<div dir="ltr">Hi there,<div><br></div><div>I'm looking at a very specific issue, where the same secret key is used with AES-CTR for encryption, and then later that same key is used for signing the ciphertext with HMAC-SHA1.  I know that generally it's unsafe for CBC-MAC (which I'm not familiar with) and RSA keys: I want to be able to say AES / HMAC is a safe or unsafe construction, and so far I'm not sure which. </div><div><div><br></div><div>I've got two different sources, one saying that this is safe, the other one that it is not.</div><div><br></div><div>Steve Weis here says that AES is not safe when using the same key for both signing and encryption:</div><div><br></div><div><a href="https://youtu.be/KDvt_0cafPw?t=36m45s">https://youtu.be/KDvt_0cafPw?t=36m45s</a><br></div></div><div><br></div><div>But Thomas Porrin says:</div><div><br></div><div>"<span style="font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:15px;line-height:15.6px">With HMAC vs AES, no such interference is known. The </span><em style="margin:0px;padding:0px;border:0px;font-size:15px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;line-height:15.6px">general feeling</em><span style="font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:15px;line-height:15.6px"> of cryptographers is that AES and SHA-1 (or SHA-256) are "sufficiently different" that there should be no practical issue with using the same key for AES and HMAC/SHA-1."</span></div><div><br></div><div><a href="http://crypto.stackexchange.com/a/8086/10979">http://crypto.stackexchange.com/a/8086/10979</a><br></div><div><br></div><div>I've looked online, but don't know exactly what phrases to look for -- "key reuse" is typically used in a "reusing key with same IV" sense, and "key type mixing" doesn't show very much either.  "key separation principle" brings up "On the Importance of the Key Separation Principle for Different Modes of Operation" which is firewalled, and a paper on Key Reuse:</div><div><br></div><div>* <a href="https://crypto.stanford.edu/RealWorldCrypto/slides/kenny.pdf">https://crypto.stanford.edu/RealWorldCrypto/slides/kenny.pdf</a></div><div><br></div><div>and seems to be broadly applicable, but again... there doesn't seem to be a paper available on AES-CTR + HMAC-SHA1.  </div><div><br></div><div>I know people are busy, and any response at all will be useful, especially if it can point me to the correct search terms or papers to back this up.  If the answer is "no-one's looked, but it can't be good" then that's fine too.</div><div><br></div><div>Will.</div></div>