<br><br>On Saturday, May 9, 2015, John Ioannidis <<a href="mailto:ji@tla.org">ji@tla.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 7, 2015 at 8:14 PM, Dan Kaminsky <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','dan@doxpara.com');" target="_blank">dan@doxpara.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Practical HMAC-MD5 Collisions!<div><br></div><div>Not that they should ever matter...</div><div><br></div><div><a href="http://dankaminsky.com/2015/05/07/the-little-mac-attack/" target="_blank">http://dankaminsky.com/2015/05/07/the-little-mac-attack/</a><br></div><div><br></div></div></blockquote><div><br></div><div><br></div><div>The Little HMAC that Could (collide?) :)</div></div></div></div></blockquote><div><br></div><div>Haha!</div><div><br></div><div>Looks like Stevens is getting close to SHA-1 collision, meaning HMAC-SHA1 will collide too.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Very cute. And while this particular case does not (should not?) have any RW security impact, it does show how we should never be complacent about using stuff in ways it was not meant to be used, which is unfortunately all-too-common in our field.</div></div></div></div></blockquote><div><br></div>HMAC actually encodes a bunch of very interesting and useful design constraints; lose the constraints and there's hell to pay.  That is indeed not specific to HMAC.<br><div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>A bit off-topic: I particularly like how you use python examples, with cut-and-paste-able code. I wish more people would do that.</div></div></div></div></blockquote><div><br></div><div>Thanks, it's not often you have something simple enough that it *could* be documented this way.</div><div><br></div><div>There's this insanely cool JS embeddable Python environment called Skulpt, I'd have used that if it worked on Wordpress.com.</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>/ji </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div></div>
</blockquote></div><br></div></div>
</blockquote></div>