<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 20, 2014 at 8:44 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">On 03/20/2014 03:11 AM, Trevor Perrin wrote:<br>

> You'd have users exchange ~160-bit ECDH keys directly.  I'd have users<br>
> exchange (introduction server name, ~128-bit fingerprint) and use these to<br>
> lookup an "introduction cert" where the fingerprinted long-term key signs a<br>
> short-term ECDH key.<br>
><br>
> Your approach eliminates the need to mask the intro-cert lookup via PIR or<br>
> dummy traffic.  But it lowers the security of your long-term key from ~128<br>
> bits to ~80 bits, and reduces "forward-secrecy of linkages", since<br>
> compromise of the long-term ECDH key (which you've printed on your business<br>
> card, so you're not going to rotate it frequently) allows going through<br>
> published rendezvous messages and linking correspondents for the key's<br>
> lifetime.<br>
<br>
</div>Watson's scheme is also doable with ephemeral keys, you just wouldn't<br>
have them on your business card -- each user could have their machinery<br>
generate a stash of ephemeral keys and print out one card per key.  each<br>
card would have the public key of a single ephemeral key written on one<br>
half of the card (the "peer" half), and a short tag on the other half<br>
that identifies the private key in your client's ephemeral stash (the<br>
"self" half)<br>
<br>
you meet someone who also plays this game, and the two of you take the<br>
top card from each of your stacks, tear it in half, give the peer half<br>
to the other person, and staple or tape or otherwise pair up the two<br>
pieces for use later when you're online.<br></blockquote><div><br></div><div><div>Yeah, I think that loses the main benefit of a DH rendezvous though, which is that each party has a single static value which they can print on biz cards, publish widely for corroboration, or exchange via 3rd parties.</div>
<div><br></div><div>Your process requires:</div><div> - printing and carrying around a stack of perforated tickets</div><div> - tearing and exchanging them</div><div> - attaching them with staples or tape</div><div><br></div>
<div>I think a lot fewer people would be willing / able to do that.</div><div><br></div><div><br></div><div>Trevor</div></div><div><br></div></div></div></div>