<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Oct 26, 2015 at 8:18 AM, Bill Cox <span dir="ltr"><<a href="mailto:waywardgeek@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=waywardgeek@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">waywardgeek@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Sun, Oct 25, 2015 at 3:47 PM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=bascule@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">bascule@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>First, if your worry is QCs, then trying to combine ECC and RSA isn't going to help you as they'll both be obliterated by QCs.</div></div></div></div></blockquote><div><br></div></span><div>We expect 256-bit ECC to fall to QCs before RSA-2048 or DH-2048</div></div></div></div></blockquote><div><br></div><div>Even if this is true (and I'm pretty sure it's not in any meaningful way, i.e. if a quantum computer successfully breaks 256-bit ECC in the real world, 2048-bit RSA/DH is definitely next within a timeframe so short anyone with sense would abandon it), if you're pairing pre-quantum and post-quantum algorithms anyway, shouldn't you pick the fastest pre-quantum algorithm you can?</div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>