<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 25 May 2015 at 21:55, Stephen Farrell <span dir="ltr"><<a href="mailto:stephen.farrell@cs.tcd.ie" target="_blank">stephen.farrell@cs.tcd.ie</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
On 23/05/15 17:19, ianG wrote:<br>
><br>
><br>
> 1.  One True Cipher Suite versus Algorithm Agility?<br>
<br>
</span>The former simply does not work as an engineering concept.<br>
<br>
Performance counts. Systems with AES h/w come in two practical<br>
flavours: CCM and GCM and those do not interoperate. There are<br>
also systems without crypto h/w instructions that need to use<br>
something in s/w such as chacha.<br>
<br>
Those facts are IMO entirely sufficient to demonstrate that<br>
the 1TCS concept doesn't work, except in an alternate universe<br>
where you control all platforms.<br>
<br>
The performance and security characteristics of platforms will<br>
also vary over time, say if in a few years OCB ended up being<br>
added to systems that now do either GCM or CCM and provided a<br>
way to get interop between many more systems whilst using AES<br>
h/w. That would be a good reason to start wanting to see OCB<br>
ciphesuites.<br>
<br>
I would really like to see us (IETF and more broadly) make<br>
progress on limiting pointless ciphersuite proliferation but<br>
the 1TCS concept is just a distraction that makes real progress<br>
harder to achieve IMO.<br>
<br>
We ought be concentrating on how to do the agility thing but<br>
*much* better than we have to date (so including ways to get<br>
rid of useless/unused cruft) but we should not be pursuing an<br>
apparent ideal that is really a broken idea.</blockquote><div><br></div><div>The way CT works is neither 1TCS nor agility - if you want to change ciphersuite, you start a new log. So, it seems there are other parts of the design space...</div><div><br></div></div></div></div>