<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Sep 10, 2013 at 3:56 PM, Bill Stewart <span dir="ltr"><<a href="mailto:bill.stewart@pobox.com" target="_blank">bill.stewart@pobox.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">At 11:33 AM 9/6/2013, Peter Fairbrother wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
However, while the case for forward secrecy is easy to make, implementing it may be a little dangerous - if NSA have broken ECDH then<br>
using it only gives them plaintext they maybe didn't have before.<br>
</blockquote>
<br></div>
I thought the normal operating mode for PFS is that there's an initial session key exchange (typically RSA) and authentication,<br>
which is used to set up an encrypted session, and within that session there's a DH or ECDH key exchange to set up an ephemeral session key,<br>
and then that session key is used for the rest of the session.<br>
If so, even if the NSA has broken ECDH, they presumably need to see both Alice and Bob's keyparts to use their break,<br>
which they can only do if they've cracked the outer session (possibly after the fact.)<br>
So you're not going to leak any additional plaintext by doing ECDH compared to sending the same plaintext without it.</blockquote></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div>One advantage of this approach is that we could use RSA for one and ECC for the other and thus avoid most consequences of an RSA2048 break (if that is possible).</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">The problem I see reviewing the list is that ECC has suddenly become suspect and we still have doubts about the long term use of RSA.</div><div class="gmail_extra">
<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">It also have the effect of pushing the ECC IPR concerns off the CA and onto the browser/server providers. I understand that many have already got licenses that allow them to do what they need in that respect.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">Perfect Forward Secrecy is not perfect. In fact it is no better than regular public key. The only difference is that if the public key system is cracked then with PFS the attacker has to break every single key exchange and not just the keys in the certificates and if you use an RSA outer with an ECC inner then you double the cryptanalytic cost of the attack (theory as well as computation).</div>
<div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">I think this is the way forward.</div><div class="gmail_extra"><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>

</div></div>