<div dir="ltr"><div class="gmail_quote">On Tue, Apr 19, 2016 at 1:07 PM, Alex <span dir="ltr"><<a href="mailto:alex@centromere.net" target="_blank">alex@centromere.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">It would seem to me that authentication is already handled by the<br>
presence of static keys. I.e., given a compatible pattern, the<br>
handshake will fail if the static key I have on file for you is not the<br>
one I received during the handshake.<br></blockquote><div><br></div><div>It depends.  Are the DH static keys authenticating the connection or authenticating the user?  They may not be the same thing; e.g. a VPN-like tunnel between hosts with user login sessions running on top of the host-to-host connection.  The user may not even be in possession of the tunnel's DH keys - the connection is set up by a privileged process, and then the connection and session identifier are handed off to the user process.</div></div><div><br></div><div>Cheers,</div><div><br></div><div>Rhys.</div><div><br></div></div>