<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 31 March 2015 at 13:43, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
You're also adding a security property that the server's in position<br>
to violate.  An alternative would be for Alice to create separate Pond<br>
identities when she wants to communicate under different, unlinkable<br>
pseudonyms.  This gives her the possibility of keeping these<br>
identities unlinked even from the server, so it's arguably a better<br>
solution for this problem.<br></blockquote><div><br></div><div>A third alternative is to drop the <id> and have the server try to validate the MAC with all the posibilities - the server is still in the position to violate this too.<br><br></div><div>Making it easy to create and manage Pond identities sounds like the best way to go.<br></div></div><br></div></div>