<div dir="auto"><div data-smartmail="gmail_signature" dir="auto"><br></div><div class="gmail_extra" dir="auto"><div class="gmail_quote">Den 21 mars 2017 07:22 skrev "Peter Gutmann" <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>>:</div></div><div class="gmail_extra" dir="auto"><div class="gmail_quote"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text">
<br>
</div>It's not too hard to come up with a Rube-Goldberg mechanism that deals with<br>
particular issues like misuse of IVs or streaming, but the problem with these<br>
schemes is that they take the initial issue, that IVs are too confusing and<br>
complex to deal with so people get it wrong, and make the problem ten times<br>
worse.  The reason why RC4 was so popular is because it's incredibly simple,<br>
it takes a key and magics plaintext in-place into ciphertext and back again<br>
with no message expansion or other complications.  I'm not saying that you can<br>
do the equivalent of RC4 in a sound manner, but if you've got something that<br>
gets misused because of its complexity then the proposed replacement shouldn't<br>
involve even more complexity.</blockquote></div></div><div dir="auto"><br></div><div dir="auto">True, but that also wasn't meant as an actual suggestion of what to do. Only to show it *can* be done (because he assumed it could be proven impossible). There's probably much better ways to do it in case streamable full-message authentication would ever be necessary (I can't really see any need for it outside of offsite FDE backups), but I'll let somebody else figure that out. This is also why I mentioned the two later options, because they would actually be easy to use (I assume).</div></div>