Goldilocks as a "spinal tap grade" curve).</div><div><br></div><div>New programs and protocols should be using Curve25519.</div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>