<div dir="ltr"><a href="http://bada55.cr.yp.to/brainpool.html">http://bada55.cr.yp.to/brainpool.html</a><br><div><br></div><div>I have nothing to add except a quotation from the above hypertext document. I am not certain what it proves, but suspicious crypto should be avoided.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:14.4px;line-height:23.04px">The </span>Brainpool<span style="color:rgb(0,0,0);font-family:sans-serif;font-size:14.4px;line-height:23.04px"> standard says that it provides "verifiably pseudo-random" curves along with "data that allow to verify that the curves were pseudo-randomly generated". However, the BADA55 Research Team has discovered that </span><b style="color:rgb(0,0,0);font-family:sans-serif;font-size:14.4px;line-height:23.04px">none of the standard Brainpool curves below 512 bits were generated by the standard Brainpool curve-generation procedure.</b><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:14.4px;line-height:23.04px"> Apparently the public never actually tried to verify the curves. This is an inspirational example, suggesting a simple strategy for subverting subsequent standards.</span></blockquote><div><br></div><div> </div></div>