<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Oct 25, 2015 at 5:42 AM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The recent "distancing" news from NSA concerning ECC and their view that QC is coming sooner [0] rather than later has somewhat upset things.<br>
<br>An EC/RSA signing form is easy - just make one signature in RSA and one in EC, and we're done.  At least at a trivial level, this works, although I imagine it might be possible to do better - interesting work for a grad student perhaps.<br>
<br>
But what about encryption?</blockquote><div><br></div><div>First, if your worry is QCs, then trying to combine ECC and RSA isn't going to help you as they'll both be obliterated by QCs.</div><div><br></div><div>However, the general idea of combining multiple algorithms isn't inherently bad. What you would *actually* want to do is combine e.g. ECC with an as-yet-unproven quantum algorithm, like Ring-LWE (possibly not a good idea due to patents, but let's go with it for now)</div><div><br></div><div>In that case, you can do a key exchange with both algorithms, and feed the results of both into a KDF (e.g. concatenating the keys exchanged together as KDF inputs)</div></div><div><br></div><div>This sort of scheme should be at least as strong as the strongest of the two.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>