<div dir="ltr">Dear all,<br><br><div><div class="gmail_extra"><div class="gmail_quote">On 25 May 2015 at 22:34, Gregory Maxwell <span dir="ltr"><<a href="mailto:gmaxwell@gmail.com" target="_blank">gmaxwell@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, May 22, 2015 at 2:55 PM, Jacob Appelbaum <<a href="mailto:jacob@appelbaum.net">jacob@appelbaum.net</a>> wrote:<br>
> A larger shared prime that is standardized is the safe option of the<br>
> three - it is hard to know if you've got bad entropy, it is also hard<br>
> to know if you've chosen badly.<br>
<br>
</span>There is an additional argument I think you may find more persuasive<br>
which I've made about this in the past:<br>
<br>
If you use arbitrary groups they must be signaled. This doubles the<br>
required communication. At most this creates a linear cost increase<br>
for the attacker (proportional to the number of users).<br>
<br>
Using the same communications resources you can instead double the<br>
size of the static group being used, which is (presumed) to be<br>
exponentially harder for the attacker.<br>
<br>
The same argument can even apply to signaling from a fixed set of<br>
static groups</blockquote><div><br></div><div>Indeed, using a random group should not be decided to protect against attacks that use precomputation to efficiently attack many users of the same group.<br></div><div>However, it may be the case that an attack against some public and fixed group is based on having found specific mathematical properties of that group. This is unlikely to be the case if the public group was generated randomly, but it may be the case if it was generated with performance optimisations in mind. The groups of RFC 3526 are generated such that the 64 lower bits are 1. It would be suprising to find a way to exploit this property, but they are not based on random primes (whatever random prime means).<br></div></div></div></div></div>