El principal culpable es NSA Suite B , o más bien, las personas que leen ese documento como algo que no es NSA Suite B dice que NSA usa las curvas P-256 y P-384. Algunas personas han elegido interpretar eso como "no use ninguna otra curva". P-521 (también conocido como "secp521r1") no es una de estas curvas, de ahí su eliminación.
No hay nada malo con P-521, excepto que es, en la práctica, inútil. Podría decirse que P-384 es también inútil, porque la curva P-256 más eficiente ya proporciona una seguridad que no se puede romper a través de la acumulación de poder de computación .com / questions / 6141 / cantidad-de-operaciones-simples-que-es-seguro-fuera-de-alcance-para-toda-humanidad / 6149 # 6149 "> esta respuesta para una discusión sobre ese tema ). Sin embargo, las personas e incluso la NSA usan el P-384, que muestra un largo camino para demostrar que la elección de qué curva elíptica se debe usar en un protocolo criptográfico dado no es una cuestión de lógica racional pura y evaluación de seguridad. Las personas que están en posición de decidir si una curva dada es aceptable o no tomarán decisiones basadas en su percepción de cómo otras personas percibirán sus elecciones, ya que ellas mismas no son necesariamente los pensadores más lógicos (o al menos no son percibidos como tales). ser tal).