<div dir="ltr"><p>Hey Mike,</p><p>This morning, I forked Golang's implementation of bn256 and fit it with a 448-bit BN [1] curve based on the parameter</p><p>u = <span class="gmail-pl-s">1910986621940954212840033034977453<span class="gmail-pl-pds"><br></span></span></p><p>which, according to ellipticnews, should be closer to the 128-bit security level. Interestingly, it's also very close to 2.5 times slower than the same implementation for a 256-bit curve for all major operations. For scalar mult in G1, 2 milliseconds to 5ms. For scalar mult in G2, 5ms to 13ms. For a pairing, 15ms to 35ms. All of these numbers can be lowered by an order of magnitude by porting them to C and the scalar multiplications can still be sped up by implementing GLV decomposition.</p><p>Is this also roughly the situation for the BLS curves you're experimenting with?</p><p>[1] <a href="https://github.com/Bren2010/bn448">https://github.com/Bren2010/bn448</a><br></p><p><span class="gmail-pl-s"><span class="gmail-pl-pds"></span></span></p><br>
<div class="gmail_extra"><br><div class="gmail_quote">On Sep 28, 2016 4:09 PM, "Jeff Burdges" <<a href="mailto:burdges@gnunet.org" target="_blank">burdges@gnunet.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, 2016-09-27 at 05:28 +0000, Zooko Wilcox-OHearn wrote:<br>
> I was totally wrong about this. Our performance bottleneck is in a<br>
> path (zk-SNARK proving) that doesn't require pairing operations, so<br>
> using a curve which was 2.5 times slower at pairing operations would<br>
> not worsen our performance issues. However, if it was also 2.5 slower<br>
> for curve operations, then it would.<br>
<br>
It's still slower for scalar multiplication due to being a larger curve,<br>
no?<br>
<br>
In any case, you said there are no risks to the anonymity here, so an<br>
alternative to changing curves might be to prevent attacks from being<br>
profitable by capping the maximum value in a transaction or account,<br>
right?  In the short term, this should not require dong anything.<br>
<br>
Jeff<br>
<br>
<br>______________________________<wbr>_________________<br>
Curves mailing list<br>
<a href="mailto:Curves@moderncrypto.org" target="_blank">Curves@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/curves" rel="noreferrer" target="_blank">https://moderncrypto.org/mailm<wbr>an/listinfo/curves</a><br>
<br></blockquote></div></div>
</div>