<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, May 31, 2015 at 2:03 PM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=pgut001@cs.auckland.ac.nz&cc=&bcc=&su=&body=','_blank');return false;">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">>Show me one real-world example of a Montgomery ladder-based ECC system<br>
>leaking a private key because of a usage mistake.<br>
<br>
</span>Sure, just give me about ten years or so until we've built up some real-world<br>
experience with it </blockquote><div><br></div><div>This is just more FUD. Montgomery curves have been around since 1987, and Curve25519 has existed for a decade. The problems you're talking about have to do with completely different things: finite field D-H (i.e. NOT ECDH) and ECDSA (Weierstrass, and just a crappy design in general).</div><div><br></div><div>By a similarly specious argument, I could make the claim that these things are public key cryptosystems, and RSA is a public key cryptosystem, so perhaps RSA is going to leak the key too, eh?</div></div><div class="gmail_extra"><br></div>I'll leave you with another specious argument I call "appeal to djb":</div><div class="gmail_extra"><br></div><div class="gmail_extra"><a href="https://pbs.twimg.com/media/CGWcXcJUIAAH75C.png:large">https://pbs.twimg.com/media/CGWcXcJUIAAH75C.png:large</a><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>