<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Sep 3, 2015 at 10:20 AM, Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">FYI -- HW attack + GCD kills RSA:<br>
<br>
<a href="http://mirror.us.oneandone.net/projects/media.ccc.de/events/camp2015/webm-hd/cccamp15-6711-en-de-Hardware_attacks_hacking_chips_on_the_very_cheap_webm-hd.webm" rel="noreferrer" target="_blank">http://mirror.us.oneandone.net/projects/media.ccc.de/events/camp2015/webm-hd/cccamp15-6711-en-de-Hardware_attacks_hacking_chips_on_the_very_cheap_webm-hd.webm</a><br>
<br>
<a href="https://media.ccc.de/browse/conferences/camp2015/camp2015-6711-hardware_attacks_hacking_chips_on_the_very_cheap.html" rel="noreferrer" target="_blank">https://media.ccc.de/browse/conferences/camp2015/camp2015-6711-hardware_attacks_hacking_chips_on_the_very_cheap.html</a><br>
<br>
Hardware attacks: hacking chips on the (very) cheap<br>
<br>
How to retrieve secret keys without going bankrupt<br>
<br>
Ramiro Pareja & Rafa Boix</blockquote><div><br></div><div><br></div><div><br></div><div>This is another reason to move to Diffie-Hellman. It is somewhat ironic that all this time later we suddenly relearn that the very first public key scheme was actually a lot better than those that 'improved' on it.</div><div><br></div><div>DH does not allow you to encrypt data directly. But it does allow you to exchange a session key and that is all that is needed. Indeed the fact that neither party has direct control on the choice of key provides something of an extra check.</div><div><br></div><div>So what happens if you have a chip with a DH private key on it and you modify the private key by one bit?</div><div><br></div><div>I can't prove it right now. But I am pretty sure by a handwavy argument that you are still secure since there are no weak keys in DH (except for keys like 0, 1 which are only weak because they are close to the default starting point for brute force). </div><div><br></div><div>The mental map I have on RSA is islands of security in a sea of insecurity. If you have a product of two primes you are on an island and safe. But otherwise you are in the sea and the sharks can bite yer. DH is only solid ground.</div><div> </div></div></div></div>