<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Oct 18, 2017 at 12:45 PM, John Denker via cryptography <span dir="ltr"><<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/17/2017 10:39 PM, Peter Gutmann wrote:<br>
>   RC4 is a stream cipher for which key/nonce reuse results in a catastrophic<br>
>   failure of the cryptosystem.<br>
><br>
>   GCM is a stream cipher for which key/nonce reuse results in a catastrophic<br>
>   failure of the cryptosystem.<br>
<br>
I hate to ask silly questions, but is there any cryptosystem or any<br>
mode whatsoever where key/nonce reuse is acceptable?</blockquote><div><br></div><div>Aside from the "nonce reuse under the same message reveals you encrypted the same message twice" property, this is true of AES-SIV (based on CMAC) and its parallelizable variant AES-PMAC-SIV, which I just released in Miscreant: </div></div><div class="gmail_extra"><br></div><a href="http://www.metzdowd.com/pipermail/cryptography/2017-October/032910.html">http://www.metzdowd.com/pipermail/cryptography/2017-October/032910.html</a><br clear="all"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">An alternative is to work in blocks of some fixed length, with the property that ever bit of block i of the ciphertext depends on every bit of blocks 0 ... i of the plaintext.  There are modes like that, too.<br>This is discussed in the introduction to <a href="http://web.cs.ucdavis.edu/~rogaway/papers/oae.pdf" rel="noreferrer" target="_blank">http://web.cs.ucdavis.edu/%<wbr>7Erogaway/papers/oae.pdf</a></blockquote><div><br></div><div>And I am interested in supporting both CHAIN and STREAM as online authenticated encryption (OAE2/nOAE) modes!</div><div><br></div><div><a href="https://github.com/miscreant/miscreant/issues/32">https://github.com/miscreant/miscreant/issues/32</a><br></div><div><a href="https://github.com/miscreant/miscreant/issues/33">https://github.com/miscreant/miscreant/issues/33</a></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>