<div dir="ltr"><div class="gmail_extra"><div>Some context (for curves at a 128-bit security level):</div><div><br></div><div>- Curve25519 is now 10 years old</div><div>- FourQ *is* faster than Curve25519 but...</div><div>- djb and friends' Kummer curve is faster than FourQ unless FourQ leverages techniques in the GLV patent: <a href="https://eprint.iacr.org/2014/134.pdf">https://eprint.iacr.org/2014/134.pdf</a></div><div>- Kummer may potentially be faster even when the patented techniques are leveraged? (hasn't been assembly optimized yet)</div><div><br></div><div>That said, FourQ is more generally applicable, e.g. it can be used for signatures in addition to D-H.</div><div><br></div><div>Verdict: interesting but the way Microsoft is marketing it is a bit disingenuous and it has patent entanglements which if avoided make it slower than alternatives. They should be expiring soon though.</div><div><br></div><div>I think this is the relevant patent? <a href="https://www.google.com/patents/US20070053506">https://www.google.com/patents/US20070053506</a></div><div><br></div>
</div></div>