<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, May 31, 2015 at 5:52 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=pgut001@cs.auckland.ac.nz&cc=&bcc=&su=&body=','_blank');return false;">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Tony Arcieri <<a href="mailto:bascule@gmail.com" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=bascule@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">bascule@gmail.com</a>> writes:<br>
<br>
>But RSA has failed spectacularly for lots and lots of reasons because it has<br>
>sharp edges that don't exist in ECC<br>
<br>
</span>That's mostly just bad implementation issues</blockquote><div><br></div><div>Yes, but these are implementation issues which come up quite frequently in practice and where I can point to specific examples of crypto tools that have been broken because of them.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It's the DLP-based cryptosystems that are the really brittle ones, starting with their<br>
scary propensity to leak bits of, or in some cases all of, the private key if<br>
you get the slightest thing wrong.</blockquote><div><br></div><div>Show me one real-world example of a Montgomery ladder-based ECC system leaking a private key because of a usage mistake.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Heck, even in normal operation with<br>
nothing done wrong, you can still leak bits of private data (I'm thinking of<br>
the recent discussion about the appropriate choice of DH primes on the TLS<br>
list, where you end up leaking a bit of the private data for each DH<br>
exchange).<br></blockquote><div><br></div><div>Lumping ECC together with classical finite field-based DH is a category fallacy. They have different characteristics, so comparing them this way is apples to oranges.</div><div><br></div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>