<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Jul 31, 2015 at 4:43 PM, Blumenthal, Uri - 0553 - MITLL <span dir="ltr"><<a href="mailto:uri@ll.mit.edu" target="_blank">uri@ll.mit.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I think adding the recommended check would be beneficial. Considering the frequency of ‎key generation, performance impact shouldn't matter all that much. <br></blockquote><div><br></div><div>Samuel's argument above is one I've heard before from Thomas Porin, which is why I was not recommending we do or do not do this check.  I was just estimating the performance hit.</div><div><br></div><div>I personally have not gone over the paper Samuel linked to other than to read the abstract.  However, assuming the paper's claims are correct, which seems to be backed up by these two fine cryptography experts, I think the additional check would do more harm than good.</div><div><br></div><div>Bill </div></div></div></div>