(And, a somewhat delayed response.)<div><br></div>Fingerprint derivation MUST take measures to make multi-target attacks cost as much as single-target attacks. The easiest approach is to use something else the user verifies -- like an email address or (unique) screenname -- as an additional input to the KDF.<div>
<br></div><div>(The advantage, as dkg points out, is large even for private attackers. It's gigantic for those involved in mass surveillance or espionage: it's the total number of keys. Just for RSA and DSA SSH host keys: > 2^27 tagets. See, e.g., <a href="http://elastic-security.com/2013/10/29/applications-of-zmap/">http://elastic-security.com/2013/10/29/applications-of-zmap/</a>)</div>
<div><div><br>On Friday, July 11, 2014, Daniel Kahn Gillmor <<a href="mailto:dkg@fifthhorseman.net">dkg@fifthhorseman.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 07/11/2014 09:45 AM, Tom Ritter wrote:<br>
> In my mind, a 2^80 attacker is targeting a single key,<br>
<br>
Hm, i don't think this is always true.<br>
<br>
There are groups of people (and groups of machines) where the attacker<br>
can get value from impersonating any one of them.  For example, a<br>
mid-size hosting company may operate roughly 2^10 servers, each with its<br>
own ssh host key.  With many modern OpenSSH instances, each sshd has 3<br>
or even 4 host keys: dsa, rsa, ecdsa. ed25519; so that's 2^11 or 2^12<br>
target keys you can try to match.<br>
<br>
Maybe we don't want to capture this additional attacker advantage in our<br>
model, but if so, we should at least explicitly state it as out of scope.<br>
<br>
        --dkg<br>
<br>
</blockquote></div></div>