On 3/24/06, <b class="gmail_sendername">Gregory Maxwell</b> <<a href="mailto:gmaxwell@gmail.com">gmaxwell@gmail.com</a>> wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 3/24/06, CLAY SHENTRUP <<a href="mailto:CLAY@brokenladder.com">CLAY@brokenladder.com</a>> wrote:<br>> This is probably a stupid question, but if DH was profoundly less secure<br>> than expected, and a passive attacker Eve could therefore calculate the
<br>> shared secret of Bob and Alice, how would it help that Bob and Alice have<br>> another way to verify that they have the same secret?<br><br>Verify they had the same?<br>No.  If DH was profoundly less secure than expected a passive attacker
<br>could read the traffic. There would be no detection.</blockquote><div><br>
This is precisely what I said.<br>
<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">If the secret were further combined with another key established via<br>some other means, then yes, security would be improved against a
<br>failure of DH.   However, if DH was weak security would depend solely<br>on this extra secret material, unless this extra secret were derived<br>through a method similar DH, we would then lose most of the cool OTR<br>
properties in the event of a DH break...</blockquote><div><br>
I'm talking here about the Socialist Millionaire problem...about a fair
method for two parties to determine whether they have the same
secret.  My question is, how does it help against a failure of
DH.  Did you read the quoted text I was responding to???</div></div><br>
CLAY<br>