<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 26, 2016 at 4:14 PM, Allan Odgaard <span dir="ltr"><<a href="mailto:lists+pass@simplit.com" target="_blank">lists+pass@simplit.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 26 Jan 2016, at 20:29, Dashamir Hoxha wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Maybe you are right about this. I have just read somewhere that symmetric<br>
encryption is stronger than asymmetric encryption, but maybe it assumes<br>
that the keys are of the same size.<br>
</blockquote>
<br></span>
Yes, that would be the case. It should be fairly safe to use a 12 byte passphrase (96 bit key) with a modern symmetric encryption scheme, but no public/private key system will be safe with such short key length.<br>
<br>
But as Lenz pointed out, the key length would generally be 4096 bits, which is impractical for a symmetric encryption key (since the user has to type it out each time).<br>
<br>
Furthermore, even with a 12 byte passphrase, it’s user generated, so it’s unlikely to be truly random, which decrease the search space (often significantly).<br>
<br>
So in practice, I think asymmetric encryption is the better/stronger choice.<br></blockquote><div><br></div><div>I agree, but the passphrase that protects the private key is still a user generated one.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
For the same reason, many servers do not allow password login but require key exchange authentication because (user generated) passwords are weak.</blockquote><div><br></div><div>Maybe this is a different issue (maybe there are other reasons as well). </div><div><br></div></div></div></div>