<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Jan 21, 2014 at 11:17 AM, James Cloos <span dir="ltr"><<a href="mailto:cloos@jhcloos.com" target="_blank">cloos@jhcloos.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Some even suggested doing s-e-s, possibly with different signing keys.</blockquote><div><br></div><div>Wouldn't it make the most sense to sign-then-encrypt-then-MAC (with the latter ideally handled by an authenticated encryption mechanism)?</div>

<div><br></div><div>What's the value in being able to verify a signature without decrypting? It seems like if you can do that then anyone can tie a signature to a particular message even if they can't decrypt it, which seems like a drawback to me.</div>

</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>