<div dir="ltr">Hi Govind,<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 8, 2018 at 10:08 PM, Govind Yadav <span dir="ltr"><<a href="mailto:yadavgovind@hotmail.com" target="_blank">yadavgovind@hotmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div dir="ltr">
<div style="font-family:Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black"></span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">You are absolutely right that the hackers can write their own code, crack private key via
 QC and decrypt the data and ignore Device ID</span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">The ultimate solution to this problem is that instead of application, embed Device ID technology
 directly into the encryption algorithm - there is no other way out. Then the Algo, along with usual crypto operations, will also check Device ID as described in the paper and stop the process if device is found to be rouge.
</span></p><span style="color:black"> </span></div></div></blockquote><div><br></div><div>Like Natanael said earlier, the attacker can write code which works exactly the same way the hardware would work. Hiding the algorithm in hardware would be security by obscurity and it would be reversed eventually.</div><div><br></div><div>Take a look at TPM which is already available technology that can give you a hash based on the hardware on the system. Any change in hardware will generate a different hash value. This technology is used with whole drive encryption like Bitlocker where the system decrypts itself without user entering a key. Any modification in the hardware and the disk wont decrypt without providing a backup recovery key. That means you cannot just remove the hard drive and walk away from that system.<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-family:Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">And when we do that, it essentially means that we develop a new crypto!! Since we will modify
 RSA and ECC, let’s call them RSA+/ECC+ for now. The bad guys cannot bypass the Algo. Right? Applications vendors can then embed this crypto algo into their application instead of integrating directly with such a DeviceID. </span></p></div></div></blockquote><div><br></div><div>Any algorithm you develop will be available with the attacker too. Special algorithm is not how its done. Key management is what is tough thing to achieve and you need to focus on that part most.<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-family:Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline"> 
<span style="color:black">I agree this sounds over simplistic and honestly, at this stage I am not sure
</span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">A) Exactly where in the encryption/decryption process should Device ID technique be embeded
 and </span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">B) Whether apart from the Algo itself, will we require a code snippet. If so, it will impact
 integration with applications. </span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">Clearly there is lot more to be done. But at a conceptual level, I think we have a soluiton.
 I will revert back with modified approach and concept document hopefully with some illustrations/diagrams.
</span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black"> </span></p>
<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;vertical-align:baseline">
<span style="color:black">What was and still is fundamental, is to ensure that the Device ID technique is fool proof.
 I know few Device ID techniques which are prone to MITM or some form of Malware. Once we have a robust Device ID (which I think we have now), its half the battle won.
</span></p></div></div></blockquote></div></div></div><div><br></div><div>You are still not even near to a solution. But don't lose your motivation and keep thinking!</div><div><br></div><div>Regards,<br></div><div><div class="gmail_extra">
<br clear="all"><div><div class="gmail_signature">MemoryVandal</div></div>

<br></div></div></div>