<div dir="ltr">On Tue, Sep 17, 2013 at 9:28 AM, Perry E. Metzger <span dir="ltr"><<a href="mailto:perry@piermont.com" target="_blank">perry@piermont.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In any case, I would continue to suggest that the weakest point<br>
(except for RC4) is (probably) not going to be your symmetric cipher.<br>
It will be protocol flaws and implementation flaws. No point in<br>
making the barn out of titanium if you're not going to put a door on<br>
it.</blockquote><div><br></div><div>If your threat is a patient eavesdropper (particularly one that obsessively archives traffic like the NSA) then combining ciphers can give you long term confidentiality even in the event one of your encryption primitives is compromised.</div>

<div><br></div><div>The NSA of course participated in active attacks too, but it seems their main MO was passive traffic collection. </div></div><div><br></div><div>But yes, endpoint security is weak, and an active attacker would probably choose that approach over trying to break particular algorithms.</div>

<div><br></div>-- <br>Tony Arcieri<br>
</div></div>