<div dir="ltr"><div class="gmail_extra">Hi James, </div><div class="gmail_extra"><br></div><div class="gmail_extra">Thanks for pointing it out. </div><div class="gmail_extra"><br><div class="gmail_quote">2014-02-25 16:48 GMT-08:00 Manger, James <span dir="ltr"><<a href="mailto:James.H.Manger@team.telstra.com" target="_blank">James.H.Manger@team.telstra.com</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">> Having implementations verify that RSA key lengths are powers of two<br>

> seems like it could be one mitigation.<br>
<br>
</div>I don’t think so. There are 1536-bit keys (just as historically there were 768-bit keys). I’m sure some will pick 3072-bit keys.<br>
Also, many supposedly 2048-bit keys are actually 2047-bit keys (still a product of two 1024-bit primes). Reject those and you will break things.<br>
<div class=""><br></div></blockquote></div><br>ANSI X9.31 requires the key length to be the multiple of 256 bit, does it not? </div>In which case, is not 2047-bit keys rejected? <br><br>Also, I was wondering if requiring exponent to be selected from small set of candidates or even just requiring one would help. <br>
<br>i.e., either e={3, 5, 17, 257, 65537} or e=65537.<br><br>Some specs requires e>=65537 so just requiring e=65537 is not unreasonable, I think. Also, there is a study [1]  that over 95% of the e value used is 65537. Adding the fact that Windows' CAPI only accepts 65537 as e in key generation makes me think that most if not all libraries will accept 65537 as an input value for signature verification that in this particular case of self-issued provider, it would not hart to mandate that e be 65537. Do not you think it would help in the case of RSA? <div>
<br><div class="gmail_extra"><div>[1] <a href="https://eprint.iacr.org/2012/064.pdf">https://eprint.iacr.org/2012/064.pdf</a></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>
@_nat_en</div>
</div></div></div>