<div dir="ltr"><div>Pattern analysis for KKnoss, IKnoss, KKss, KXss, XKss and IKss has begun and should be completed within a few hours.<br></div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nadim Kobeissi<div>Symbolic Software <span style="color:rgb(84,84,84);font-size:small">• <a href="https://symbolic.software" target="_blank">https://symbolic.software</a></span></div><div><span style="color:rgb(84,84,84);font-size:small">Sent from office</span></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Aug 15, 2018 at 12:23 AM Justin Cormack <<a href="mailto:justin@specialbusservice.com">justin@specialbusservice.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 14 August 2018 at 16:56, Trevor Perrin <<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>> wrote:<br>
> OK, so I think there's 2 questions you're answering with the "ss"<br>
> patterns below:<br>
><br>
>  * You're using the "late" choice for deferred patterns (which you've<br>
> done consistently), and leaving out the "early" option I mentioned.  I<br>
> think I agree with this:  If you've chosen to defer the more-important<br>
> authentication DHs (se and es), it seems you probably would want to<br>
> defer the less-important ss DH that is just supplying a bit more<br>
> forward-secrecy against an unusual attack.  Also, this is fairly<br>
> simple, and doesn't preclude us adding the other patterns later, if we<br>
> think of a reason for them.<br>
><br>
>  * You're making KKss and IKss identical with existing KK and IK,<br>
> instead of putting the "ss" on the end.  Not sure I agree here, seems<br>
> like it gains us more flexibility to have a different option, and<br>
> perhaps more consistency to have the "ss" modified patterns always<br>
> have "ss" at the end.  Also, it seems possible you might prefer to<br>
> skip the early "ss" for denial-of-service or (in KK) identity-hiding<br>
> reasons.<br>
<br>
Ok, well that gives the "always put the ss at the end" rule, which is also<br>
pretty simple. There aren't any other possibilities with any of the non<br>
deferred patterns anyway, so ok with that choice.<br>
<br>
> Anyways, I think we're converging on something - if you have time it<br>
> would be great to start a spec and link from wiki, also so we can get<br>
> Nadim some tentative patterns to analyze.<br>
<br>
Will do, am away for a bit and not sure how much time I will have immediately<br>
but will see.<br>
<br>
For reference these are the patterns if Nadim has time to analyze...<br>
<br>
KKnoss:<br>
  -> s<br>
  <- s<br>
  ...<br>
  -> e, es<br>
  <- e, ee, se<br>
<br>
IKnoss:<br>
  <- s<br>
  ...<br>
  -> e, es, s<br>
  <- e, ee, se<br>
<br>
<br>
KKss:<br>
  -> s<br>
  <- s<br>
  ...<br>
  -> e, es<br>
  <- e, ee, se, ss<br>
<br>
KXss:<br>
  -> s<br>
  ...<br>
  -> e<br>
  <- e, ee, se, s, es, ss<br>
<br>
XKss:<br>
  <- s<br>
  ...<br>
  -> e, es<br>
  <- e, ee<br>
  -> s, se, ss<br>
<br>
IKss:<br>
  <- s<br>
  ...<br>
  -> e, es, s<br>
  <- e, ee, se, ss<br>
<br>
XXss:<br>
  -> e<br>
  <- e, ee, s, es<br>
  -> s, se, ss<br>
<br>
IXss:<br>
  -> e, s<br>
  <- e, ee, se, s, es, ss<br>
<br>
<br>
K1Kss:<br>
  -> s<br>
  <- s<br>
  ...<br>
  -> e, es<br>
  <- e, ee<br>
  -> se, ss<br>
<br>
KK1ss:<br>
  -> s<br>
  <- s<br>
  ...<br>
  -> e<br>
  <- e, ee, se, es, ss<br>
<br>
K1K1ss:<br>
  -> s<br>
  <- s<br>
  ...<br>
  -> e<br>
  <- e, ee, es<br>
  -> se, ss<br>
<br>
K1Xss:<br>
  -> s<br>
  ...<br>
  -> e<br>
  <- e, ee, s, es<br>
  -> se, ss<br>
<br>
KX1ss:<br>
  -> s<br>
  ...<br>
  -> e<br>
  <- e, ee, se, s<br>
  -> es, ss<br>
<br>
K1X1ss:<br>
  -> s<br>
  ...<br>
  -> e<br>
  <- e, ee, s<br>
  -> se, es, ss<br>
<br>
X1Kss:<br>
  <- s<br>
  ...<br>
  -> e, es<br>
  <- e, ee<br>
  -> s<br>
  <- se, ss<br>
<br>
XK1ss:<br>
  <- s<br>
  ...<br>
  -> e<br>
  <- e, ee, es<br>
  -> s, se, ss<br>
<br>
X1K1ss:<br>
  <- s<br>
  ...<br>
  -> e<br>
  <- e, ee, es<br>
  -> s<br>
  <- se, ss<br>
<br>
I1Kss:<br>
  <- s<br>
  ...<br>
  -> e, es, s<br>
  <- e, ee<br>
  -> se, ss<br>
<br>
IK1ss:<br>
  <- s<br>
  ...<br>
  -> e, s<br>
  <- e, ee, se, es, ss<br>
<br>
I1K1ss:<br>
  <- s<br>
  ...<br>
  -> e, s<br>
  <- e, ee, es<br>
  -> se, ss<br>
<br>
X1Xss:<br>
  -> e<br>
  <- e, ee, s, es<br>
  -> s<br>
  <- se, ss<br>
<br>
XX1ss:<br>
  -> e<br>
  <- e, ee, s<br>
  -> es, s, se, ss<br>
<br>
X1X1ss:<br>
  -> e<br>
  <- e, ee, s<br>
  -> es, s<br>
  <- se, ss<br>
<br>
I1Xss:<br>
  -> e, s<br>
  <- e, ee, s, es<br>
  -> se, ss<br>
<br>
IX1ss:<br>
  -> e, s<br>
  <- e, ee, se, s<br>
  -> es, ss<br>
<br>
I1X1ss:<br>
  -> e, s<br>
  <- e, ee, s<br>
  -> se, es, ss<br>
_______________________________________________<br>
Noise mailing list<br>
<a href="mailto:Noise@moderncrypto.org" target="_blank">Noise@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/noise" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/noise</a><br>
</blockquote></div>