<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><pre style="white-space:pre-wrap;color:rgb(0,0,0)">The recent "distancing" news from NSA concerning ECC and their view that 
QC is coming sooner [0] rather than later has somewhat upset things.</pre></blockquote><div><br></div><div>Personally I interpret the news is that they have discovered a generic precomputation attack against all ciphers. It seems odd that Secret and Unclassified should now be encrypted at 256-bit. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><pre style="white-space:pre-wrap;color:rgb(0,0,0)"><pre style="white-space:pre-wrap">Or, do we copy the triple DES construction and do EC-RSA-EC?  Chosen 
that way because the EC part is faster...</pre></pre></blockquote><div><br></div><div>Not really faster. To encrypt the RSA key, you'll have to do about 6 ECC encryptions in parallel. So it'd become as slow as RSA.</div></div>