<p dir="ltr"><br>
Den 2 feb 2016 20:36 skrev "Trevor Perrin" <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>>:</p>
<p dir="ltr">> Some small observations:</p>
<p dir="ltr">[...]</p>
<p dir="ltr">> (3) On a similar note, it wouldn't hurt if the static-static DH<br>
> outputs contributed to the key used for encrypting payloads.  That<br>
> *might* help in the case where a weak RNG is generating bad ephemeral<br>
> private keys, but somehow the sender's static private key was good.<br>
> But that's a pretty weird case.</p>
<p dir="ltr">Not that weird. It just requires that the original setup and usage happens in different environments.</p>
<p dir="ltr">One example is creation of a keypair on a secure computer, to then be using it from any kind of SoC based device (because that's the most probable example) with insufficient entropy available to the OS, because every single variable is predictable and not enough unique user activity is captured as entropy. Like a Raspberry Pi, using an existing standard ROM/OS and with minimal userland. It isn't an unprecedented example:</p>
<p dir="ltr"><a href="http://siliconangle.com/blog/2015/11/30/ssh-generation-fault-leaves-raspberry-pi-vulnerable-to-hacking/">http://siliconangle.com/blog/2015/11/30/ssh-generation-fault-leaves-raspberry-pi-vulnerable-to-hacking/</a><br>
</p>