<div dir="ltr">In order to not share the responder static key between multiple servers,<br>i am considering creating a responder key per initiator.<br>the responder key is then loaded hot only when needed and can be revoked more fine grained.<br><br>This would require the responder to know which key to load. The current IK pattern has the initiator static encrypted with the responder static, so i can't look up the matching receiver keys.<br><br>I could just use IX , but i actually want encrypted 0RTT payload,<br><br>so something like<br><br>XIK:<br>      <- s<br>      ...<br>      -> s, ss, e, es<br>      <- e, ee, se<br><br>i'm assuming 0RTT payload has the same protection as IK, i.e. Source 1 and Destination 2,<br>except it looses identity hiding, as that's kind of the point<br><br>is this correct?<br><br>thanks,<br>Arvid<br><br>--<br>+4916093821054<br></div>