<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature"><div>What happens in David's formulation if one were to need to revoke one device? <br><br>One downside of Trevor's prefered formulation is that loss of control of one device means restart one's identity from scratch....</div></div></div>
<br><div class="gmail_quote">On Mon, Jan 5, 2015 at 10:03 PM, David Leon Gil <span dir="ltr"><<a href="mailto:coruus@gmail.com" target="_blank">coruus@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Jan 5, 2015 at 4:18 PM, Trevor Perrin <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br>
> The most practical approaches are probably either synchronizing the<br>
> identity key between devices, or using it to sign device keys.  Either<br>
> way, adding a new device might increase communication in (f), since<br>
> Alice might have to retrieve additional device-specific prekeys,<br>
> and/or signed device keys.<br>
<br>
There is no need for an "identity key" to sign anything except an<br>
initial device key. Just chase cross-signatures back to a<br>
distinguished (by some flag) identity key that is stored offline, and<br>
use a hash of that as the fingerprint:<br>
<br>
xsign(device0t0, identity)<br>
xsign(device0t0, device1t0)<br>
xsign(device0t1, device2t0)<br>
<br>
chase_fingerprint(device2) == hash(identity)<br>
<br>
(Many thank to Yan for suggesting this approach to stable<br>
fingerprints, though I don't know that she endorses it.)<br>
<br>
This neatly avoids exposing any long-term keys to additional risk of compromise.<br>
_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
</blockquote></div><br></div></div>