<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 16, 2015 at 10:05 PM, Michael Hamburg <span dir="ltr"><<a href="mailto:mike@shiftleft.org" target="_blank">mike@shiftleft.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">
<br>
</div></div>There’s one more wrinkle, though.  If the handshake is authenticating the initiator, then the responder doesn’t know if they’re talking to the right initiator.  They just know that nobody other than that party can decrypt the transport messages.  In some cases, that’s fine, but in other cases, the length of the transport messages (or their timing, or the willingness of the responder to say anything at all) can leak sensitive information.<br></blockquote><div><br></div><div>I thought, though, that in the case of Noise_IS, there is authentication in the first message -- via static-static DH. This has some replay attack detriments, unless timestamps are used.</div></div>
</div></div>