<div dir="ltr">Granted that this is an experimental implementation (as acknowleged by the Boring devs) in a very different protocol with different tradeoffs.<br><br><div class="gmail_quote"><div dir="ltr">On Thu, May 19, 2016 at 2:42 PM Yawning Angel <<a href="mailto:yawning@schwanenlied.me">yawning@schwanenlied.me</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 19 May 2016 17:21:47 +0000<br>
Deirdre Connolly <<a href="mailto:durumcrustulum@gmail.com" target="_blank">durumcrustulum@gmail.com</a>> wrote:<br>
<br>
> Not sure if this has been noted before on this thread, but the<br>
> BoringSSL team is working on something very similar:<br>
><br>
> <a href="https://boringssl-review.googlesource.com/#/c/7962/" rel="noreferrer" target="_blank">https://boringssl-review.googlesource.com/#/c/7962/</a><br>
<br>
Skimming the code:<br>
<br>
 * The protocol level stuff is not useful at all because the sort of<br>
   problems that need to be solved (or changes) with the Tor<br>
   wire protocol for any sort of PQ handshake are rather different than<br>
   "just adding another TLS key exchange mechanism".<br>
<br>
 * Their hybrid construct is unauthenticated (handled separately by TLS,<br>
   with a signature), and is `X25519SharedSecret | NHSharedSecret`,<br>
   passed into a KDF.<br>
<br>
 * They have their own special snowflake newhope variant (The code is<br>
   based on the `ref` version, with Google copyrights bolted on top),<br>
   functional changes are:<br>
<br>
    * CTR-AES128 instead of SHAKE is used to sample `a` (same<br>
      algorithm, doesn't have the sampling optimization or attempt to<br>
      hide the rejection sampling timing variation).<br>
<br>
    * SHA256 is used instead of SHA3-256 to generate `mu` from `nu`.<br>
<br>
    * RAND_bytes() is called for noise sampling instead of using<br>
      ChaCha20 or CTR-AES256.<br>
<br>
    I don't find these changes to be particularly interesting.  Any<br>
    system where using AES-CTR like this makes sense will benefit more<br>
    from using a vectorized NTT/reconciliation.<br>
<br>
Regards,<br>
<br>
--<br>
Yawning Angel<br>
_______________________________________________<br>
tor-dev mailing list<br>
<a href="mailto:tor-dev@lists.torproject.org" target="_blank">tor-dev@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br>
</blockquote></div></div>