<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Oct 6, 2013 at 11:26 AM, John Kelsey <span dir="ltr"><<a href="mailto:crypto.jmk@gmail.com" target="_blank">crypto.jmk@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If we can't select ciphersuites that we are sure we will always be comfortable with (for at least some forseeable lifetime) then we urgently need the ability to *stop* using them at some point.  The examples of MD5 and RC4 make that pretty clear.<br>

<br>
Ceasing to use one particular encryption algorithm in something like SSL/TLS should be the easiest case--we don't have to worry about old signatures/certificates using the outdated algorithm or anything.  And yet we can't reliably do even that.<br>
</blockquote><div><br></div><div>I proposed a mechanism for that a long time back based on Rivest's notion of a suicide note in SDSI.</div><div><br></div><div><br></div><div>The idea was that some group of cryptographers get together and create some random numbers which they then keyshare amongst themselves so that there are (say) 11 shares and a quorum of 5.</div>
<div><br></div><div>Let the key be k, if the algorithm being witnessed is AES then the value AES(k) is published as the 'witness value for AES. </div><div><br></div><div>A device that ever sees the witness value for AES presented knows to stop using it. It is in effect a 'suicide note' for AES. </div>
<div><br></div><div><br></div><div>Similar witness functions can be specified easily enough for hashes etc. We already have the RSA factoring competition for RSA public key. In fact I suggested to Burt Kaliski that they expand the program.</div>
<div><br></div><div>The cryptographic basis here is that there are only two cases where the witness value will be released, either there is an expert consensus to stop using AES (or whatever) or someone breaks AES.</div><div>
<br></div><div>The main downside is that there are many applications where you can't tolerate fail-open. For example in the electricity and power system it is more important to keep the system going than to preserve confidentiality. An authenticity attack on the other hand might be cause...</div>
<div> </div></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>