
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 3, 2015 at 12:26 PM, Ralf Senderek <span dir="ltr"><<a href="mailto:crypto@senderek.ie" target="_blank">crypto@senderek.ie</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, 3 Sep 2015 Philip Hallam-Baker writes:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

So what happens if you have a chip with a DH private key on it and you modify the private key by one bit?<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I can't prove it right now. But I am pretty sure by a handwavy argument that you are still secure since there are no weak keys in DH (except for keys like 0, 1 which are only weak because they are close to the default starting point for brute force). <br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

The mental map I have on RSA is islands of security in a sea of insecurity. If you have a product of two primes you are on an island and safe. But otherwise you are in the sea and the sharks can bite yer.<br>

DH is only solid ground.<br>

</blockquote>

<br></span>

But you're comparing apples and oranges here. DH is only solid ground because the DH secret key is never used to sign messages. In fact DH<br>

lacks all authenticity that RSA provides (if you have the correct<br>

public key of course).<br>

<br>

The worrying part of the talk at CCC is that it's possible to "exfiltrate"<br>

a RSA secret key from a chip with only pouring some chemicals and poking<br>

around with a flash light (and one single computation).<br>

That would never happen with DH secret keys inside a chip as they're not<br>

used for signing.</blockquote><div><br></div><div>But if you are using ElGamal you get a signature scheme that is based on a secret DH key. OK so you have that secret in there that mustn't leak or it will divulge your key. But I think the robustness argument should still hold.</div><div><br></div><div> </div></div><br></div></div>