<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">On Mon, 28 May 2018, 15:15 str4d, <<a href="mailto:str4d@i2pmail.org">str4d@i2pmail.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
My understanding of psk in Noise was that it is intended to be a secret<br>
known only to a specific (initiator, responder) pair. That precludes the<br>
use case where the initiator looks up the connection info for the<br>
responder in e.g. a public DHT (requiring psk0 to be a public value used<br>
by all initiators). If my understanding is incorrect, then this would<br>
definitely be an interesting alternative proposal (at the cost of extra<br>
bytes per handshake message for the additional per-ephemeral nonce).<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">No there are notes in the spec about using an all 0 psk as a placeholder for example and the reason for allowing multiple psk and different placement is to allow them to depend on various different things that become available at different times. Using an additional psk0 that is public should be fine I would think.</div><div dir="auto"><br></div><div dir="auto">The handshake cost may not exist if you are padding handshakes anyway.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div></div>