<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 24 Jun 2021, 9:50 am Trevor Perrin, <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I think (b) is easy to check, so the risk with Encrypt()=XOR of<br>
Hash(password) is about (a):  maybe Alice could find two DH public<br>
values whose encodings have some XOR difference, and for which she<br>
knows the discrete log?<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Alice could generate a nonce for the encryption using Hash(Encode(g^a)). Bob can very the nonce was correctly generated before replying to Alice. This makes the XOR depend on the public value?</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>