<p dir="ltr"><br>
On Jun 15, 2015 11:32 AM, "Trevor Perrin" <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br>
><br>
> On Mon, Jun 15, 2015 at 8:10 AM, Watson Ladd <<a href="mailto:watsonbladd@gmail.com">watsonbladd@gmail.com</a>> wrote:<br>
> ><br>
> > On Jun 15, 2015 4:24 AM, "Johannes Merkle" <<a href="mailto:johannes.merkle@secunet.com">johannes.merkle@secunet.com</a>><br>
> > wrote:<br>
> >><br>
> >> Watson Ladd schrieb am 12.06.2015 um 22:36:<br>
> >> > The reality is that most people invited don't care about security, but<br>
> >> > the appearence of security.<br>
><br>
> I'm sure that's false, and doesn't add anything the discussion.<br>
> Please stay technical and respectful.<br>
><br>
><br>
> >> This statement of yours is utterly wrong and comes close to an insult. How<br>
> >> can you deliver such a judgment when you<br>
> >> haven't even talked to these people?<br>
> ><br>
> > Unfortunately there isn't a transcript of the proceedings that I've found,<br>
> > so I'll have to rely on my fallible memory.<br>
> ><br>
> > But I distinctly recall complaining about Tanja's article at the second<br>
> > panel. Not complaints about its accuracy, but that its publication put<br>
> > unjustified suspicion on Brainpool.<br>
><br>
> You're citing the day 1 panel at around 7:44<br>
> <a href="https://www.youtube.com/watch?v=yS84gO-sy6k">https://www.youtube.com/watch?v=yS84gO-sy6k</a><br>
><br>
> Lochter's complaint may be more about the tone of BADA55 than its<br>
> contents, but he has a point - BADA55 focuses on<br>
> "nothing-up-my-sleeve" curves, but doesn't do a similarly deep<br>
> analysis of the flexibility of performance-based curve choices like<br>
> 25519 or 448.</p>
<p dir="ltr">That flexibility is far less. Craig Costello could only argue that the exact choice of security level could be manipulated, at most 521 choices.</p>
<p dir="ltr">Of course this has to be multiplied by the number of order and twist critera, which seem to apply to all the other proposals.</p>
<p dir="ltr">I've previously suggested he stick BADA55 in the output of a DJB style curve generation. Hasn't happened yet. Has anyone been able to do this?</p>
<p dir="ltr">><br>
> Anyways, disliking the tone and the reception of a paper doesn't mean<br>
> you "don't care about security".</p>
<p dir="ltr">There are three reasons to want to replace curves and protocols</p>
<p dir="ltr">-They are inconvenient in ways that lead implementors down the garden path, with resulting real world problems.<br>
- The NSA backdoored the NIST curves, and we need "unassailable" choices<br>
-Your particular implementation has trouble handling some choices of curve efficiently.</p>
<p dir="ltr">As far as I can tell, most participants are focused rhetorically on reasons 2 and 3, and  ignoring 1. "Put it on EAL4 certified hardware" is not an answer for a lot of applications, and is unlikely to ever be an answer for most systems we interact with on a daily basis. </p>
<p dir="ltr">Sincerely,<br>
Watson Ladd </p>
<p dir="ltr">><br>
> Trevor<br>
</p>