<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Nov 15, 2015 at 8:18 PM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank">bascule@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span class=""><div class="gmail_quote">On Sun, Nov 15, 2015 at 8:25 PM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">[Citation needed]<br>
<br>
(Specifically, one that doesn't simply defer to numerology).</blockquote></div><div class="gmail_extra"><br></div></span>It's faster and has smaller key sizes at the same security level.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Not sure if that falls into your definition of "numerology", but key size does seem to be the "key" issue in this thread...</div></div></blockquote><div><br></div><div>Yes, longer key sizes will resist quantum attacks longer.  My understanding (which could easily be wrong) is that the difficulty of increasing the number of qubits in a machine grows exponentially with the number of qubits, which is why I think we'd see ECC keys attacked well before longer EC and RDA keys.</div><div><br></div><div>I like the idea of auto-increasing the key sizes.  If this were somehow block-chain based, difficulty could be a function of solving discrete log problems of increasing size.  The otherwise wasted CPU cycles in mining could be used to work on factoring or solving discrete logs.</div><div><br></div><div>It might be simpler to have everyone use a minimum of 2048 bit keys for now for DH and RSA.</div><div><br></div><div>Bill</div><div><br></div></div></div></div>