<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">On Mon, Feb 6, 2023 at 7:49 PM John Gilmore <<a href="mailto:gnu@toad.com">gnu@toad.com</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Phillip Hallam-Baker <<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>> wrote:<br>
> Hence my interest in using ticks.<br>
<br>
Ticks are easy for an attacker to predict (use of this and the PID was<br>
how the Berkeley undergrad cypherpunks broke the RNG in the original<br>
Netscape browser).  See:<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">The timer function is being used as a salt into the KDF so it is not secret in any way.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I am aware of the Netscape issue which is a hell of a lot more embarrassing for them than they admitted at the time since immediately after the MIT meeting when SSL/1,0 was broken, Alan Schiffman expressed concerns that the RNG they were using was bjorked. After a series of email exchanges, I finally got Kipp and Marc to understand that 40 bits of ergodicity into MD5 means 40 bits of ergodicity out of MD5. So they asked me to send them the design notes for mine.</div></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Immediately after the Berkeley paper came out, I asked Taher what was up and he said they didn't understand what had happened because the RNG was the first thing they looked at and the 9 pages of design notes looked really solid...</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Ooops.</div><div><br></div><div><div class="gmail_default" style="font-size:small"></div></div></div></div>