<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, May 29, 2015 at 6:24 PM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=iang@iang.org&cc=&bcc=&su=&body=','_blank');return false;">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Strongly disagree. I have a long-form comment on this as part of this<br>
blog post (see "A Bitcoin Crypto Meltdown")<br>
<br>
<a href="http://tonyarcieri.com/the-death-of-bitcoin" target="_blank">http://tonyarcieri.com/the-death-of-bitcoin</a><br>
</blockquote>
<br>
<br></span>
Except, you changed the topic.  Coming back to the topic ... do you disagree that Bitcoin uses one alg for each function?  Oh wait, your post is about how you agree that it's only using one alg.<br>
<br>
You're real disagreement is that you don't like that it is using one alg, and predict it will therefore melt-down :)<br></blockquote><div><br></div><div>Satoshi chose a bad curve. Nobody who knows anything about ECC would suggest using secp256k1 over Curve25519. They should switch, if only because that 1-bit backdoor is particularly scary, but they can't do that easily because the Bitcoin protocol has nothing to signal that wallet keys are anything but ECDSA with secp256k1.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Actually, I suspect regardless of our views, Bitcoin is locked into the 1TCS for now.  Because if they add another algorithm, it is totally worthless until every client has got it.  Which to paraphrase Peter "will make them think."  And we will benefit from the experience.</blockquote><div><br></div><div>I expect that Bitcoin and/or future pubkey-based decentralized transaction consensus protocols will begin switching to Ed25519 soon. The interop problem is a difficult one, and the reason why most sites continue to use RSA certificates for TLS. But forward progress is possible. AES-GCM is seeing widespread usage now where just a few years ago AES-CBC and RC4 were the norm.</div><div><br></div><div>Given Bitcoin's lack of cipher agility, using Ed25519 instead of secp256k1 provides another checkmark on a gumball chart for any would-be Bitcoin killer. Secure elliptic curve according to <a href="http://safecurves.cr.yp.to">safecurves.cr.yp.to</a>? Usurper: check.</div><div><br></div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>