<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Jan 28, 2018 at 5:26 AM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Anyways, your important observation (from the Dominic Tarr paper) is<br>
that an attacker replaying an initial message in NKpsk0 (for example)<br>
could confirm the server still has the same static key and PSK, if it<br>
responds.<br></blockquote><div><br></div><div>This is an issue because the specification requires early abort as soon as a MAC check fails.  But if the handshake ran to completion every time before reporting the failure, then the information leakage would not occur.  That is, collect errors along the way but then continue in a constant-time manner as though the values were correct.  Abort upon the final handshake packet just before the Split().<br></div><div><br></div><div>Cheers,</div><div><br></div><div>Rhys.<br></div></div></div></div>