<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Oct 28, 2016 at 12:47 PM, Trevor Perrin <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br>
> On Fri, Oct 28, 2016 at 2:40 AM, Brian Smith <<a href="mailto:brian@briansmith.org">brian@briansmith.org</a>> wrote:<br>
</span><span class="">> [...]<br>
>> Consider this "best of both worlds" scheme:<br>
>><br>
>>      r = hash1(a || [first half of Z] || M || [second half of Z])<br>
<br>
</span>Samuel Neves mentioned (off-list) that with SHA512's 128-byte block<br>
size, a and M would still be mingled together in the first block.<br>
<br>
So I'm thinking about this:<br>
<br>
  a || Z || pad || M<br>
<br>
where "pad" adds zero bytes to fill the hash block (so 32 bytes with<br>
25519 and SHA512, since |a|=32 and |Z|=64).<br></blockquote><div><br></div><div>This also makes sense to me, and also partially addresses my question about whether |Z| should be a function of the block size of the hash function.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> (4) The prior rationale for hashing Z at the end was weak:  It might<br>
help protect a very weak hash where the attacker was able to choose M<br>
to force biases or collisions, even with unknown and randomized<br>
prefix.  But I think the sidechannel threat is more plausible. </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
 - We could consider a || Z1 || pad || M || Z2, but the risk of (4) is<br>
low enough that I doubt that's worth the complexity<br></blockquote><div><br></div><div>I would like to read more about attacks of the form of #4, if people have references. Up to now I've always lived a life of luxury wherein I have been allowed to assume there is no such attack, but I've not searched hard for research on that matter either.</div><div><br></div><div>Cheers,</div><div>Brian</div></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://briansmith.org/" target="_blank">https://briansmith.org/</a></div><div><br></div></div></div></div></div></div></div>
</div></div>