<div dir="ltr"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"> (Lemma 6) If the HMAC inner hash's compression function is a<br>"statistical extractor" and a "Dual-PRF", i.e. a PRF when keyed<br>through the message, not the IV, then HMAC is a computational<br>extractor when all hash input blocks have high entropy, a condition<br>met by 25519 with all current Noise hash functions, and 448 with the<br>512-bit hash functions.</blockquote><div><br></div><div>That's interesting. You may consider adding this to the security precautions section of the Noise spec itself -- not to use 448 with the 512-bit hash functions. The worst that could happen is you wind up with less entropy, though hopefully you still in fact do have 256-bits of it, in that case.</div></div>