<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 19, 2016 at 10:41 AM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div>There are in fact ways that it is possible to construct a WebPKI type infrastructure using hash signatures and we may even end up having to resort to using some of them, particularly for low power devices. In particular:</div><div><br></div><div>* Distribute Merkle trees of public key values. </div><div>* Adopt a ‘use one, make one’ approach to distribution.</div><div>* Engage hash chain logs to provide reference truth.</div><div>* Use GPU farms and/or bitcoin mining equipment to construct large Merkle trees, the hardware using the trees can be more modest.</div></div></blockquote><div><br></div><div>There is no need to expend large amounts of computational power to generate large Merkle trees of public keys. "Forest" schemes go back to CMSS (<a href="https://eprint.iacr.org/2006/320.pdf" target="_blank">https://eprint.iacr.org/2006/320.pdf</a>). A modern synthesis of all the best tricks in this space can be found in <a href="https://sphincs.cr.yp.to/" target="_blank">https://sphincs.cr.yp.to/</a>. (Although note that signatures are ~40KB. The smaller signatures are from stateful schemes which are unsuitable for use in a PKI.)</div><div><br></div><div><br></div><div>Cheers</div><div><br></div><div>AGL </div></div></div></div>