<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, May 21, 2014 at 7:45 PM, Samuel Neves <span dir="ltr"><<a href="mailto:sneves@dei.uc.pt" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=sneves@dei.uc.pt&cc=&bcc=&su=&body=','_blank');return false;">sneves@dei.uc.pt</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">While random seeds are an obvious target of bruteforce for someone looking for "verifiably random" curves with specific<br>

</div>
properties, I don't see how the same goal cannot be achieved with "fully rigid" curves.</blockquote><div><br></div><div>Compare NIST P-256:</div><div><br></div></div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">

<div class="gmail_extra"><div class="gmail_quote"><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">y^2 = x^3</span><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">-3x</span><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">+41058363725152142129326129780047268409114441015993725554835256314039467401291 </span></div>

</div></div><div class="gmail_extra"><div class="gmail_quote"><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">modulo p = 2^256 - 2^224 + 2^192 + 2^96 - 1 </span></div>

</div></div></blockquote><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>With Curve25519:</div><div><br></div></div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div class="gmail_extra">

<div class="gmail_quote"><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">y^2 = x^3</span><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">+486662x^2+x </span></div>

</div></div><div class="gmail_extra"><div class="gmail_quote"><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:x-small;line-height:19.200000762939453px">modulo p = 2^255 - 19 </span></div></div></div></blockquote>

<div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Curve25519 definitely has much more of a "nothing up my sleeve" feel about it. </div><div><br></div><div>(via <a href="http://safecurves.cr.yp.to/">http://safecurves.cr.yp.to/</a>)</div>

<div><br></div></div>-- <br>Tony Arcieri<br>
</div></div>