<div dir="ltr">I forget, what was the original inputs to the hash?<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 13, 2014 at 8:14 AM, Krisztián Pintér <span dir="ltr"><<a href="mailto:pinterkr@gmail.com" target="_blank">pinterkr@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Oct 13, 2014 at 4:51 PM, Derek Miller <<a href="mailto:dreemkiller@gmail.com">dreemkiller@gmail.com</a>> wrote:<br>
> However, considering one of the scenarios where these curves might be<br>
> compromised (the NSA knew of weaknesses in certain curves, and engineered<br>
> the NIST Prime curves to be subject to those weaknesses)<br>
<br>
interestingly, this is the better case. because if so, we can assume a<br>
minority of the curves are bad. if many curves were bad, they could<br>
just try to find nicely parametrized curves that are weak. they had to<br>
resort to that hashing strategy, which means that method is<br>
unfeasible, thus the vast majority of the curves does not have the<br>
property they wanted. therefore any non-NIST curve is probably safe by<br>
pure chance.<br>
<br>
however, there is the other case, namely NIST defends against some<br>
vulnerability they don't disclose. if so, the logic goes the opposite<br>
direction: most curves are vulnerable. in this case, other curves are<br>
probably unsafe.<br>
<br>
so actually we hope they were malicious, and then we can use all other<br>
curves, there are plenty.<br>
_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</blockquote></div><br></div>