<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 8, 2016 at 5:11 AM, Simon A <span dir="ltr"><<a href="mailto:simon.a@le-huit.fr" target="_blank">simon.a@le-huit.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">le 07/04/2016 18:16, Bill Cox a écrit :<br>
> Noise Pipes looks very cool, but I cannot find any source code used by<br>
> WhatsApp that implements Noise Pipes.  Can any of you folks find it?  I<br>
> am interested in trying to understand the security of their<br>
> implementation, but can't find the source code.<br>
<br>
</span>At the end of the whitepaper:<br>
  <a href="https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf" rel="noreferrer" target="_blank">https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf</a><br>
there is a link:<br>
  <a href="https://github.com/whispersystems/libsignal-protocol-java/" rel="noreferrer" target="_blank">https://github.com/whispersystems/libsignal-protocol-java/</a><br>
<br>
> The Signal Protocol library used by WhatsApp is Open Source, available<br>
> here: <a href="https://github.com/whispersystems/libsignal-protocol-java/" rel="noreferrer" target="_blank">https://github.com/whispersystems/libsignal-protocol-java/</a><br>
<span class="HOEnZb"><font color="#888888"><br>
Simon.</font></span></blockquote><div><br></div><div>I read through this code briefly, and it clearly does not implement the Noise Protocol as currently specified.  For example, it sends signatures rather than authenticating by using static DH key shares.  I saw no mention of the Noise Pipe tokens, and the words noise and pipe do not appear in the code.</div><div><br></div><div>Bill </div></div></div></div>