<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Dec 18, 2018 at 3:50 PM Stephan Neuhaus <<a href="mailto:stephan.neuhaus@zhaw.ch">stephan.neuhaus@zhaw.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If I understand your scheme, Bob can later claim to have committed to a <br>
different message.<br>
<br>
For example, Bob has the message<br>
<br>
s1 = The secret agent is Alice<br>
<br>
He chooses some random r1 and computes and publishes w = H(s1 + r1)<br>
<br>
When it later turns out that Dave is in fact the secret agent, he takes<br>
<br>
s2 = The secret agent is David<br>
<br>
and publishes s2 and r2 = s1 + r1 - s2. Since H(s2 + r2) = w = H(s1 + <br>
r1), Bob can thus "prove" that he knew that Dave had been the secret <br>
agent all along.<br>
<br>
Did I misunderstand something?<br>
<br>
You could perhaps save your scheme by using concatenation instead of <br>
addition. That looks as if it could work.<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">I intended the + sign to stand for concatenation, sorry if that was not more clear.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I guess that what I should probably do to make things clearer still is to use a HMAC instead of a digest since the nonce has a key like function.</div><div class="gmail_default" style="font-size:small"></div></div></div>