<div dir="ltr"><div class="gmail_default" style="font-size:small">On Thu, Sep 1, 2016 at 9:40 AM,  <span dir="ltr"><<a href="mailto:crypto.jmk@gmail.com" target="_blank">crypto.jmk@gmail.com</a>></span> wrote:<br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The idea of altering the key as part of the chaining mode is more-or-less what a tweakable block cipher buys you--there is effectively a part of the key that is assumed to be known or chosen by the attacker, and that is designed to be changed quickly at minimal cost.<br>
<span class="HOEnZb"><font color="#888888"><br>
--John</font></span></blockquote></div><br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">​Great point there. If we designed the cipher with two key inputs, ​we could create better chaining modes.</div><div class="gmail_default" style="font-size:small"><br></div><br></div></div>