<div dir="ltr"><div dir="ltr">Hi Tom,<div><br></div><div>Thanks for your replies!</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 26, 2023 at 1:46 PM Tom Zermeno <<a href="mailto:tom@ssl.com">tom@ssl.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-8659480676511600358"><div lang="EN-US" style="overflow-wrap: break-word;"><div class="m_-8659480676511600358WordSection1"><p class="m_-8659480676511600358paragraph" style="vertical-align:baseline"><span class="m_-8659480676511600358normaltextrun" style="font-size:11pt">Finally, regarding the phrasing of the Close Primes Vulnerability, we used the phrase “weak keys identified within 100 rounds using Fermat’s factorization method,“ to stress the importance that the CA actually perform the computations to discover such weak keys. </span><span class="m_-8659480676511600358eop" style="font-size:11pt"> </span></p></div></div></div></blockquote><div>My only concern here is that the language feels like it offers a loophole: if the CA *doesn't* actually perform the computations themselves, then the weak key hasn't been identified, and they're allowed to issue for it! That's why I recommend using the "which *can be* identified..." language: it doesn't actually matter how the CA identifies that a key is weak to Fermat factorization, all that matters is that they detect all possible keys.</div><div><br></div><div>Thanks again,</div><div>Aaron </div></div></div>