PZ
Да, всё правильно. Я "проглатывая" слова имел ввиду что KDF как часть второго храповика не может препятствовать использованию своего состояния. Потому что второй храповик - публичный.
Size: a a a
2021 November 06
БГ
Хотя эту схему можно расширить
PZ
Суть в чём: если мы условно вообще все красные заменим на один и тот же ключ - что нам это сломает?
Именно в нашем кейсе?
Что нам даёт различие красных ключей, если компрометация SK
а) наиболее вероятно
б) компрометирует все остальные красные ключи.
Именно в нашем кейсе?
Что нам даёт различие красных ключей, если компрометация SK
а) наиболее вероятно
б) компрометирует все остальные красные ключи.
БГ
Ничего особого не сломает, по идее
БГ
Но если один ключ на все сообщения то теряются потенциально простые пути реализации фич
A
а SK у кого хранится?
БГ
В идеале - не хранится вообще
А так - на клиенте
А так - на клиенте
PZ
Не может он не храниться. Тогда у тебя архив будет нерасшифровываемый.
БГ
Если известны состояния храповиков - расшифровываемый
A
хранить только в памяти можно
PZ
В смысле хранить ВСЕ красные ключи КРОМЕ SK?
БГ
хватит одного только первого состояния и информации о последующих солях
PZ
Вопрос: а почему типа одна ветка "безопаснее" чем все?
Количественно - понятно... но качественным переходом это не кажется.
Количественно - понятно... но качественным переходом это не кажется.
БГ
одна которая?
PZ
Ну погоди.
У тебя SK - это общее для всех состояние храповика начальное.
У тебя SK - это общее для всех состояние храповика начальное.
PZ
Какое состояние тогда здесь ты имеешь ввиду? Второе?
Тогда одна любая.
Тогда одна любая.
A
у вас кстати SK выглядит мишенью на диаграмме)
БГ
На каждую цепочку требуется только n-ое состояние и последующие соли
PZ
Как расшифровать сообщение зашифрованное MKa1 без SK?
БГ
Конкретно его - никак, потому что SK это состояние храповика...
Хм, можно подсыпать соли заранее
Хм, можно подсыпать соли заранее