<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Nov 16, 2015 at 3:24 AM, Bill Cox <span dir="ltr"><<a href="mailto:waywardgeek@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=waywardgeek@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">waywardgeek@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Yes, longer key sizes will resist quantum attacks longer.  My understanding (which could easily be wrong) is that the difficulty of increasing the number of qubits in a machine grows exponentially with the number of qubits, which is why I think we'd see ECC keys attacked well before longer EC and RDA keys.</div></div></div></div></blockquote><div><br></div><div>ianG is suggesting we use 1024-bit D-H in 2015, which is odd as all methods on <a href="http://www.keylength.com/en/compare/">http://www.keylength.com/en/compare/</a> suggest that isn't strong enough.</div><div><br></div><div>I don't believe there's a considerable difference in the number of qubits needed to attack a ~256-bit elliptic curve versus 1024-bit D-H.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>It might be simpler to have everyone use a minimum of 2048 bit keys for now for DH and RSA.</div></div></div></div></blockquote><div><br></div><div>That would, by far, be a much simpler solution, and sufficient to ward off non-quantum attacks for at least a decade.</div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>