<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 21, 2015 at 2:28 PM, Jason A. Donenfeld <span dir="ltr"><<a href="mailto:Jason@zx2c4.com" target="_blank">Jason@zx2c4.com</a>></span> wrote:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">The second, and more significant, mitigation is that when the responder sends the cookie back to the initiator, it authenticated-encrypts it, taking as a key a combination of the responder's public key, optionally the PSK too, and the initial HMAC that was sent in the initiator's first handshake initiation.</blockquote><div><br></div><div>Do I have to worry about nonces here for any reason? I would think not, since it mixes in the initial HMAC, which is random. And the data its encrypting is the result of an HMAC, so I don't risk leaking the responder's cookie key there. But, just making sure...</div>
</div></div>