<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Jan 21, 2014 at 1:36 PM, John Kelsey <span dir="ltr"><<a href="mailto:crypto.jmk@gmail.com" target="_blank">crypto.jmk@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Encrypt then sign has the big advantage that onthe receiving side, you can verify the signature before processing the ciphertext at all.  And that means you can avoid all kinds of chosen ciphertext attacks on your encryption mechanism, many of which are surprisingly effective.</blockquote>

<div><br></div><div>Using a symmetric MAC would accomplish the same thing, and can be combined with public key cryptography using (EC)IES-style schemes. This is, IMO, the best way to go, and the sort of scheme used by e.g. NaCl's crypto_box primitive.</div>

<div><br></div><div>I am distinguishing MACs from "signatures", as at least in my nomenclature digital signature systems are an inherently pubkey system. There are also "signcryption" systems that combine public key cryptography with digital signatures, such as RSA-PSSR (although these schemes are somewhat limited in their usefulness, IMO)</div>

<div><br></div><div>The purpose of using a digital signature in addition to a symmetric MAC is identity verification of the sender.</div><div><br></div></div>-- <br>Tony Arcieri<br>
</div></div>