<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 5, 2016 at 8:00 PM, david wong <span dir="ltr"><<a href="mailto:davidwong.crypto@gmail.com" target="_blank">davidwong.crypto@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div>I know Moxie has given a lot of thoughts into TLS, and that Trevor is a legend, bla bla bla... but what about "crypto should be boring"? What about the peer-review and all the research done around TLS and its implementations?</div></div></blockquote><div><br></div><div>I share some of your concerns. I posted to the CFRG list about them:</div><div><br></div><div><a href="https://mailarchive.ietf.org/arch/search/?email_list=cfrg&gbt=1&index=VLyJIStoWay3xFKDa--Eahi8H3Y">https://mailarchive.ietf.org/arch/search/?email_list=cfrg&gbt=1&index=VLyJIStoWay3xFKDa--Eahi8H3Y</a><br></div><div><br></div><div>I have also spent a lot of time discouraging people from homebrewing their own transport encryption protocols and driving them towards TLS:</div><div><br></div><div><a href="https://twitter.com/bascule/status/685307512459952128">https://twitter.com/bascule/status/685307512459952128</a><br></div><div><br></div><div>All that said: I think you are being overly dramatic. Unlike most homebrew transport encryption protocols, Noise isn't immediately and obviously broken (at least to me). In fact, it has a number of similarities to the proposed OPTLS key exchange protocol.</div><div><br></div><div>Analysis is a chicken-and-egg problem: nobody is going to bother analyzing a protocol that nobody uses, so if you want people to analyze your protocol, you have to deploy it to a wide audience to give them a reason to care.</div><div><br></div><div>Noise covers a number of non-stream-oriented use cases which TLS (and also DTLS) do not. In absence of a protocol that covers these use cases, there's been a longstanding history of amateurs cobbling together their own immediately and obviously broken transport encryption protocols, particularly since popularization of NaCl has given them a sort of crypto Dunning-Kruger[1] that because the primitives are safe(r), protocol design is easy.</div><div><br></div><div>I say let's see where this goes. With over a billion users relying on it, perhaps it will start drawing analysis organically.</div><div><br></div><div>(Note: I've been following Noise development for a number of years, so maybe I'm biased)</div></div><div><br></div><div>[1]: Yes I know about the controversy surrounding Dunning-Kruger. No need to point that out, let's keep it on topic please.</div><div><br></div>-- <br><div>Tony Arcieri<br></div>
</div></div>