<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <tt>We should definitely change to per peer PSKs.<br>
      Following </tt><tt><tt>Storömberg's observations, the following </tt>points
      may also be worth considering:<br>
    </tt><tt><br>
      1. Partial deployment<br>
      <br>
      Per peer PSK allows organization to deploy PSK to a subset of
      peers and have a smooth transition should they wish to implement
      it later.<br>
      <br>
      2. Compromise of endpoints<br>
      <br>
      All it takes is one compromised endpoint and PQ secrecy fails
      completely.<br>
      If an employee ever leaves his laptop unencrypted and unattended,
      the PQ secrecy of all the </tt><tt><tt>corporations</tt> VPN
      connections could be lost.<br>
      <br>
      Furthermore, if an administrator suspects this may be the case,<br>
      he has to deploy new keys to all endpoints in a PQ secure manner
      (e.g sending them over HTTPS is meaningless);<br>
      he most likely has to physically install the new PSK on every
      client!<br>
      <br>
      In case of compromise, the peers public key must be updated
      regardless and updating the per peer PSK along with it seems a
      manageable task.<br>
      <br>
      3. Disclosure of data under a warrant<br>
      <br>
      Suppose the </tt><tt><tt>organization</tt> deploying Wireguard is
      forced to decrypt the data to/from a single peer.<br>
      Currently this is not possible, because of forward secrecy,
      however in a post-quantum setting it would be.<br>
      Limiting the disclosure to a single peer is substantially harder
      with a globally shared PSK.<br>
      <b><br>
      </b>Periodically rotating the PSKs and completely avoiding the
      case above is much easier if the PSK is per peer.<br>
    </tt><tt><b><br>
      </b>4. Public VPN<b><br>
        <br>
      </b>If Wireguard is deployed as a public VPN, there is no hope of
      PQ security with a global PSK.<br>
      In the case of a per peer PSK, this may be achieved by meeting in
      person or exchanging the PSK with PQ crypto, e.g<br>
      the overhead of McEliece may be acceptable, since the PSK is only
      transfered once.<br>
      <br>
      5. Users and secrets<b><br>
      </b><br>
      Since the key is shared, you can count on Alice asking Bob for his
      VPN configuration, <br>
      you can also count on Bob sending said configuration over email.<br>
      Again the PQ security for the entire organization is lost.<br>
      <br>
      As the organization grows, the probability of such an event goes
      to 1.<br>
      <br>
      Regards,<br>
      Mathias<br>
    </tt>
  </body>
</html>