<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Apr 16, 2016 at 3:37 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">A hostile party could always downgrade the security of its own<br>
handshake, e.g. by using an ephemeral with a known/published private key.<br>
<br>
Using a null ephemeral public key shouldn't accomplish anything more
than that.</blockquote><div><br></div><div>True.  I'm looking at it from the point of view of mass surveillance where the hostile party has hacked an app on an app store.  An implementation that is using a non-null "snooper's key" makes that traffic visible only to the snoopers in the know about that specific key (or set of keys).<br><br>The null key (or any point with small order) on the other hand makes the traffic visible to *all* snoopers, even those that didn't hack the app.  It's so obviously bad that a blanket policy of "I'm not talking to you if your key is that bad" is probably wise.<br><br></div><div>Maybe I'm just paranoid.  I've spent the last week running ridiculous attack scenarios against Noise-C in my head to try to harden it. :-)<br></div></div><br></div><div class="gmail_extra">Cheers,<br><br></div><div class="gmail_extra">Rhys.<br><br></div></div>