<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jan 21, 2014 at 4:36 PM, John Kelsey <span dir="ltr"><<a href="mailto:crypto.jmk@gmail.com" target="_blank">crypto.jmk@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Encrypt then sign has the big advantage that onthe receiving side, you can verify the signature before processing the ciphertext at all.  And that means you can avoid all kinds of chosen ciphertext attacks on your encryption mechanism, many of which are surprisingly effective.  (I'm thinking in terms of reaction attacks here--stuff where you mess up the last block of ciphertext, and learn something about the plaintext depending on whether your change messed up the block padding through CBC decryption.)<br>
</blockquote><div><br></div><div>I think we need to consider the whole email infrastructure these days. In particular we have DKIM now which we didn't before.</div><div><br></div><div>So my preference would be,</div><div>
<br></div><div>Let m be the initial message, ks be the personal signature key of the sender, kr be the personal encryption key of the receiver, kd the dkim server signature key</div><div><br></div><div>DKIM:  Sign (body, kd)<br>
</div></div>..</div><div class="gmail_extra"><br></div><div class="gmail_extra">body = E ( m + Sign (m, ks), kr )<br clear="all"><div><br></div><div>The DKIM signature should be sufficient for anti-spam control purposes which should be all the receiver requires in order to decide whether it is worth spending effort to decrypt.</div>
<div><br></div><div>Of course the scheme can be improved considerably if the encryption format allows the content and the signature(s) to be encrypted separately. In that case we can construct a signature over the encrypted and unencrypted data in one go.</div>
<div><br></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>