<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Nov 4, 2015 at 11:09 AM, Will Sargent <span dir="ltr"><<a href="mailto:will.sargent@gmail.com" target="_blank">will.sargent@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>"<span style="font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:15px;line-height:15.6px">With HMAC vs AES, no such interference is known. The </span><em style="margin:0px;padding:0px;border:0px;font-size:15px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;line-height:15.6px">general feeling</em><span style="font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:15px;line-height:15.6px"> of cryptographers is that AES and SHA-1 (or SHA-256) are "sufficiently different" that there should be no practical issue with using the same key for AES and HMAC/SHA-1."</span></div></div></blockquote><div><br></div><div>In general I would say using a secret value as a key for a cipher (a PRP in the case of AES) in addition to an unrelated PRF should be fine and have seen several constructions of this nature.</div><div><br></div><div>For what it's worth, Ruby on Rails "Message Encryptor" class reuses the key this way by default.</div><div><br></div><div>But perhaps I'm naive and mistaken!</div><div> </div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>