<div dir="ltr">It was <a href="https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwiCs_-0yo3XAhVSwWMKHaanC3cQFggoMAA&url=https%3A%2F%2Fwww.microsoft.com%2Fen-us%2Fresearch%2Fpublication%2Ffourq-four-dimensional-decompositions-on-a-q-curve-over-the-mersenne-prime%2F&usg=AOvVaw3ki9O5UGTvIxmcJEDgcevi">announced back in 2015</a>.  Back then, AFAIK, it was still lacking constant-time implementations, so it was not really possible to benchmark.  Now they've got <a href="https://github.com/Microsoft/FourQlib">constant-time code for several variants of ARM, as well as x86</a>.  There is also an <a href="https://tools.ietf.org/html/draft-ladd-cfrg-4q-00">IETF draft for standardization</a>, though I understand that does not mean much on its own.<div><br></div><div>My Haswell laptop says it takes only 50664 CPU cycles for compressed point multiplication, which should only be around 17us.  In contrast, my laptop takes about 100us to perform a NIST P256 point multiplication.<div><br></div><div>Do we think this algorithm is secure?  Is it growing up?</div></div><div><br></div><div>Bill</div></div>