<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class=""><br></span>FWIW I am not :)<br>both vcm and chacha20-poly1305 are not nonce resistant and standard AES-GCM (with 92 bits nonce) can be safely be used “only” for 2^32 times :)<br></blockquote></div><br clear="all">To quote SP-800-38D:<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"></blockquote></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>In other words, unless an implementation only uses 96-bit IVs that are generated by the deterministic construction:<br>The total number of invocations of the authenticated encryption function shall not exceed 2^32, including all IV lengths and all instances of the authenticated encryption function with the given key.</div></blockquote><div><br></div><div class="gmail_extra"><div class="gmail_quote"><div> Or: if you use a counter for the nonce after doing a Diffie-Hellman exchange to generate fresh keys you can go safely beyond 2^32. The requirement is that repeating a nonce should have a probability < 2^-32, and using a counter you can trivially meet that requirement.</div><div><br></div><div><br></div><div>--<br></div></div><div class="gmail_signature"><div dir="ltr"><div>Gé<br></div></div></div>
</div></div>