<!DOCTYPE html><html><head><title></title><style type="text/css">p.MsoNormal,p.MsoNoSpacing{margin:0}</style></head><body><div>On Thu, Aug 11, 2022, at 8:26 PM, Phillip Hallam-Baker wrote:<br></div><blockquote type="cite" id="qt" style=""><div dir="ltr"><div style="">Perhaps if we designed a mode with integrated masking???<br></div></div></blockquote><div><br></div><div>I have been giving this type of problem some thought, and in some contexts it is possible to avoid ever using the same key twice, you just need key chaining, like KEY[n] = permutation(KEY[n-1]). It doesn't work well with AES because the expanded keys are large relative to the encrypted data, but it is perfectly possible to work around that issue with a different algorithm. A bonus benefit is that it seems to destroy all possibilities for linear and differential cryptanalysis, as that rely on (at least) 2 blocks that get treated almost identically, and that doesn't happen if the key keeps on changing.<br></div><div><br></div><div>More info here: <a href="http://nohatcoder.dk/2022-07-15-1.html">http://nohatcoder.dk/2022-07-15-1.html</a></div></body></html>