
<div> On Sunday, February 14, 2021 7:51 PM, Christian Huitema <huitema@huitema.net> wrote: <br></div><blockquote class="protonmail_quote" type="cite"><p>I wrote "forcing a key rotation after 2<sup><span style="display:inline-block;width:0;height:0;overflow:hidden">^</span>26</sup> packets for AES-GCM". Did not mention ChaCha20-Poly1035. Per <a href="https://datatracker.ietf.org/doc/draft-ietf-quic-tls/">https://datatracker.ietf.org/doc/draft-ietf-quic-tls/</a>, this is


      only a requirement for AES-GCM, not ChaCha20-Poly1035<br></p></blockquote><div>The stream cipher AES-GCM is impossible for mortals to get right, and I would not attempt to do so.<br></div><div><br></div><div>But the stream ciphers ChaCha20 and XChaCha20 seem to me to be as easy as falling off a log.<br></div><div><br></div><div>Not all stream ciphers should be tarred with the same brush.<br></div><div><br></div>