<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Oct 6, 2014 at 11:53 PM, Ben Laurie <span dir="ltr"><<a href="mailto:benl@google.com" target="_blank">benl@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 6 October 2014 23:23, Bill Cox <<a href="mailto:waywardgeek@gmail.com">waywardgeek@gmail.com</a>> wrote:<br>
> On Sat, Oct 4, 2014 at 1:21 PM, Ben Laurie <<a href="mailto:benl@google.com">benl@google.com</a>> wrote:<br>
>><br>
>> However, this is not a good way to go about designing crypto primitives.<br>
>><br>
><br>
> I disagree with this point.  This thread is an excellent way for people to<br>
> *avoid* mistakes like this hash function.  People should be *encouraged* to<br>
> post their latest dumb idea about hashing here, so it can be reviewed before<br>
> harming anyone.<br>
<br>
</span>Sure thing, but that's not what I meant. What I meant was that<br>
starting with a dumb idea, then incrementally fixing things people<br>
point out is not likely to lead to something good.<br>
</blockquote></div><br></div><div class="gmail_extra">Actually, this is one of my favorite processes for producing good ideas.  Continuing with this process, what's wrong with:<br><br></div><div class="gmail_extra">Digest = H(1 || B1) * H(2 || B2) * ... * H(n | Bn) mod p<br><br></div><div class="gmail_extra">I think I've shown this is secure based on the difficulty of the discrete log problem.  If true, isn't this exactly what you say is unlikely to happen?<br><br>Bill<br></div></div>