<div>On Mon, Jan 8, 2018 at 10:45 AM Kristian Gjøsteen <<a href="mailto:kristian.gjosteen@ntnu.no">kristian.gjosteen@ntnu.no</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The claim is that it tolerates RNG failures, but that is obviously not true, since the KEM component does not tolerate RNG failures (e.g. an RNG with very low entropy).</blockquote><div dir="auto"><br></div><div dir="auto">RNGs can fail in more ways than a total entropy failure, such as CSPRNG internal state being duplicated or rolled back, producing duplicated ephemeral keys. This is exceedingly common with badly designed userspace CSPRNGs (XSTREAM endeavors to always use the OS RNG, FWIW), and catastrophic without MRAE.</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div><div dir="ltr">-- <br></div><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>