<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Aug 13, 2013 at 4:13 AM, Nick Mathewson <span dir="ltr"><<a href="mailto:nickm@torproject.org" target="_blank">nickm@torproject.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">   Ed25519 (specifically, Ed25519-SHA-512 as described and specified at<br>
   <a href="http://ed25519.cr.yp.to/" target="_blank">http://ed25519.cr.yp.to/</a>) is a desirable choice here: it's secure,<br>
   fast, has small keys and small signatures, is bulletproof in several<br>
   important ways, and supports fast batch verification. (It isn't quite<br>
   as fast as RSA1024 when it comes to public key operations, since RSA<br>
   gets to take advantage of small exponents when generating public<br>
   keys.)<br></blockquote><div><br></div><div>At the risk of invoking something that was already discussed to death (and I was not aware): why not go with something established like P-521 that would apparently be a drop-in replacement with OpenSSL? Are the benefits really worth it?</div>

</div><div><br></div>-- <br>Maxim Kammerer<br>Liberté Linux: <a href="http://dee.su/liberte" target="_blank">http://dee.su/liberte</a>
</div></div>