<div dir="ltr">Thank you, everyone!<br><br clear="all"><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nadim Kobeissi<div>Symbolic Software <span style="color:rgb(84,84,84);font-size:small">• <a href="https://symbolic.software" target="_blank">https://symbolic.software</a></span></div><div><span style="color:rgb(84,84,84);font-size:small">Sent from office</span></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, May 1, 2018 at 2:50 PM Marian Beermann <<a href="mailto:public@enkore.de">public@enkore.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Nadim,<br>
<br>
yes, if the intention is to have an AKE (authenticated key exchange),<br>
then the peer's static key needs to be authenticated in one way or<br>
another. Noise does not provide an out-of-the-box way to do that.<br>
<br>
-Marian<br>
<br>
On 01.05.2018 14:31, Nadim Kobeissi wrote:<br>
> Dear David,<br>
> So, the conclusion is that any `s` appearing in either a pre-message or<br>
> message pattern, is assumed to be authenticated out-of-band, as in<br>
> independently of the Noise handshake, by the recipient party?<br>
> <br>
> Thank you,<br>
> <br>
> Nadim Kobeissi<br>
> Symbolic Software • <a href="https://symbolic.software" rel="noreferrer" target="_blank">https://symbolic.software</a><br>
> Sent from office<br>
> <br>
> <br>
> On Tue, May 1, 2018 at 2:10 PM David Wong <<a href="mailto:davidwong.crypto@gmail.com" target="_blank">davidwong.crypto@gmail.com</a><br>
> <mailto:<a href="mailto:davidwong.crypto@gmail.com" target="_blank">davidwong.crypto@gmail.com</a>>> wrote:<br>
> <br>
>     > If a token 's' appears in a Noise handshake pattern pre-message<br>
>     flight, it<br>
>     > is reasonable for us to assume that this key represented by 's' was<br>
>     > pre-authenticated by the parties. That is, if the initiator sent<br>
>     's' in a<br>
>     > pre-message, then the responder is assumed to have authenticated<br>
>     's' already<br>
>     > out of band, using for example a QR code as is the current<br>
>     use-case, for<br>
>     > example, in the Signal secure messenger.<br>
> <br>
>     I don't think this is a good comparison. Signal allows you to<br>
>     post-handshake authenticate the session whereas a pre-message `s`<br>
>     means that you have pinned `s` and thus you trust the session from the<br>
>     start.<br>
> <br>
>     `s` in a message pattern implies that you have a way to ensure that<br>
>     you know that `s`. This can be done in different ways:<br>
> <br>
>     * out of band post-handshake (like Signal)<br>
>     * by having the sender also send a signature from some authority that<br>
>     you trust (PKI)<br>
>     * by recognizing the cert from a trust store<br>
>     * ...?<br>
> <br>
>     Hope that helps,<br>
>     David<br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> Noise mailing list<br>
> <a href="mailto:Noise@moderncrypto.org" target="_blank">Noise@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/noise" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/noise</a><br>
> <br>
<br>
</blockquote></div>