<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 28, 2014 at 2:24 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


You'd want to hand out serial #s randomly, so the server's bitmask<br>
would need to be sized to MAX number of messages that a user can<br>
receive.  Not sure if that's a win spacewise vs storing 100 or 64 bits<br>
for each actual message.<br></blockquote><div><br></div><div>You hand out serial #s randomly from your pool, but I don't think they need to be random serial numbers from a 64-bit space. You can generate say 2^20 key pairs with sequential serial numbers. Every time you hand some out to contacts, you pick a random set from those you haven't handed out yet. This enables the bitmap representation. Is there a flaw with that I'm missing?</div>

<div><br></div><div>Eventually if you run out you get into the HMAC update process you described, this happens either way.</div></div></div></div>