<div dir="ltr"><div class="gmail_quote">On Tue, Apr 19, 2016 at 1:46 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">So I believe the important property is uniqueness, not secrecy.  The<br>
higher-level signatures that are calculated over the channel binding<br>
are sent inside the SSH transport encryption, so secrecy is already<br>
provided.</blockquote><div><br></div><div>The signature is secret.  What is being signed (the session identifier) is not.  Paranoia again.  Knowing what is signed, combined with timing information, might pry open the signing key.</div><div><br></div><div>It's not a big deal though - "h" can be combined with a secret nonce value to produce a value to be signed instead.  The signature scheme should probably be using nonce anyway.</div><div><br></div><div>I'm good with "h" being the Noise version of session identifiers for now until such time that some academic crypto nerd objects with an interesting paper as how to abuse the public session identifier to wriggle into a user's session.</div><div><br></div><div>Like Alex, I'll add a function / extra result from Split().<br></div></div><p>Cheers,</p><div>Rhys.</div><div class="gmail_extra"><br></div></div>