<div dir="ltr"><div class="gmail_default" style="font-size:small">Further to my explorations of HKDF (RFC 3394) I am thinking as follows:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Most cryptographic modes use the same key to encrypt a message. CBC, GCM , etc all perform operations on the input data, the key is constant.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">When using a public key for exchange, we choose a session key which is random every time. This each message is guaranteed to be encrypted under a different key.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">If I use KDF with a fixed salt (the norm for most protocols) I get inter-protocol separation but not separation per message. The IV provides some protection but I am still handing the attacker a possible advantage.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">So what if I was to use the IV of the encrypted data as a part of the salt in the Key derivation function? Is this a good idea or a bad one? </div></div>