<div dir="ltr">> <span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">Messages in Noise aren't signed. There is no signature to verify. In</span><br style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">your setup, Mallory would be able to impersonate you because she will</span><br style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">derive the same TX/RX keys as Alice.</span><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><br></span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">Ah, I see. I was pretty confused about what the dhss token accomplished - the only thing that would ensure (I think, correct me if I am wrong) is that decrypting replies to me on the channel after that point requires knowledge of my corresponding private key. It wouldn't prevent anyone from producing the "signed" message in the first place.</span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><br></span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">> </span><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:1.5">If that is your goal, I don't think Noise is what you want. You'll want</span></div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">to look in to Ed25519, ECDSA, etc.</span><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><br></span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">Cool, thanks.</span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif"><br></span></div><div><span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">Paul :)</span></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Jul 19, 2016 at 11:03 AM Alex <<a href="mailto:alex@centromere.net">alex@centromere.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 19 Jul 2016 14:24:17 +0000<br>
Paul Chiusano <<a href="mailto:paul.chiusano@gmail.com" target="_blank">paul.chiusano@gmail.com</a>> wrote:<br>
<br>
> > What if the message is passively intercepted by Mallory? She could<br>
> > then<br>
> run the rest of the handshake herself and derive the same pair of<br>
> TX/RX symmetric keys as Alice would, thus making your secure channel<br>
> completely broken.<br>
><br>
> That is totally fine. Mallory can also verify the "signature" too if<br>
> she wants. I don't care about transmitting the signature under<br>
> encryption.<br>
><br>
<br>
Messages in Noise aren't signed. There is no signature to verify. In<br>
your setup, Mallory would be able to impersonate you because she will<br>
derive the same TX/RX keys as Alice.<br>
<br>
> Think of the use case - I publish a message somewhere public on the<br>
> internet, and others would like to verify the message was produced by<br>
> someone with my private key. So I include after the message a<br>
> "signed" hash of it, using the protocol I gave. We assume that<br>
> verifiers have out-of-band knowledge of my corresponding public key.<br>
><br>
<br>
If that is your goal, I don't think Noise is what you want. You'll want<br>
to look in to Ed25519, ECDSA, etc.<br>
<br>
--<br>
Alex<br>
</blockquote></div>