<p dir="ltr"><br>
Den 17 okt 2015 01:36 skrev "Phillip Hallam-Baker" <<a href="mailto:phill@hallambaker.com">phill@hallambaker.com</a>>:<br>
> If you don't use a pre-computed prime you have to check the prime<br>
> presented every time and that is something we can't trust people to do<br>
> right.<br>
><br>
> The solution is to compute the session key so that it is a product of<br>
> the pre-master secret and the ephemeral exchange.<br>
><br>
> What the protocol does right now is generate a strong shared secret<br>
> (s1) and then use it to authenticate a DH exchange with shorter keys<br>
> producing a weaker shared secret (s2).<br>
><br>
> The problem is eliminated if w use H(s1 + s2) as the shared secret.<br>
> Which is what I proposed at the time and got told I was being a<br>
> trouble maker, unhelpful, etc.</p>
<p dir="ltr">Doesn't this attack still work in one way then? Because here it is s2 that provides the PFS property, but that's the value that can still be attacked this way. So then you just need to crack the prime, and then start collecting private keys for the certificates of your targets. </p>
<p dir="ltr">So the difference is that you now need to both crack DH and also get the private key, not just one or the other (getting the private key in non-PFS, cracking DH in standard PFS). So less convenient and harder to attack on a large scale, but NSA still have plenty of zero-days for that. </p>