<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Sep 23, 2015 at 11:56 AM, Kristian Gjøsteen <span dir="ltr"><<a href="mailto:kristian.gjosteen@math.ntnu.no" target="_blank">kristian.gjosteen@math.ntnu.no</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">23. sep. 2015 kl. 20.04 skrev Philipp Gühring <<a href="mailto:pg@futureware.at">pg@futureware.at</a>>:<br>
> Diffie-Hellman makes sure that both parties end up with a secure key d if<br>
> at least any one of them has a secure random number generator and follows<br>
> the protocol correctly.<br>
<br>
</span>That is false.<br>
<br>
If Alice’ random number generator always outputs 3, Eve can easily deduce the shared secret, regardless of what Bob does.<br>
<br>
The correct statement is that the parties end up with a randomly chosen key if Bob (the responder) follows the protocol (with some minor additions to the textbook version). They end up with a randomly chosen key if Alice (the initiator) follows the protocol and Bob’s value is independent of Alice’ value. Note that «randomly chosen» is not the same as «secure».<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Kristian Gjøsteen</font></span></blockquote><div><br></div><div>It turns out that no public-key protocol can ever be designed that delivers security in the face of a bad RNG on just one end.  This is another reason that a good RNG is critical to security.</div><div><br></div><div>This is something I proved to myself a while back.  In general, if Eve can predict any action Bob will take, because Bob has no actual source of random behavior, then Even will know anything Bob knows as soon as he knows it.  If Bob is a Turing machine with no random oracle, and Eve can see initial state and all the input and output to Bob, she can simulate the state machine on the inputs herself and know every bit of state Bob contains.  Not good for Bob's privacy.</div><div><br></div><div>For Bob's internal state to diverge from what Eve can trivially predict, Bob needs a random oracle.  I <a href="https://www.tindie.com/products/WaywardGeek/infinite-noise/">carry one in my pocket</a>, just for fun.</div><div><br></div><div>Bill</div></div></div></div>