<div dir="ltr">Okay, the difference between ECC and RSA is that RSA is so simple that it can be incompetently implemented, and ECC is so complex that it can be incompetently implemented.<br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><pre>True, if you're talking about ECDSA, but ECDSA sucks. Use EdDSA and this
isn't a problem.</pre></blockquote><div><br></div><div>Nonce reuse is still a problem.<br><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><pre>tl;dr: RSA sucks. Stop using it.</pre></blockquote><div><br></div><div>There is such as thing as SSL accelerators. ASICs aren't just for the NSA and the EFF.<br><br><br></div><div>And it's the cost of security. If your threat model requires security against agencies, ECC isn't sufficiently proven. No one has shown how the NIST curves leak. Not even a weak attack.<br><br></div><div>2048-bit RSA will provide security for the indefinite future, even versus TWIRL.<br></div><div><br>Considering that Gost was designed in the 80s, and the Slide Attack was discovered a decade later, and DES was designed in the seventies and the Differential Attack was discovered a decade and a half later, I won't be confident in non-NSA designed ECC against cryptanalytic attack until 2020.<br><br></div><div>That and, how do you protect against attacks you don't understand? It is quite an accomplishment for a blind man to become a fencing champion.<br></div></div>