<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 23 February 2016 at 08:02, Van Gegel <span dir="ltr"><<a href="mailto:torfone@ukr.net" target="_blank">torfone@ukr.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><span><span class=""><div style="min-height:1px">Another problem: what is the minimum bit length of the hash (commitment) is required for reliable verification by 32-bit short fingerprints of secret? Note: data transfer price is very high in our case.<br></div></span><br></span></div></blockquote><div> </div><div>If data is so expensive, you might want to look at M-221 or E-222 as smaller curves. [<a href="https://safecurves.cr.yp.to/">https://safecurves.cr.yp.to/</a>]</div><div><br></div><div>If you used a memory/cpu hard function (PBKDF/scrypt/argon) to generate the 32-bit fingerprint then you could lower the size of the hash commitment. It would come down to the type of adversary you want to protect from. You could use a 64-bit commitment and a memory hard function that takes 1 second to calculate for instance and get a very high level of protection. It is a tradeoff, as with most things in life.</div></div></div></div>