<p dir="ltr"><br>
On Sep 14, 2015 2:31 PM, "Jeff Burdges" <<a href="mailto:burdges@gnunet.org">burdges@gnunet.org</a>> wrote:<br>
><br>
><br>
> I noticed a minor traffic whitenning issue in the HORNET paper :  HORNET<br>
> uses Sphinx packets to build circuits through the mixnet, but the actual<br>
> HORNET packets that travel on those circuits use a different header.<br>
><br>
> This begs the question : How should I quickly generate a random curve<br>
> 25519 group element such that an observer cannot tell that I'm not<br>
> actually doing a scalar multiplication?<br>
><br>
> We want a hash function f that yields a curve25519 group element such<br>
> that :<br>
> (a) if X,Y have uniform distributions, then the resulting distribution<br>
> f(X) is (sufficiently?) indistinguishable from g(Y) * G where g is some<br>
> reasonable hash function that yield curve25519 scalars and G is a base<br>
> point.<br>
> (b) f(x) can be computed an order of magnitude faster than g(x) * G.  I<br>
> hear a curve25519 DH operation takes about 40x longer than a typical<br>
> sha512 based KDF.</p>
<p dir="ltr">What about Elligator encoding everything?<br>
><br>
> Also, is it possible to do this is such a way that f(x) is a safe<br>
> basepoint for future DH operations?<br>
><br>
> Jeff<br>
><br>
><br>
><br>
> _______________________________________________<br>
> Curves mailing list<br>
> <a href="mailto:Curves@moderncrypto.org">Curves@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/curves">https://moderncrypto.org/mailman/listinfo/curves</a><br>
><br>
</p>