<div dir="auto">In my case the users identity equals the Ed Publix key. (Wireguard style routing), so the only way would be option 2.<div dir="auto"><br></div><div dir="auto">Since then both static keys need to be generated on the fly, Is there any difference between NN and XX?</div><div dir="auto"><br></div><div dir="auto">It also looks like you actually can get an x25519 from an Ed. </div><div dir="auto"><br></div><div dir="auto"><a href="https://download.libsodium.org/doc/advanced/ed25519-curve25519.html">https://download.libsodium.org/doc/advanced/ed25519-curve25519.html</a><br></div><div dir="auto"><br></div><div dir="auto">It's just not available in the dalek lib I use, and the discussion on the curves ML seems very involved, so I do wonder if this is actually safe.</div></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Jul 1, 2018, 00:58 Rhys Weatherley <<a href="mailto:rhys.weatherley@gmail.com">rhys.weatherley@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Jul 1, 2018 at 8:41 AM, Arvid Picciani <span dir="ltr"><<a href="mailto:aep@exys.org" target="_blank" rel="noreferrer">aep@exys.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Nice, Thanks.<br>
<br>
unfortunately i can't figure out how to use XK, because Noise of<br>
course uses x25519 not ed25519 so the public identities for DH dont<br>
match the identities used for signing,<br>
I found this thread from Trevor on signing using x25519<br>
<a href="https://moderncrypto.org/mail-archive/curves/2014/000205.html" rel="noreferrer noreferrer" target="_blank">https://moderncrypto.org/mail-archive/curves/2014/000205.html</a>  but<br>
there's no conclusion.<br></blockquote><div><br></div><div>The CA's signature on the certificate needs to use ed25519, but the subject's actual key would be x25519; i.e. "I the CA with signing key s warrant that DH key d belongs to the subject with name n".  The subject might also own other keys, including for signing other people's certificates.  Those may also be included in the certificate but don't matter for Noise session establishment.</div><div><br></div><div>Another approach is two-level: the CA signs the user's identity certificate containing the user's ed25519 key, which the user themselves uses to issue a transport certificate with their DH key.  Both are included in the certificate chain.  This would make it easier for the user to rotate transport keys over time under the same long-term identity.<br></div><div><br></div><div>Cheers,</div><div><br></div><div>Rhys.<br></div></div></div></div>
</blockquote></div>