<div dir="ltr"><div dir="ltr">On Mon, May 13, 2019 at 2:41 PM Loup Vaillant David <<a href="mailto:loup@loup-vaillant.fr">loup@loup-vaillant.fr</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'm not talking about encryption. I'm talking about *authentication*.<br>
Besides, I believe the keys are encrypted only once.<br>
<br>
The ENCRYPT() function does both encryption and authentication, and its<br>
authentication tag is integrated to the message. I was wondering if we<br>
could reasonably omit that authentication tag without losing any<br>
security. I believe we can, but I wanted to make sure I didn't miss<br>
anything.</blockquote><div><br></div><div>If I understand the point you're attempting to make, you want to shoehorn in unauthenticated encryption as a micro-optimization to save the size of one MAC in the key exchange.</div><div><br></div><div>Personally I think it's more parsimonious and less risky to always use authenticated encryption. Even if there were no protocol-level security risks involved in this change, the implementation risk is use of unauthenticated encryption at an implementation level as a mistake, where authenticated encryption is required.</div><div><br></div><div>An open question though: can an attacker inject low-order points in the authenticated protocol and use them to perform a MitM attack? This seems to be something of a classical problem.</div><div><br></div><div>I think the onus is on you to demonstrate:</div><div><br></div><div>1) This microoptimization actually provides a meaningful benefit which outweighs the potential risks of bad implementations owing to a more complicated design that attempts to leverage both authenticated and unauthenticated encryption</div><div>2) This change does not introduce security vulnerabilities owing to an attacker who is able to inject low order points and therefore have a D-H output be zero</div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Tony Arcieri<br></div></div>