<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 20, 2014 at 11:35 AM, Ben Laurie <span dir="ltr"><<a href="mailto:ben@links.org" target="_blank">ben@links.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5">On 20 March 2014 07:11, Trevor Perrin <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br>
><br>
> (Context for this discussion:<br>
><br>
> <a href="https://moderncrypto.org/mail-archive/messaging/2014/000086.html" target="_blank">https://moderncrypto.org/mail-archive/messaging/2014/000086.html</a><br>
> <a href="https://moderncrypto.org/mail-archive/messaging/2014/000113.html" target="_blank">https://moderncrypto.org/mail-archive/messaging/2014/000113.html</a></div></div></blockquote><div>[...] </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5"><br><br>
</div></div>FWIW, here's a thing I did years ago:<br>
<br>
<a href="http://www.apache-ssl.org/apres.pdf" target="_blank">http://www.apache-ssl.org/apres.pdf</a></blockquote><div><br></div><div><div>Nice!, definitely anticipates some of the Pond / PANDA stuff.</div><div><br></div>
<div>Like PANDA, Apres authenticates an online rendezvous with an "introduction secret" agreed between users:</div><div><br></div><div>"""</div><div>One protocol [...] would be for each person to choose two words. Both people then remember (or write down) all four words. Assuming people make some effort to choose from a wide vocabulary, we could safely assume around 12 bits of entropy in each word, giving a total entropy of 48 bits.</div>
<div>"""</div><div><br></div><div>Watson and I are discussing a different approach: have users exchange ECDH keys or fingerprints instead of exchanging introduction secrets directly.  Then calculate the "introduction secret" via ECDH.  These ECDH public values could be static and nonsecret, so should be easier to deal with (could be printed on a business card, corroborated with online lookup, etc.)</div>
<div><br></div><div><br></div><div>Trevor</div></div><div><br></div></div></div></div>