<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Sep 9, 2014 at 8:43 PM, Dennis E. Hamilton <span dir="ltr"><<a href="mailto:dennis.hamilton@acm.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=dennis.hamilton@acm.org&cc=&bcc=&su=&body=','_blank');return false;">dennis.hamilton@acm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:'Courier New';font-size:11pt">Now, if you could forge a message such that it verifies with an existing affixed signature, and the message is even intelligible, that would be a remarkable action against public-key technology.</span></p></div></blockquote><div><br></div><div>The strength of the signature comes from the key. In the case of Keybase, we don't know we have the right key, and are trying to use the signature to determine that.</div><div><br></div><div>As I've discovered from this thread, the <span style="font-size:13px;font-family:arial,sans-serif">dual-share key-share attack is able to produce a keypair such that an existing digital signature will verify under it. If we can confuse the victim into verifying a signature under an attacker-controlled key, the signature will appear valid even though it was produced under a different key.</span><br></div></div><div><br></div><div>This is necessary but not sufficient for an attack against Keybase however, since the message being signed contains the key fingerprint, which I wasn't aware of at the time I started this thread.</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>